什麼是遠端桌面閘道?

遠端桌面閘道 (RD 閘道) 是一個角色服務,可讓授權的遠端使用者從任何可執行遠端桌面連線 (RDC) 用戶端的網際網路連線裝置,連線到公司內部網路或私人網路上的資源。網路資源可以是 遠端桌面工作階段主機 (RD 工作階段主機)伺服器、執行 RemoteApp 程式 程式的 RD 工作階段主機伺服器,或已啟用遠端桌面的電腦。

RD 閘道可使用透過 HTTPS 的遠端桌面通訊協定 (RDP),在網際網路上的遠端使用者與使用者生產應用程式執行所在的內部網路資源之間建立安全的加密連線。

為什麼使用遠端桌面閘道?

RD 閘道提供許多好處,包括:

  • RD 閘道可讓遠端使用者使用加密的連線,透過網際網路連線至內部網路資源,而不需要設定虛擬私人網路 (VPN) 連線。

  • RD 閘道具有完整的安全性設定模型,可讓您控制對特定內部網路資源的存取。RD 閘道提供點對點的 RDP 連線,而不是讓遠端使用者存取所有的內部網路資源。

  • RD 閘道可以讓大部分的遠端使用者連線至位於私人網路防火牆之後,以及網路位址轉譯器 (NAT) 之間的內部網路資源。使用 RD 閘道,您就不必再針對這種狀況對 RD 閘道伺服器或用戶端執行其他設定。

    在這一版的 Windows Server 之前,安全性措施使得遠端使用者無法跨越防火牆和 NAT 連線至內部網路資源。這是因為 RDP 連線使用的連接埠 3389 通常基於網路安全性目的而封鎖。RD 閘道使用 HTTP 安全通訊端層/傳輸層安全性 (SSL/TLS) 通道,將 RDP 流量改送至連接埠 443。因為大多數企業都會開啟連接埠 443 以啟用網際網路連線,所以 RD 閘道利用此網路設計提供跨越多個防火牆的遠端存取連線。

  • 遠端桌面閘道管理員可以讓您設定授權原則,以定義遠端使用者連線到內部網路資源時必須符合的條件。例如,您可以指定:

    • 誰可以連線到內部網路資源 (換言之,可以連線的使用者群組)。

    • 使用者可以連線到哪些網路資源 (電腦群組)。

    • 用戶端電腦是否必須是 Active Directory 安全性群組的成員。

    • 是否允許裝置重新導向。

    • 用戶端必須使用智慧卡驗證或密碼驗證,或者可以使用任一種方法。

  • 您可以設定 RD 閘道伺服器與遠端桌面服務用戶端使用網路存取保護 (NAP),進一步加強安全性。NAP 是 Windows Server(R) 2008 R2、Windows Server(R) 2008、Windows(R) 7、Windows Vista(R) 以及 Windows(R) XP Service Pack 3 內含的健康原則建立、強制及修復技術。系統管理員使用 NAP,可以強制健康情況需求,需求可包含軟體需求、安全性更新需求、必要的電腦設定及其他設定。

    附註

    當 RD 閘道強制執行 NAP 時,執行 Windows Server 2008 R2 或 Windows Server 2008 的電腦無法做為 NAP 用戶端。當 RD 閘道強制執行 NAP 時,只有執行 Windows 7、Windows Vista 或 Windows XP SP3 的電腦可做為 NAP 用戶端。

    如需如何設定 RD 閘道,以使用 NAP 針對連線至 RD 閘道伺服器的遠端桌面服務用戶端強制實施健康原則的相關資訊,請參閱 Windows Server 2008 R2 TechCenter 上的遠端桌面服務網頁 (https://go.microsoft.com/fwlink/?linkid=140433 (可能為英文網頁))。

  • 您可以搭配使用 RD 閘道伺服器與 Microsoft Internet Security and Acceleration (ISA) 伺服器,以加強安全性。在此狀況中,您可以在私人網路中主控 RD 閘道伺服器 (而非在周邊網路中),並在周邊網路中主控 ISA 伺服器。遠端桌面服務用戶端與 ISA 伺服器之間的安全通訊端層 (SSL) 連線可以在連接網際網路的 ISA 伺服器處終止。

    如需如何為 RD 閘道伺服器將 ISA 伺服器設定為 SSL 終止裝置的相關資訊,請參閱 Windows Server 2008 R2 TechCenter 上的遠端桌面服務網頁 (https://go.microsoft.com/fwlink/?linkid=140433 (可能為英文網頁))。

  • 遠端桌面閘道管理員提供一些工具,幫助您監視 RD 閘道伺服器狀態以及事件。使用遠端桌面閘道管理員,可以指定要監視以便稽核的事件 (例如,對 RD 閘道伺服器的失敗連線嘗試)。

其他參考資料


目錄