Távoli asztali átjáró - áttekintés

A Távoli asztali átjáró egy olyan szerepkör-szolgáltatás, amely lehetővé teszi, hogy engedélyt kapott távoli felhasználók belső vállalati hálózaton vagy magánhálózaton található erőforrásokhoz kapcsolódjanak, mégpedig bármely olyan internetkapcsolattal rendelkező eszközről, amely képes a Távoli asztali kapcsolat (RDC) ügyfél futtatására. A hálózati erőforrások lehetnek Távoli asztali munkamenetgazda szerepű kiszolgálók, RemoteApp programokat futtató Távoli asztali munkamenetgazda szerepű kiszolgálók, vagy olyan számítógépek, amelyeken engedélyezve van a Távoli asztal szolgáltatás.

A Távoli asztali átjáró az RDP protokollt a HTTPS protokollon keresztül használja annak érdekében, hogy biztonságos, titkosított kapcsolatot hozzon létre az interneten keresztül kapcsolódó távoli felhasználók és a hatékonyságnövelő alkalmazásokat futtató belső hálózati erőforrások között.

A Távoli asztali átjáró számos előnyt biztosít, például a következőket:

• A Távoli asztali átjáró lehetővé teszi a távoli felhasználók számára a belső hálózati erőforrásokhoz való kapcsolódást az interneten keresztül, titkosított kapcsolattal, anélkül, hogy szükség lenne virtuális magánhálózati kapcsolatok konfigurációjára.
  
  
• A Távoli asztali átjáró széleskörű biztonsági beállítási modellt biztosít, amely lehetővé teszi a hozzáférés szabályozását az egyes belső hálózati erőforrásokhoz. A Távoli asztali átjáró pont-pont típusú RDP-kapcsolatot biztosít ahelyett, hogy engedélyezné a távoli felhasználók számára, hogy minden belső hálózati erőforráshoz hozzáférjenek.
  
  
• A Távoli asztali átjáró a legtöbb távoli felhasználó számára lehetővé teszi az olyan belső hálózati erőforrásokhoz való hozzáférést, amelyeket tűzfal véd a magánhálózatokban és a hálózati címfordítókon (NAT) keresztül érhetők el. A Távoli asztali átjáró használatával ezen forgatókönyvben nincs szükség további konfigurációra a Távoli asztali átjárókiszolgáló vagy ügyfelei számára.
  
  A Windows Server rendszer korábbi kiadásaiban bizonyos biztonsági megfontolások miatt a távoli felhasználók nem tudtak tűzfalon vagy hálózati címfordítón keresztül a belső hálózati erőforrásokhoz csatlakozni, mert a 3389-es portot - vagyis a távoli asztali kapcsolatokhoz használt portot - a rendszer a hálózati biztonság növelése érdekében általában letiltja. A Távoli asztali átjáró ehelyett a 443-as portra továbbítja az RDP-forgalmat egy HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) alagút használatával. Mivel a legtöbb cég az internetkapcsolat biztosítása érdekében megnyitja a 443-as portot, a Távoli asztali átjáró ezt a hálózattervezési adottságot kihasználva hozza létre a távelérési kapcsolatokat, akár több tűzfalon keresztül is.
  
  
• A Távoli asztali átjárókezelő lehetővé teszi, hogy engedélyezési házirendek konfigurálásával feltételeket határozzon meg, melyeket a távoli felhasználóknak teljesíteniük kell ahhoz, hogy a belső hálózati erőforrásokhoz hozzáférhessenek. Beállítható például, hogy:
  
  
  • Ki csatlakozhat a belső hálózati erőforrásokhoz (más szóval, a felhasználói csoportok, amelyek csatlakozhatnak).
    
    
  • Milyen hálózati erőforrásokhoz (számítógépcsoportokhoz) csatlakozhatnak a felhasználók.
    
    
  • Az ügyfélszámítógépeknek bele kell-e tartozniuk az Active Directory biztonsági csoportokba.
    
    
  • Engedélyezett-e az eszközátirányítás.
    
    
  • Az ügyfelek intelligens kártyás vagy jelszavas hitelesítést használjanak-e, esetleg mindkettőt használhatják-e.
    
    
• A Távoli asztali átjárókiszolgálók és a Távoli asztali szolgáltatások ügyfelei úgy is beállíthatók, hogy a hálózatvédelmet (NAP) használják a biztonság további fokozása érdekében. A hálózatvédelem egy állapotházirendek létrehozására, kényszerítésére és javítására szolgáló technológia, amely a Windows Server® 2008 R2, a Windows Server® 2008, a Windows® 7, a Windows Vista® és a Windows XP Service Pack 3 operációs rendszer része. A hálózatvédelemmel a rendszergazdák állapotkövetelmények alkalmazását kényszeríthetik, melyek szoftverkövetelményeket, a biztonsági frissítések követelményeit, a szükséges számítógépkonfigurációkat és egyéb beállításokat tartalmazhatnak.
  
  

  Megjegyzés

  A Windows Server 2008 R2 vagy Windows Server 2008 rendszert futtató számítógépek nem használhatók hálózatvédelmi ügyfelekként, amikor a Távoli asztali átjáró a hálózatvédelem használatát kényszeríti. Csak a Windows 7, a Windows Vista vagy a Windows XP SP3 rendszert futtató számítógépek használhatók hálózatvédelmi ügyfelekként, amikor a Távoli asztali átjáró a hálózatvédelem használatát kényszeríti.

  Arról, hogy a Távoli asztali átjáró szolgáltatást hogyan lehet úgy beállítani, hogy a Távoli asztali átjárókiszolgálókhoz csatlakozó Távoli asztali szolgáltatások ügyfelek állapotházirendjének kényszerítésére használja a hálózatvédelmet, a Windows Server 2008 R2 TechCenter webhely távoli asztali szolgáltatásokkal foglalkozó lapján talál további információt: https://go.microsoft.com/fwlink/?linkid=140433 (előfordulhat, hogy a lap angol nyelven jelenik meg).
  
  
• A Távoli asztali átjárókiszolgálót a Microsoft Internet Security and Acceleration (ISA) Server kiszolgálóval együtt is használhatja a biztonság fokozása érdekében. Ha ezt a megoldást választja, a Távoli asztali átjárókiszolgálókat szegélyhálózat helyett magánhálózatban, az ISA-kiszolgálót pedig a szegélyhálózatban működtetheti. A Távoli asztali szolgáltatások ügyfele és az ISA-kiszolgáló közötti, SSL protokollt használó kapcsolat az internetre kapcsolódó ISA-kiszolgálónál lezárható.
  
  Az ISA-kiszolgálók Távoli asztali átjárókiszolgálói környezetben SSL-lezáró eszközként való beállításáról a Windows Server 2008 R2 TechCenter webhely távoli asztali szolgáltatásokkal foglalkozó cikke nyújt információt: https://go.microsoft.com/fwlink/?linkid=140433 (előfordulhat, hogy a lap angol nyelven jelenik meg).
  
  
• A Távoli asztali átjárókezelő a Távoli asztali átjárókiszolgáló állapotának és eseményeinek figyelésére szolgáló eszközöket biztosít. A Távoli asztali átjárókezelő használatával megadhatók azok az események (például a Távoli asztali átjárókiszolgáló felé tett sikertelen kapcsolódási kísérletek), amelyeket ellenőrizni kíván.