Co je Brána vzdálené plochy?

Brána vzdálené plochy (Brána VP) je služba role, která umožňuje autorizovaným vzdáleným uživatelům připojit se k prostředkům v interní podnikové nebo privátní síti z libovolného zařízení připojeného k Internetu, v němž je možné spustit klienta Připojení ke vzdálené ploše. Síťovými prostředky mohou být servery Hostitel relací vzdálené plochy (hostitel relací VP), servery Hostitel relací VP se spuštěnými aplikacemi Programy aplikací RemoteApp nebo počítače s povolenou vzdálenou plochou.

Služba Brána VP používá k navázání zabezpečeného šifrovaného připojení mezi vzdálenými uživateli v Internetu a interními síťovými prostředky se spuštěnými výkonnými aplikacemi protokol RDP (Remote Desktop Protocol) přes protokol HTTPS.

Proč používat službu Brána vzdálené plochy?

Služba Brána VP poskytuje mnoho výhod, včetně následujících:

  • Služba Brána VP umožňuje vzdáleným uživatelům připojit se k interním síťovým prostředkům přes Internet pomocí zašifrovaného připojení, bez nutnosti konfigurovat připojení virtuální privátní sítě (VPN).

  • Služba Brána VP poskytuje komplexní model konfigurace zabezpečení, který umožňuje řídit přístup ke konkrétním interním síťovým prostředkům. Služba Brána VP poskytuje připojení protokolu RDP typu point-to-point, neumožňuje tedy vzdáleným uživatelům přístup ke všem síťovým prostředkům.

  • Služba Brána VP umožňuje většině vzdálených uživatelů připojit se k interním síťovým prostředkům, které jsou hostovány za branami firewall v privátních sítích, a prostřednictvím služeb NAT (Network Address Translators). Při použití služby Brána VP není nutné provádět dodatečnou konfiguraci serveru Brána VP nebo klientů pro tuto situaci.

    Před touto verzí systému Windows Server znemožňovaly funkce zabezpečení vzdáleným uživatelům připojit se k interním síťovým prostředkům přes brány firewall a služby NAT. Důvodem je, že port 3389, který se používá pro připojení RDP, je obvykle zablokován pro účely zabezpečení sítě. Služba Brána VP namísto toho směruje komunikaci protokolu RDP na port 443 pomocí tunelového připojení protokolu HTTP SSL/TLS (Secure Sockets Layer/Transport Layer Security). Protože většina společností otevírá port 443 za účelem povolení připojení k Internetu, služba Brána VP využívá tohoto návrhu sítě za účelem zajištění možností vzdáleného přístupu přes více bran firewall.

  • Služba Správce brány vzdálené plochy umožňuje konfigurovat zásady ověřování definující podmínky, které musí být splněny, aby se vzdálení uživatelé mohli připojit k interním síťovým prostředkům. Můžete například určit:

    • kdo se může připojit k interním síťovým prostředkům (jinými slovy skupiny uživatelů, které se mohou připojit),

    • k jakým síťovým prostředkům (skupinám počítačů) se uživatelé mohou připojit,

    • zda musí být klientské počítače členy skupin zabezpečení služby Active Directory,

    • zda je povoleno přesměrování zařízení,

    • zda musí klienti používat ověřování kartou SmartCard nebo ověřování heslem, nebo zda mohou použít kteroukoli z těchto metod.

  • U serverů služby Brána VP a klientů služby Vzdálená plocha můžete konfigurovat používání architektury NAP (Network Access Protection) za účelem zdokonalení zabezpečení. NAP je technologie vytváření, vynucování a nápravy problémů zásad stavu, která je součástí systémů Windows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® a Windows® XP Service Pack 3. S využitím technologie NAP mohou správci systému vynutit požadavky stavu počítače, mezi které patří požadavky na software, požadavky na aktualizace zabezpečení, požadované konfigurace počítače a další nastavení.

    Poznámka

    Počítače se systémem Windows Server 2008 R2 nebo Windows Server 2008 nelze použít jako klienty architektury NAP v případě, že služba Brána VP vynucuje architekturu NAP. Jako klienty architektury NAP v případě, že služba Brána VP vynucuje architekturu NAP, lze použít pouze počítače se systémem Windows 7, Windows Vista nebo Windows XP SP3.

    Informace o konfiguraci služby Brána VP na používání architektury NAP za účelem vynucení zásad stavu pro klienty služby Vzdálená plocha připojující se k serverům služby Brána VP najdete na stránce služby Vzdálená plocha webu TechCenter pro systém Windows Server 2008 R2 (https://go.microsoft.com/fwlink/?linkid=140433 (stránka může být v angličtině)).

  • Server služby Brána VP lze společně se serverem Microsoft Internet Security and Acceleration (ISA) Server použít ke zvýšení zabezpečení. V tomto scénáři můžete servery služby Brána VP hostovat v privátní síti (nikoli tedy v hraniční síti) a ISA Server hostovat v hraniční síti. Připojení SSL (Secure Sockets Layer) mezi klientem služby Vzdálená plocha a serverem ISA Server lze ukončit na serveru ISA Server, který je přístupný z Internetu.

    Informace o konfiguraci serveru ISA Server jako ukončovacího zařízení připojení SSL pro prostředí se serverem služby Brána VP najdete na stránce služby Vzdálená plocha webu TechCenter pro systém Windows Server 2008 R2 (https://go.microsoft.com/fwlink/?linkid=140433 (stránka může být v angličtině)).

  • Nástroj Správce brány vzdálené plochy obsahuje nástroje umožňující monitorovat stav a události serveru služby Brána VP. Pomocí nástroje Správce brány vzdálené plochy můžete zadat události (například neúspěšné pokusy o připojení k serveru Brána VP), které chcete monitorovat pro účely auditu.


Obsah