TS网关
TS网关功能TS网关有许多优点,其中包括:
通过TS网关,远程用户可以使用加密连接,通过 Internet 连接到内部网络资源,而不必配置虚拟专用网络 (VPN) 连接。 TS 网关提供全面的安全配置模型,使您可以控制对特定内部网络资源的访问。TS网关提供点对点的 RDP 连接,而不是允许远程用户访问所有内部网络资源。通过 TS 网关,大多数远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序 (NAT) 托管的内部网络资源。在此方案中,通过 TS 网关,不必对 TS 网关服务器或客户端执行其他配置。在此版本的 Windows Server 之前,采用安全措施来阻止远程用户跨防火墙和 NAT 连接到内部网络资源。这是由于出于网络安全考虑,通常通过防火墙阻止端口 3389(用于 RDP 连接的端口)。TS 网关使用 HTTP 安全套接字层/传输层安全 (SSL/TLS) 隧道将 RDP 通信传输到端口 443。由于大多数公司打开端口 443 来支持 Internet 连接,所以,TS 网关利用此网络设计提供跨多个防火墙的远程访问连接。通过 TS 网关管理器管理单元控制台可以配置授权策略,以定义远程用户要连接到内部网络资源必须满足的条件。例如,可以指定:可以连接到网络资源的用户(即,可以连接的用户组)。 用户可以连接到的网络资源(计算机组)。客户端计算机是否必须是 Active Directory 安全组的成员。是否允许设备和磁盘的重定向。客户端需要使用智能卡身份验证还是密码身份验证,或者可以使用任一方法。可以将 TS 网关服务器和终端服务客户端配置为使用网络访问保护 (NAP) 来进一步提高安全性。NAP 是 Windows(R) XP Service Pack 3 (SP3)、Windows Vista® 和 Windows Server 2008 中包含的健康策略创建、强制实施和修正技术。通过 NAP,系统管理员可以强制实施健康状况要求,其中包括硬件要求、安全更新要求、所需的计算机配置以及其他设置。 备注 在 TS 网关强制使用 NAP 时,运行 Windows Server 2008 的计算机不能作为 NAP 客户端使用。如果 TS 网关强制使用 NAP,则只有运行 Windows XP SP3 和 Windows Vista 的计算机可以作为 NAP 客户端使用。 有关如何将 TS 网关配置为使用 NAP 对连接到 TS 网关服务器的终端服务客户端强制实施健康策略的信息,请参阅“TS 网关循序渐进指南”。 可以将 TS 网关服务器与 Microsoft Internet Security and Acceleration (ISA) 服务器结合使用来增强安全性。在此方案中,可以在专用网络(而不是外围网络,也称为 DMZ、隔离区和屏蔽子网)中承载 TS 网关服务器,并且可以在外围网络中承载 ISA 服务器。可以在面向 Internet 的 ISA 服务器上终止终端服务客户端和 ISA 服务器之间的 SSL 连接。 有关如何将 ISA 服务器配置为 TS 网关服务器方案的 SSL 终结设备的信息,请参阅“TS 网关循序渐进指南”。 TS 网关管理器管理单元控制台可提供有助于您监视 TS 网关的连接状态、运行状况和事件的工具。通过使用 TS 网关管理器,可以指定为了进行审核要监视的事件(例如尝试连接到 TS 网关服务器不成功)。
对该功能感兴趣如果您的组织有兴趣向来自外围网络之外的用户提供基于终端服务的应用程序和运行远程桌面的计算机,则使用 TS网关可以简化网络管理和降低暴露于安全风险的程度。
TS网关还可以使用户的操作更加轻松,因为他们不必配置 VPN 连接并且可以从可能以其他方式阻止出站 RDP 或 VPN 连接的站点访问 TS 网关服务器。
如果您属于以下任何一个组,应查看此部分和有关 TS 网关的附加支持文档:
评估远程访问和移动解决方案产品的 IT 管理员、计划者和分析者
各组织的企业 IT 架构师和设计者
早期采用者
负责实施可信计算的安全架构师
负责终端服务器或远程访问桌面的 IT 专业人员
特殊注意事项若要正常使用 TS网关,必须满足下列先决条件:
