O que é o Gateway de Ambiente de Trabalho Remoto?
O Gateway de Ambiente de Trabalho Remoto (Gateway de RD) é um serviço de função que permite que utilizadores remotos autorizados estabeleçam ligação com recursos numa rede interna de empresa ou privada, a partir de qualquer dispositivo com ligação à Internet que possa executar o cliente Ligação ao Ambiente de Trabalho Remoto (RDC). Os recursos de rede podem ser servidores de Anfitrião de Sessões de Ambiente de Trabalho Remoto (Anfitrião de Sessões de RD), servidores de Anfitrião de Sessões de RD a executar Programas RemoteApp ou computadores com o Ambiente de Trabalho Remoto activado.
O Gateway de RD utiliza o protocolo RDP (Remote Desktop Protocol) através de HTTPS para estabelecer uma ligação segura, encriptada entre os utilizadores remotos na Internet e os recursos de rede interna onde são executadas as aplicações de produtividade.
Porquê utilizar o Gateway de Ambiente de Trabalho Remoto?
O Gateway de RD oferece muitas vantagens, incluindo:
- O Gateway de RD permite que utilizadores remotos estabeleçam ligação a recursos da rede interna através da Internet utilizando uma ligação encriptada, sem ser necessário configurar ligações de rede privada virtual (VPN).
- O Gateway de RD fornece um modelo de configuração de segurança abrangente que lhe permite controlar o acesso a recursos específicos de rede interna. O Gateway de RD fornece uma ligação RDP ponto a ponto, em vez de permitir que utilizadores remotos tenham acesso a todos os recursos de rede interna.
- O Gateway de RD permite que a maioria dos utilizadores remotos estabeleçam ligação a recursos da rede interna alojados atrás de firewalls em redes privadas e através de traduções de endereços de rede (NATs). Com o Gateway de RD, não é necessário efectuar configuração adicional para o servidor ou clientes do Gateway de RD para este cenário.
Antes desta versão do Windows Server, medidas de segurança impediam os utilizadores remotos de estabelecer ligação a recursos da rede interna através de firewalls e NATs. Isto deve-se ao facto de a porta 3389, a porta utilizada para ligações RDP, estar normalmente bloqueada por motivos de segurança da rede. O Gateway de RD transmite o tráfego RDP para a porta 443, utilizando um túnel SSL/TLS (Secure Sockets Layer/Transport Layer Security) HTTP. Como a maior parte das empresas abre a porta 443 para permitir a ligação à Internet, o Gateway de RD tira partido desta concepção de rede para fornecer conectividade de acesso remoto através de múltiplas firewalls. - O Gestor de Gateway de Ambiente de Trabalho Remoto permite configurar políticas de autorização para definir as condições que têm de ser cumpridas para os utilizadores estabelecerem ligação aos recursos da rede interna. Por exemplo, pode especificar:
- Quem pode ligar aos recursos da rede interna (por outras palavras, os grupos de utilizadores que podem estabelecer ligação).
- A que recursos da rede (grupos de computadores) os utilizadores podem ligar.
- Se os computadores cliente têm de ser membros de grupos de segurança do Active Directory.
- Se o redireccionamento de dispositivos é permitido.
- Se os clientes necessitam de utilizar a autenticação de smart card ou por palavra-passe ou se podem utilizar qualquer um destes métodos.
- Quem pode ligar aos recursos da rede interna (por outras palavras, os grupos de utilizadores que podem estabelecer ligação).
- Pode configurar servidores do Gateway de RD e clientes dos Serviços de Ambiente de Trabalho Remoto para utilizarem NAP (Network Access Protection), de modo a aumentar ainda mais a segurança. O NAP é uma tecnologia de remediação, imposição e criação de políticas de estado de funcionamento incluída no Windows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® e Windows® XP Service Pack 3. Com NAP, os administradores de sistema podem impor requisitos de estado de funcionamento, que podem incluir requisitos de software, requisitos de actualização de segurança, configurações de computador necessárias e outras definições.
Para obter informações sobre como configurar o Gateway de RD para utilizar o NAP para imposição de políticas de estado de funcionamento para clientes de Serviços de Ambiente de Trabalho Remoto ligados a servidores de Gateway de RD, consulte a página de Serviços de Ambiente de Trabalho Remoto no Windows Server 2008 R2 TechCenter (Nota Os computadores com o Windows Server 2008 R2 ou Windows Server 2008 não podem ser utilizados como clientes NAP quando o Gateway de RD impõe NAP. Apenas os computadores com o Windows 7, Windows Vista ou o Windows XP SP3 podem ser utilizados como clientes NAP quando o Gateway de RD impõe NAP.
https://go.microsoft.com/fwlink/?linkid=140433 (pode estar em inglês) ). - Pode utilizar o servidor de Gateway de RD com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurança. Neste cenário, pode alojar servidores de Gateway de RD numa rede privada, em vez de numa rede de perímetro, e alojar o ISA Server na rede de perímetro. A ligação SSL (Secure Sockets Layer) entre o cliente de Serviços de Ambiente de Trabalho Remoto e o ISA Server pode ser terminada no ISA Server, que está exposto à Internet.
Para obter informações sobre como configurar o ISA Server como um dispositivo de terminação SSL para cenários de servidores de Gateway de RD, consulte a página de Serviços de Ambiente de Trabalho Remoto no Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?linkid=140433 (pode estar em inglês) ). - O Gestor de Gateway de Ambiente de Trabalho Remoto fornece ferramentas para ajudar a monitorizar o estado e os eventos do servidor de Gateway de RD. Utilizando o Gestor de Gateway de Ambiente de Trabalho Remoto, pode especificar eventos (tais como tentativas de ligação falhadas ao servidor de Gateway de RD) que pretende monitorizar para efeitos de auditoria.