終端網(wǎng)關(guān)服務(wù)器入門

只要是開(kāi)放員工可以遠(yuǎn)程連接存取企業(yè)內(nèi)部的網(wǎng)絡(luò)資源，那么無(wú)論采用什么方式，都有可能發(fā)生因客戶端的各項(xiàng)不安全因素，直接危及到企業(yè)網(wǎng)絡(luò)正常運(yùn)行中的安全問(wèn)題，即便是終端服務(wù)主機(jī)的連接方式也不例外。

有鑒于近年來(lái)企業(yè)對(duì)于終端服務(wù)應(yīng)用需求的大幅成長(zhǎng)，在對(duì)于企業(yè)外部的遠(yuǎn)程連接機(jī)制上，無(wú)論是簡(jiǎn)單的遠(yuǎn)程桌面連接需求，或是大量的終端服務(wù)主機(jī)的存取需求，為了讓網(wǎng)絡(luò)管理人員負(fù)擔(dān)減輕，以及讓遠(yuǎn)程的使用者連接存取上更加方便，Microsoft在最新的Windows Server 2008終端服務(wù)角色中，推出了一個(gè)新的終端網(wǎng)關(guān)服務(wù)器角色，企業(yè)IT可以通過(guò)它的部署，讓它負(fù)責(zé)將遠(yuǎn)程使用者連接企業(yè)內(nèi)部網(wǎng)絡(luò)終端的需求，直接進(jìn)行轉(zhuǎn)向到所要連接的目的地。當(dāng)然啦，在基礎(chǔ)的安全管理上，系統(tǒng)管理人員可以對(duì)于任何連接的使用者或計(jì)算機(jī)進(jìn)行管控，也可以對(duì)所開(kāi)放連接的目標(biāo)計(jì)算機(jī)列表進(jìn)行管理。

圖1 NAP整合終端服務(wù)網(wǎng)關(guān)架構(gòu)

NAP整合終端服務(wù)網(wǎng)關(guān)架構(gòu)

在擁有高度嚴(yán)謹(jǐn)安全的企業(yè)網(wǎng)絡(luò)中，采用上述的安全管理機(jī)制就夠了嗎?當(dāng)然不夠，因?yàn)槲覀儫o(wú)法確認(rèn)這些遠(yuǎn)程使用者計(jì)算機(jī)目前安全與否，也就是說(shuō)，如果我們沒(méi)有將它也一并與Windows Server 2008所提供的網(wǎng)絡(luò)存取保護(hù)（NAP）安全機(jī)制進(jìn)行整合，那么隨時(shí)可能造成企業(yè)網(wǎng)絡(luò)安全問(wèn)題。

談到終端服務(wù)網(wǎng)關(guān)主機(jī)與網(wǎng)絡(luò)存取保護(hù)（NAP）機(jī)制的整合，在架構(gòu)上可以參閱圖1說(shuō)明，在這個(gè)范例中，我們只是在現(xiàn)有的終端服務(wù)主機(jī)的架構(gòu)上，加上了一部網(wǎng)絡(luò)政策服務(wù)器（NPS），來(lái)負(fù)責(zé)檢驗(yàn)所有遠(yuǎn)程嘗試連接的客戶端計(jì)算機(jī)，是否符合企業(yè)IT部門所指定的安全檢查清單，這些遠(yuǎn)程使用者的計(jì)算機(jī)，除了需要是Windows Vista或Windows XP SP3的版本之外，還必須完成相關(guān)的NAP配置才可以開(kāi)始正常運(yùn)作。

安裝終端網(wǎng)關(guān)服務(wù)器

首先部署終端服務(wù)網(wǎng)關(guān)主機(jī)，一般來(lái)說(shuō)，由于網(wǎng)絡(luò)安全性規(guī)劃上的考慮，建議將TS網(wǎng)關(guān)的服務(wù)器獨(dú)立安裝在防火墻的DMZ網(wǎng)絡(luò)區(qū)段中，并且必須讓它可以通過(guò)TCP 3389通訊端口的連接方式，來(lái)進(jìn)行轉(zhuǎn)接到內(nèi)部網(wǎng)絡(luò)的終端服務(wù)器。

終端服務(wù)網(wǎng)關(guān)主機(jī)的安裝設(shè)置，在“開(kāi)始→系統(tǒng)管理工具”下拉選單中的“服務(wù)器管理員”處，點(diǎn)選新增角色。接下來(lái)將會(huì)來(lái)到“服務(wù)器角色”頁(yè)面，在此請(qǐng)將“終端服務(wù)”項(xiàng)目勾選。最后，在“角色服務(wù)”頁(yè)面中，惟一勾選“TS網(wǎng)關(guān)”項(xiàng)目即可。

由于TS網(wǎng)關(guān)服務(wù)器角色，采用了RDP over HTTPs的技術(shù)來(lái)轉(zhuǎn)送終端服務(wù)的連接，因此當(dāng)我們勾選這個(gè)角色時(shí)，將會(huì)出現(xiàn)“新增角色向?qū)А保渲杏嘘P(guān)于客戶端證書對(duì)應(yīng)驗(yàn)證以及RPC over HTTP Proxy便是兩項(xiàng)關(guān)鍵的重要組件，請(qǐng)點(diǎn)選“新增所需的角色服務(wù)”。

在“服務(wù)器驗(yàn)證證書”頁(yè)面，必須選擇TS網(wǎng)關(guān)使用的服務(wù)器證書，在此如果您的TS網(wǎng)關(guān)主機(jī)要加入內(nèi)部的Active Directory網(wǎng)域，便可以在預(yù)先通過(guò)MMC接口申請(qǐng)證書之后來(lái)選取。至于如果是一部未加入網(wǎng)域的獨(dú)立服務(wù)器，則可以暫時(shí)選取“建立自我簽屬證書進(jìn)行SSL加密”即可，后面，我們將會(huì)對(duì)證書的申請(qǐng)作詳細(xì)介紹。點(diǎn)選“下一步”繼續(xù)。

如果遠(yuǎn)程計(jì)算機(jī)想要通過(guò)TS網(wǎng)關(guān)主機(jī)來(lái)連接企業(yè)內(nèi)部的終端服務(wù)器，除了需要知道網(wǎng)關(guān)的地址之外，在尚未整合NAP的安全機(jī)制下，默認(rèn)還必須通過(guò)連接授權(quán)政策（TS CAP）與資源授權(quán)政策（TS RAP）的檢驗(yàn)之后，才能真正進(jìn)行連接存取。因此，在“為TS網(wǎng)關(guān)建立授權(quán)政策”頁(yè)面中，您可以決定是否要立即進(jìn)行這兩部分的相關(guān)授權(quán)設(shè)置。完成了TS網(wǎng)關(guān)服務(wù)器的安裝之后，我們可以在“系統(tǒng)管理工具→終端服務(wù)”下拉選單中，開(kāi)啟TS網(wǎng)關(guān)管理員接口。