什么是远程桌面网关?
远程桌面网关(RD 网关)是一个角色服务,使授权远程用户可以从任何连接到 Internet 并且可以运行远程桌面连接 (RDC) 客户端的设备连接到内部企业网络或专用网络上的资源。网络资源可以是远程桌面会话主机(RD 会话主机)服务器、运行 RemoteApp 程序的RD 会话主机服务器或启用了远程桌面的计算机。
RD 网关使用 HTTPS 上的远程桌面协议 (RDP) 在 Internet 上的远程用户与运行其生产力应用程序的内部网络资源之间建立安全的加密连接。
为什么使用远程桌面网关?
RD 网关有许多优点,其中包括:
- 通过 RD 网关,远程用户可以使用加密连接,通过 Internet 连接到内部网络资源,而不必配置虚拟专用网络 (VPN) 连接。
- RD 网关提供全面的安全配置模型,使您可以控制对特定内部网络资源的访问。RD 网关提供点对点的 RDP 连接,而不是允许远程用户访问所有内部网络资源。
- 通过 RD 网关,大多数远程用户可以连接到在专用网络中的防火墙后面或跨网络地址转换程序 (NAT) 托管的内部网络资源。在此方案中,通过 RD 网关,不必对 RD 网关服务器或客户端执行其他配置。
在此版本的 Windows Server 之前,采用安全措施来阻止远程用户跨防火墙和 NAT 连接到内部网络资源。这是由于出于网络安全考虑,通常阻止端口 3389(用于 RDP 连接的端口)。RD 网关使用 HTTP 安全套接字层/传输层安全 (SSL/TLS) 隧道将 RDP 通信传输到端口 443。由于大多数公司打开端口 443 来支持 Internet 连接,所以,RD 网关利用此网络设计提供跨多个防火墙的远程访问连接。 - 通过远程桌面网关管理器可以配置授权策略,以定义远程用户要连接到内部网络资源必须满足的条件。例如,可以指定:
- 可以连接到内部网络资源的用户(即,可以连接的用户组)。
- 用户可以连接到的网络资源(计算机组)。
- 客户端计算机是否必须是 Active Directory 安全组的成员。
- 是否允许设备的重定向。
- 客户端需要使用智能卡身份验证还是密码身份验证,还是可以使用任一方法。
- 可以连接到内部网络资源的用户(即,可以连接的用户组)。
- 可以将 RD 网关服务器和远程桌面服务客户端配置为使用网络访问保护 (NAP) 来进一步增强安全性。NAP 是 Windows Server(R) 2008 R2、Windows Server(R) 2008、Windows(R) 7、Windows Vista(R) 和 Windows(R) XP Service Pack 3 中包含的运行状况策略创建、强制和补救技术。通过 NAP,系统管理员可以强制运行状况要求,可以包括软件要求、安全更新要求、所需的计算机配置以及其他设置。
有关如何将 RD 网关配置为使用 NAP 对连接到 RD 网关服务器的远程桌面服务客户端强制运行状况策略的信息,请参阅 Windows Server 2008 R2 技术中心上的“远程桌面服务”页 [
注意 如果 RD 网关强制 NAP,则运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机不能作为 NAP 客户端使用。如果 RD 网关强制 NAP,则仅运行 Windows 7、Windows Vista 或 Windows XP SP3 的计算机可以作为 NAP 客户端使用。
https://go.microsoft.com/fwlink/?linkid=140433(可能为英文网页) ]。 - 可以将 RD 网关服务器与 Microsoft Internet Security and Acceleration (ISA) 服务器一起使用来提高安全性。在此方案中,可以在专用网络中(而不是在外围网络中)托管 RD 网关服务器,且可以在外围网络中托管 ISA 服务器。远程桌面服务客户端与 ISA 服务器之间的安全套接字层 (SSL) 连接可以在连接到 Internet 的 ISA 服务器上终止。
有关如何将 ISA 服务器配置为 RD 网关服务器方案的 SSL 终结设备的信息,请参阅 Windows Server 2008 R2 技术中心上的“远程桌面服务”页 [https://go.microsoft.com/fwlink/?linkid=140433(可能为英文网页) ]。 - 远程桌面网关管理器提供的工具帮助您监视 RD 网关服务器状态和事件。通过使用远程桌面网关管理器,可以指定为了进行审核要监视的事件(例如尝试连接到 RD 网关服务器不成功)。