Шлюз служб терминалов



Предыдущая | Следующая

Шлюз служб терминалов

Шлюз служб терминалов (TS Gateway) представляет собой опциональный компонент, позволяющий авторизованным клиентам удаленного рабочего стола устанавливать сеанс RDP (Remote Desktop Protocol) между Интернетом и ресурсами служб терминалов, расположенными за брандмауэром и частной сети. (В данном случае выражение «ресурсы служб терминалов» означает серверы терминалов и компьютеры с включенным компонентом Удаленный рабочий стол (Remote Desktop).)

Поскольку передача данных осуществляется через Интернет, RDP-полклю-чения к серверу шлюза служб терминалов защищены и зашифрованы протоколом Secure Sockets Layer (SSL).

Ключевая особенность шлюза служб терминалов состоит в том, что он пропускает поток RDP-трафика через TCP-порт 443 корпоративных брандмауэров, который обычно открыт для SSL-трафика. (По умолчанию RDP-трафик проходит через ТСР-порт 3389.)

В базовом pa3BepTbiB3FiHH шлюза служб терминалов, схема которого показана на рис. 4-13, пользователь домашнего компьютера (под номером 1) подключается через Интернет к шлюзу служб терминалов (под номером 2). расположенному за внешним корпоративным брандмауэром.

Подключение от точки 1 к точке 2 устанавливается щютоколом RDP, инкапсулированным в туннель HTTPS (HTTP через SSL). Для получения этого HTTPS-подключения в периметре сети на сервере шлюза служб терминалов должен быть запущен веб-сервер internet Information Services (US). После приема подключения сервер TS-шлюза извлекает данные HTTPS и направляет RDP-пакеты на конечные серверы терминалов (под номером 3), расположенные за вторым, внутренним брандмауэром. Если в данном сценарии требуется разрешить или запретить входящие подключения к учетным записям Active Directory, на шлюзе служб терминалов нужно установить Службу каталогов Active Directory (Active Directory Domain Services).

В качестве альтернативы базовому сценарию, схема которого показана на рис. 4-13, вы можете использовать вместо сервера шлюза служб терминалов (TS Gateway) сервер ISA (Internet Security and Acceleration) как конечную точку SSL/HTTPS для входящего подключения TS-клиепта.

В данном сценарии, схема которого показана на рис. 4-14, lSA-сернер (под номером 2) выступает в качестве моста HTTPS-to-HTTPS или ITTTPS-to-MTTP к серверу шлюза TS (под номером 3), а сервер шлюза TS затем направляет RDP-подключение к соответствующему внутреннему ресурсу (под номером А). Этот метод обеспечивает преимущество защиты информации Active Directory в корпоративной сети.

содержание: Развертывание и настройка Windows Server 2008