Overzicht van Extern bureaublad-gateway

Extern bureaublad-gateway (RD-gateway) is een functieservice waarmee geautoriseerde externe gebruikers verbinding kunnen maken met bronnen op een intern bedrijfs- of privénetwerk, vanaf elk willekeurig apparaat met internetverbinding waarop de RDC-client (Client voor Verbinding met extern bureaublad) wordt uitgevoerd. De netwerkbronnen kunnen Extern bureaublad-sessiehostservers, Extern bureaublad-sessiehostservers waarop RemoteApp-programma's worden uitgevoerd of computers waarop Extern bureaublad is ingeschakeld zijn.

RD-gateway gebruikt RDP (Remote Desktop Protocol) via HTTPS om een beveiligde, versleutelde verbinding op te zetten tussen externe gebruikers op internet en de interne netwerkbronnen waarop de productiviteitstoepassingen worden uitgevoerd.

RD-gateway biedt een groot aantal voordelen, waaronder:

• RD-gateway stelt externe gebruikers in staat via internet een versleutelde verbinding met interne netwerkbronnen tot stand te brengen, zonder dat ze VPN-verbindingen (Virtual Private Network) hoeven te configureren.
  
  
• RD-gateway biedt een uitgebreid configuratiemodel voor beveiliging waarmee u de toegang tot specifieke interne netwerkbronnen kunt beheren. RD-gateway biedt een point-to-point RDP-verbinding, waarmee wordt voorkomen dat externe gebruikers toegang krijgen tot alle interne netwerkbronnen.
  
  
• RD-gateway stelt de meeste externe gebruikers in staat verbinding te maken met interne netwerkbronnen die worden gehost achter firewalls in particuliere netwerken en via NAT's (Network Address Translators). Met RD-gateway hoeft u in dit geval geen extra opties te configureren voor de RD-gatewayserver of -clients.
  
  Voordat deze versie van Windows Server uitkwam, maakten beveiligingsmaatregelen het externe gebruikers onmogelijk verbinding te maken met interne netwerkbronnen via firewalls en NAT's. De reden hiervan is dat poort 3389, de poort die voor RDP-verbindingen wordt gebruikt, standaard is geblokkeerd om het netwerk te beveiligen. RD-gateway verzendt RDP-verkeer daarom niet naar deze poort, maar naar poort 443 door gebruik te maken van een HTTP SSL-TLS-tunnel (Secure Sockets Layer-Transport Layer Security). Omdat de meeste bedrijven poort 443 openen om gegevensverkeer via internetverbindingen mogelijk te maken, profiteert RD-gateway van dit netwerkontwerp om RAS-verbindingen te bieden via meerdere firewalls.
  
  
• Met Extern bureaublad-gatewaybeheer kunt u autorisatiebeleid configureren om voorwaarden te definiëren waaraan externe gebruikers moeten voldoen om verbinding met interne netwerkbronnen te kunnen maken. U kunt bijvoorbeeld het volgende opgeven:
  
  
  • Wie verbinding kan maken met interne netwerkbronnen (met andere woorden, de gebruikersgroepen die verbinding kunnen maken)
    
    
  • Met welke netwerkbronnen (computergroepen) gebruikers verbinding kunnen maken
    
    
  • Of clientcomputers lid van Active Directory-beveiligingsgroepen moeten zijn
    
    
  • Of apparaatomleiding is toegestaan
    
    
  • Of clients smartcardverificatie of wachtwoordverificatie moeten gebruiken, of dat ze beide methoden kunnen gebruiken
    
    
• U kunt RD-gatewayservers en Extern bureaublad-servicesclients configureren voor gebruik van NAP (Network Access Protection), waarmee een nog betere beveiliging kan worden bereikt. NAP is een technologie voor het maken, afdwingen en herstellen van een statusbeleid die is opgenomen in Windows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® en Windows® XP Service Pack 3. Met NAP kunnen systeembeheerders statusvereisten afdwingen, zoals softwarevereisten, vereisten voor beveiligingsupdates, vereiste computerconfiguraties, en andere instellingen.
  
  

  	Opmerking
  	Computers waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd, kunnen niet worden gebruikt als NAP-clients wanneer NAP wordt afgedwongen door RD-gateway. Alleen computers waarop Windows 7, Windows Vista of Windows XP SP3 wordt uitgevoerd, kunnen worden gebruikt als NAP-clients wanneer NAP wordt afgedwongen door RD-gateway.

  Zie de pagina over Extern bureaublad-services in het Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?linkid=140433 (de pagina is mogelijk Engelstalig)) voor informatie over het zodanig configureren van RD-gateway dat NAP voor het afdwingen van statusbeleid wordt gebruikt voor Extern bureaublad-servicesclients waarmee een verbinding met RD-gatewayservers wordt gemaakt.
  
  
• U kunt een RD-gatewayserver met Microsoft ISA (Internet Security and Acceleration) Server gebruiken om de beveiliging te verbeteren. In dit scenario kunt u RD-gatewayservers hosten in een particulier netwerk in plaats van in een perimeternetwerk en ISA Server hosten in het perimeternetwerk. De SSL-verbinding (Secure Sockets Layer) tussen de Extern bureaublad-servicesclient en ISA Server kan worden afgesloten bij ISA Server, dat gebruikmaakt van internet.
  
  Zie de pagina over Extern bureaublad-services in het Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?linkid=140433 (de pagina is mogelijk Engelstalig)) voor informatie over het configureren van ISA Server als SSL-afsluitingsapparaat voor RD-gatewayserverscenario's.
  
  
• Extern bureaublad-gatewaybeheer voorziet in hulpprogramma's waarmee u de status en gebeurtenissen van de RD-gatewayserver kunt controleren. Met Extern bureaublad-gatewaybeheer kunt u gebeurtenissen opgeven (zoals mislukte pogingen om verbinding te maken met de RD-gatewayserver) die u voor controledoeleinden wilt volgen.