必须拥有安装了 Windows Server 2008 的服务器。 您必须是要配置为 TS网关服务器的计算机上的 Administrators 组的成员。 必须为 TS 网关服务器获取外部信任 SSL 证书(如果尚未取得)。默认情况下,在TS网关服务器上,RPC/HTTP 负载平衡服务和 IIS 服务使用传输层安全 (TLS) 1.0 对在客户端和 TS 网关服务器之间通过 Internet 的通信进行加密。若要正常使用 TLS,必须在 TS 网关服务器上安装 SSL 证书。备注 如果可以使用其他方法获取符合 TS网关的要求的外部信任证书,则不需要在组织中部署证书颁发机构 (CA) 基础结构。如果您的公司没有独立 CA 或企业 CA,并且您没有受信任公用 CA 颁发的兼容证书,则可以为 TS 网关服务器创建并导入自签名证书,以便进行技术评估和测试。 证书必须符合下列要求:除非使用的是通配符证书或证书的 SAN 属性,否则,服务器证书的主题行中的名称(证书名称,即 CN)必须与客户端连接到 TS 网关服务器时使用的 DNS 名称匹配。如果您的组织通过企业 CA 颁发证书,必须配置证书模板,以便在证书请求中提供相应的名称。如果您的组织通过独立 CA 颁发证书,则不必这样做。证书是计算机证书。证书的指定用途是服务器身份验证。扩展密钥用法 (EKU) 是服务器身份验证 (1.3.6.1.5.5.7.3.1)。证书具有相应的私钥。证书未过期。我们建议证书自安装之日起,具有一年的有效期。不需要证书对象标识符(也称为 OID)2.5.29.15。但是,如果计划使用的证书包含对象标识符 2.5.29.15,则仅还在同时设置至少下列密钥用法值之一的情况下,才可以使用该证书:CERT_KEY_ENCIPHERMENT_KEY_USAGE、CERT_KEY_AGREEMENT_KEY_USAGE 和 CERT_DATA_ENCIPHERMENT_KEY_USAGE。有关这些值的详细信息,请参阅高级证书注册和管理()(可能为英文网页)。证书在客户端上必须是可信的。即,为 TS 网关服务器证书签名的 CA 的公用证书必须位于客户端计算机上的受信任根证书颁发机构存储中。 有关 TS 网关的证书要求及如何获取和安装证书(如果尚未获取和安装)的详细信息,请参阅“TS 网关循序渐进指南”。
此外,请记住以下注意事项:
TS 网关通过使用 HTTPS 隧道将所有 RDP 通信(通常将通过端口 3389 发送)传输到端口 443。这也意味着在客户端和 TS 网关之间的所有通信在通过 Internet 传输时被加密。 若要正常使用 TS 网关,要求安装并运行多个角色服务和功能。当使用服务器管理器安装 TS 网关角色服务时,将自动安装和启动以下附加角色服务和功能(如果尚未安装): HTTP 代理上的远程过程调用 (RPC) Web 服务器 (IIS) [Internet 信息服务 7.0]。 必须安装并运行 IIS 7.0,HTTP 代理上的 RPC 服务才能正常运行。网络策略和访问服务。 还可以将 TS 网关配置为使用另一台运行网络策略服务器 (NPS) 服务的服务器上存储的终端服务连接授权策略 (TS CAP)。您可以使用此 NPS 服务器(以前称为远程身份验证拨入用户服务 (RADIUS) 服务器)来集中存储、管理和验证 TS CAP。如果已为远程访问方案(例如 VPN 和拨号网络)部署了 NPS 服务器,对 TS 网关方案同样使用这个现有的 NPS 服务器,可以改善您的部署。不过,在此配置中,TS 网关服务器上仍需要 NPS 服务器充当中心 NPS 服务器的代理服务器。
TS 网关准备工作应查看此主题以及有关 TS网关的其他支持文档,包括“TS 网关循序渐进指南”。 还应准备获得一份 SSL 证书,或从自己的证书颁发机构 (CA) 颁发一个。您应熟悉 TLS 和 SSL 协议(如果尚未熟悉)。
提供了新的用途TS网关提供了从公司网络之外访问 RDP 资源的功能,并包含以下简化管理和加强安全性的新功能。TS CAP终端服务连接授权策略 (TS CAP) 允许您指定可以访问 TS网关服务器的用户组(还可以指定客户端计算机组)。可以通过使用 TS 网关管理器创建 TS CAP。
为什么 TS CAP 非常重要?TS CAP 通过向内部网络上的计算机提供更高级别的访问控制,简化了管理并提高了安全性。
通过 TS CAP,可以指定可连接到 TS 网关服务器的用户。可以指定存在于本地 TS 网关服务器上或 Active Directory 域服务中的用户组。还可以指定用户要访问 TS 网关服务器必须满足的其他条件。可以在每个 TS CAP 中列出特定的条件。例如,您可能要求用户使用智能卡通过 TS 网关建立连接。
如果用户满足 TS CAP 中指定的条件,将被授予访问 TS 网关服务器的权限。
重要事项
