終端網關服務器入門

只要是開放員工可以遠程連接存取企業內部的網絡資源，那么無論采用什么方式，都有可能發生因客戶端的各項不安全因素，直接危及到企業網絡正常運行中的安全問題，即便是終端服務主機的連接方式也不例外。

有鑒于近年來企業對于終端服務應用需求的大幅成長，在對于企業外部的遠程連接機制上，無論是簡單的遠程桌面連接需求，或是大量的終端服務主機的存取需求，為了讓網絡管理人員負擔減輕，以及讓遠程的使用者連接存取上更加方便，Microsoft在最新的Windows Server 2008終端服務角色中，推出了一個新的終端網關服務器角色，企業IT可以通過它的部署，讓它負責將遠程使用者連接企業內部網絡終端的需求，直接進行轉向到所要連接的目的地。當然啦，在基礎的安全管理上，系統管理人員可以對于任何連接的使用者或計算機進行管控，也可以對所開放連接的目標計算機列表進行管理。

圖1 NAP整合終端服務網關架構

NAP整合終端服務網關架構

在擁有高度嚴謹安全的企業網絡中，采用上述的安全管理機制就夠了嗎?當然不夠，因為我們無法確認這些遠程使用者計算機目前安全與否，也就是說，如果我們沒有將它也一并與Windows Server 2008所提供的網絡存取保護（NAP）安全機制進行整合，那么隨時可能造成企業網絡安全問題。

談到終端服務網關主機與網絡存取保護（NAP）機制的整合，在架構上可以參閱圖1說明，在這個范例中，我們只是在現有的終端服務主機的架構上，加上了一部網絡政策服務器（NPS），來負責檢驗所有遠程嘗試連接的客戶端計算機，是否符合企業IT部門所指定的安全檢查清單，這些遠程使用者的計算機，除了需要是Windows Vista或Windows XP SP3的版本之外，還必須完成相關的NAP配置才可以開始正常運作。

安裝終端網關服務器

首先部署終端服務網關主機，一般來說，由于網絡安全性規劃上的考慮，建議將TS網關的服務器獨立安裝在防火墻的DMZ網絡區段中，并且必須讓它可以通過TCP 3389通訊端口的連接方式，來進行轉接到內部網絡的終端服務器。

終端服務網關主機的安裝設置，在“開始→系統管理工具”下拉選單中的“服務器管理員”處，點選新增角色。接下來將會來到“服務器角色”頁面，在此請將“終端服務”項目勾選。最后，在“角色服務”頁面中，惟一勾選“TS網關”項目即可。

由于TS網關服務器角色，采用了RDP over HTTPs的技術來轉送終端服務的連接，因此當我們勾選這個角色時，將會出現“新增角色向導”，其中有關于客戶端證書對應驗證以及RPC over HTTP Proxy便是兩項關鍵的重要組件，請點選“新增所需的角色服務”。

在“服務器驗證證書”頁面，必須選擇TS網關使用的服務器證書，在此如果您的TS網關主機要加入內部的Active Directory網域，便可以在預先通過MMC接口申請證書之后來選取。至于如果是一部未加入網域的獨立服務器，則可以暫時選取“建立自我簽屬證書進行SSL加密”即可，后面，我們將會對證書的申請作詳細介紹。點選“下一步”繼續。

如果遠程計算機想要通過TS網關主機來連接企業內部的終端服務器，除了需要知道網關的地址之外，在尚未整合NAP的安全機制下，默認還必須通過連接授權政策（TS CAP）與資源授權政策（TS RAP）的檢驗之后，才能真正進行連接存取。因此，在“為TS網關建立授權政策”頁面中，您可以決定是否要立即進行這兩部分的相關授權設置。完成了TS網關服務器的安裝之后，我們可以在“系統管理工具→終端服務”下拉選單中，開啟TS網關管理員接口。