Was ist Remotedesktopgateway?
Remotedesktopgateway (RD-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das Herstellen von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von jedem Gerät aus ermöglicht, das mit dem Internet verbunden ist und auf dem der Remotedesktopverbindungs-Client (RDC-Client) ausgeführt werden kann. Netzwerkressourcen können Host für Remotedesktopsitzungen-Server, Host für Remotedesktopsitzungen-Server, auf denen RemoteApp-Programme ausgeführt werden, oder Computer mit aktiviertem Remotedesktop sein.
RD-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer sicheren, verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen, auf denen Produktivitätsanwendungen ausgeführt werden.
Warum sollte Remotedesktopgateway verwendet werden?
RD-Gateway bietet u. a die folgenden Vorteile:
- RD-Gateway ermöglicht Remotebenutzern das Herstellen einer Verbindung mit internen Netzwerkressourcen über das Internet mithilfe einer verschlüsselten Verbindung, ohne dass dabei VPN-Verbindungen (Virtual Private Network, virtuelles privates Netzwerk) konfiguriert werden müssen.
- RD-Gateway bietet ein umfassendes Sicherheitskonfigurationsmodell, mit dem Sie den Zugriff auf bestimmte interne Netzwerkressourcen steuern können. RD-Gateway ermöglicht eine Punkt-zu-Punkt-RDP-Verbindung, anstatt den Remotebenutzern den Zugriff auf alle internen Netzwerkressourcen zu ermöglichen.
- RD-Gateway ermöglicht den meisten Remotebenutzern das Herstellen einer Verbindung mit internen Netzwerkressourcen, die hinter Firewalls in privaten Netzwerken und über Netzwerkadressübersetzer (Network Address Translator, NAT) gehostet werden. Bei Verwendung von RD-Gateway müssen Sie weder den RD-Gatewayserver noch die Clients für dieses Szenario zusätzlich konfigurieren.
Vor dieser Version von Windows Server verhinderten Sicherheitsmaßnahmen, dass Remotebenutzer die Verbindung mit internen Netzwerkressourcen über Firewalls und NATs herstellen konnten. Der Grund hierfür ist, dass der für RDP-Verbindungen verwendete Port 3389 in der Regel aus Netzwerksicherheitsgründen blockiert ist. Stattdessen überträgt RD-Gateway mithilfe eines HTTP-SSL/TLS-Tunnels (Secure Sockets Layer/Transport Layer Security) den RDP-Datenverkehr an Port 443. Da Port 443 von den meisten Unternehmen zum Aktivieren der Internetkonnektivität geöffnet wird, nutzt RD-Gateway dieses Netzwerkdesign, um die RAS-Konnektivität über mehrere Firewalls zu ermöglichen. - Der Remotedesktopgateway-Manager ermöglicht die Konfiguration von Autorisierungsrichtlinien zum Definieren von Bedingungen, die erfüllt sein müssen, damit Remotebenutzer eine Verbindung mit internen Netzwerkressourcen herstellen können. Sie können beispielsweise Folgendes angeben:
- Wer eine Verbindung mit internen Netzwerkressourcen herstellen kann (d. h., die Benutzergruppen, die eine Verbindung herstellen können)
- Mit welchen Netzwerkressourcen (Computergruppen) Benutzer eine Verbindung herstellen können
- Ob Clientcomputer Mitglied von Active Directory-Sicherheitsgruppen sein müssen
- Ob die Geräteumleitung zugelassen ist
- Ob Clients die Smartcardauthentifizierung oder die Kennwortauthentifizierung verwenden müssen, oder ob sie beide Methoden verwenden können
- Wer eine Verbindung mit internen Netzwerkressourcen herstellen kann (d. h., die Benutzergruppen, die eine Verbindung herstellen können)
- Sie können RD-Gatewayserver und Remotedesktopdienste-Clients so konfigurieren, dass der Netzwerkzugriffsschutz (Network Access Protection, NAP) verwendet wird, um die Sicherheit zu erhöhen. NAP ist eine Technologie zur Erstellung, Erzwingung und Wartung der Integritätsrichtlinie, die in Windows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® und Windows XP Service Pack 3 integriert ist. Mithilfe von NAP können Systemadministratoren Integritätsanforderungen erzwingen, die Sicherheitsupdateanforderungen, erforderliche Computerkonfigurationen und andere Einstellungen umfassen können.
Weitere Informationen zum Konfigurieren von RD-Gateway für die Verwendung von NAP zur Erzwingung der Integritätsrichtlinie für Remotedesktopdienste-Clients, die eine Verbindung mit RD-Gatewayservern herstellen, finden Sie auf der Remotedesktopdienste-Seite im Windows Server 2008 R2-TechCenter unterHinweis Computer unter Windows Server 2008 R2 oder Windows Server 2008 können nicht als NAP-Clients verwendet werden, wenn RD-Gateway NAP erzwingt. Nur Computer unter Windows 7, Windows Vista oder Windows XP SP3 können als NAP-Clients verwendet werden, wenn RD-Gateway NAP erzwingt.
https://go.microsoft.com/fwlink/?linkid=140433 (möglicherweise in englischer Sprache) . - Sie können RD-Gatewayserver mit ISA Server (Microsoft Internet Security and Acceleration) verwenden, um die Sicherheit zu erhöhen. In diesem Szenario können Sie RD-Gatewayserver in einem privaten Netzwerk statt in einem Umkreisnetzwerk hosten und ISA Server im Umkreisnetzwerk hosten. Die SSL-Verbindung (Secure Sockets Layer) zwischen dem Remotedesktopdienste-Client und ISA Server kann am ISA Server (mit dem Internet verbunden) beendet werden.
Weitere Informationen zum Konfigurieren von ISA Server als SSL-Beendigungsgerät für RD-Gateway-Serverszenarien finden Sie auf der Remotedesktopdienste-Seite im Windows Server 2008 R2-TechCenter unterhttps://go.microsoft.com/fwlink/?linkid=140433 (möglicherweise in englischer Sprache) . - Mit Remotedesktopgateway-Manager werden Tools zur Überwachung von RD-Gatewayserverstatus und -ereignissen bereitgestellt. Mithilfe von Remotedesktopgateway-Manager können Sie Ereignisse angeben (beispielsweise nicht erfolgreiche Versuche zum Herstellen einer Verbindung mit dem RD-Gatewayserver), die überwacht werden sollen.