如果用户满足 TS CAP 中指定的条件,将被授予访问 TS 网关服务器的权限。必须还要创建终端服务资源授权策略 (TS RAP)。TS RAP 允许您指定用户可以通过 TS 网关连接到的内部网络资源。在您创建 TS CAP 和 TS RAP 之前,用户无法通过此 TS 网关服务器连接到内部网络资源。
TS RAP通过 TS RAP,可以指定远程用户可通过 TS 网关服务器连接到的公司内部网络资源。在创建 TS RAP 时,可以创建计算机组(内部网络上希望远程用户连接到的一组计算机)并将其与 TS RAP 关联。
如果通过 TS 网关服务器连接到内部网络的远程用户至少满足一个 TS CAP 和一个 TS RAP 中指定的条件,将被授予访问网络上的计算机的权限。
备注
将受 TS 网关管理的计算机组与 TS RAP 关联时,可以通过将完全限定的域名 (FQDN) 和 NetBIOS 名称分别添加到受 TS 网关 管理的计算机组中,同时支持这两个名称。将 Active Directory 安全组与 TS RAP 关联时,如果客户端要连接到的内部网络计算机与 TS 网关服务器属于同一个域,将自动支持 FQDN 和 NetBIOS 名称。如果内部网络计算机与 TS 网关服务器分别属于不同的域,用户必须指定内部网络计算机的 FQDN。
TS CAP 和 TS RAP 相结合,提供两个不同的授权级别,使您可以为内部网络上的计算机配置更具体的访问控制级别。与 TS RAP 关联的安全组和受 TS 网关管理的计算机组远程用户可以通过 TS 网关连接到安全组或受 TS 网关管理的计算机组中的内部网络资源。该组可以是下列任一项目:
现有安全组的成员。该安全组可以存在于 TS 网关服务器上的本地用户和组中,也可以存在于 Active Directory 域服务中。
受 TS 网关管理的现有计算机组或受 TS 网关管理的新计算机组的成员。可以在安装之后使用 TS 网关管理器配置受 TS 网关管理的计算机组。
受 TS 网关管理的计算机组不会出现在 TS 网关服务器上的本地用户和组中,也无法使用本地用户和组进行配置。
将内部网络计算机添加到受 TS 网关管理的计算机的列表中时,请记住,如果希望通过指定计算机的计算机名称或 IP 地址,允许远程用户连接到该计算机,必须将该计算机添加到计算机组中两次(通过指定计算机的计算机名称并将其添加到计算机组中,然后指定计算机的 IP 地址并将其再次添加到计算机组中)。如果在将计算机添加到计算机组中时,只指定了计算机的 IP 地址,用户在通过 TS 网关连接到该计算机时,必须还要指定该计算机的 IP 地址。
重要事项
为了确保远程用户可以连接到指定的内部公司网络计算机,如果未将计算机配置为使用静态 IP 地址,则建议您不要指定计算机的 IP 地址。例如,如果组织使用 DHCP 动态重新配置计算机的 IP 地址,则不应指定 IP 地址。为了确保远程用户可以连接到指定的内部公司网络计算机,如果未将计算机配置为使用静态 IP 地址,则建议您不要指定计算机的 IP 地址。例如,如果组织使用 DHCP 动态重新配置计算机的 IP 地址,则不应指定 IP 地址。
任意网络资源。在这种情况下,用户可以连接到使用远程桌面连接时可连接的内部网络上的任何计算机。
为确保相应的用户具有访问相应的网络资源的权限,请仔细计划和创建安全组和受 TS 网关管理的计算机组。评估应具有权限访问每个组的用户,然后将该组与 TS RAP 关联以根据需要向用户授予访问权限。监视功能可以使用 TS 网关管理器查看与从终端服务客户端通过 TS 网关连接到公司内部网络资源的活动连接有关的信息。此类信息包括:
连接 ID。连接 ID 以 格式显示,其中 a 是唯一标识到 TS 网关服务器的特定连接的隧道 ID,b 是通道 ID。隧道 ID 代表终端服务网关服务运行以来,TS 网关服务器已收到的连接的数量。每次 TS 网关服务器收到新连接时,隧道 ID 将递增 1。
登录到客户端的用户的域和用户 ID。
登录到客户端的用户的全名。
建立连接的日期和时间。
连接处于活动状态的时间长度。
连接处于空闲状态的时间长度(如果适用)。
客户端连接到的内部网络计算机的名称
客户端的 IP 地址
备注
如果您的网络配置包含代理服务器,出现在“客户端 IP 地址”列(在“监视”细节窗格中)中的 IP 地址可能反映代理服务器的 IP 地址,而不是终端服务客户端的 IP 地址。
客户端连接到的内部网络计算机端口
还可以指定您想要监视的事件类型,例如通过 TS 网关服务器到内部网络计算机的不成功或成功的连接尝试。
当这些事件发生时,可以通过使用 Windows 事件查看器监视对应的事件。TS 网关事件存储在事件查看器中的“应用程序和服务日志MicrosoftWindowsTerminal Services-Gateway”下。策略设置可以使用组策略和 Active Directory 域服务集中和简化 TS 网关策略设置的管理。使用本地组策略编辑器配置本地策略设置,该设置包含在组策略对象 (GPO) 中。使用组策略管理控制台 (GPMC) 将 GPO 链接到 Active Directory 域服务中的站点、域或组织单位 (OU)。
可以通过下列两种方式中的任一方式对通过 TS 网关建立的终端服务客户端连接应用组策略设置。可以推荐使用这些策略设置(即,可以启用,但是不能强制使用),也可以启用并强制使用这些策略设置。建议策略设置允许在客户端上的用户输入备用 TS 网关连接设置。强制实施策略设置可防止用户更改 TS 网关连接设置,即使他们在客户端上选择了“使用这些 TS 网关服务器设置”选项也是如此。
以下三个组策略设置都可用于 TS 网关服务器:
设置 TS 网关服务器身份验证方法:允许您指定终端服务客户端在通过 TS 网关服务器连接到内部网络资源时必须使用的身份验证方法。
启用通过 TS 网关连接:允许您指定当终端服务客户端无法直接连接到内部网络资源时,客户端将尝试通过在“设置 TS 网关服务器地址”策略设置中指定的 TS 网关服务器连接到内部网络资源。
设置 TS 网关服务器地址:允许您指定终端服务客户端在其无法直接连接到内部网络资源时使用的 TS 网关服务器。
重要事项
如果禁用或不配置此策略设置,但启用“启用通过 TS 网关连接”策略设置,则如果客户端无法直接连接到网络资源,客户端到任何内部网络资源的连接尝试将失败。
无需更改代码您无需更改任何现有代码即可使用TS网关。TS网关仅管理创建到公司内部网络计算机的连接的方式。
备注
TS 网关可以将连接路由到任何基于终端服务的会话,包括在基于 Windows Server 2008、Windows Server 2003、Windows Vista 和 Windows XP 的计算机上的会话。
如果内部企业网络计算机要使用新终端服务功能,将需要使用 Windows Server 2008、Windows Vista Service Pack 1 和 Windows XP SP3 中附带的远程桌面连接 6.1 版软件。
远程桌面连接 6.0 版软件也可以用于 Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2 和 Windows XP Service Pack 2。若要在这些平台上使用任何新终端服务功能,请从 Microsoft 知识库文章 925876 (可能为英文网页)下载安装程序包。
其他参考资料有关终端服务中其他新功能的信息,请参阅 Windows Server 2008 中终端服务的新增功能。
主要规格及参数TS网关主要接口类型: RJ45主要接口数目: 3口。
主要参数:支持协议: TCP/IP协议,ICMP协议,RIPv2协议,静态路由协议,动态路由协议,PAP协议,CHAP协议,NAT协议,PPPoE协议,250K个并发会话数,新建会话数7K/秒,防火墙性能120Mbps,40G硬盘,100条VPN隧道数,3DES加密性能30Mbps,病毒邮件扫描25000封/小时,垃圾邮件15000封/小时,HTTP稍描1MB/S; 内置防火墙。
主要技术条件TS网关选用要点及订货主要技术条件
TS网关是将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中的使用传输协议的数据进行互相的翻译转换。比如:一个企业内部局域网就常常需要通过网关发送电子邮件到Internet的相关地址。
1)TS网关具有高可扩展性
2) TS网关能够多协议支持,,能够对SMTP、HTTP、FTP和POP3通信进行扫描,对网络和用户应有的保护功能。
3) TS网关能透明的联机扫描,保存诸如源IP和MAC地址等信息。透明扫描选项在易于安装的同时,还可以让您对内部Web服务器进行保护。
4) TS网关能够进行内容管理,防止用户接收或发送带有某种类型附件的邮件、容量过大的邮件或带有过多、过大附件的邮件。
5) 检测垃圾邮件与反中继。
6) TS网关订货主要技术条件能满足不同通信协议的网络互连,使文件可以在这些网络之间传输,阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能,需要VPN完成或在同VPN与相关产品协同完成。
7) 主机房的TS网关选择规格尺寸要能安装在主机柜中。