TS闸道管理员主控台.pptVIP

第 20 章 終端機服務閘道（TS Gateway） 本章重點 20 - 1 TS Gateway 簡介 20 - 2 架設 TS Gateway 伺服器 20 - 3 設定 TS Gateway 用戶端與建立連線 終端機服務閘道（TS Gateway） 終端機服務閘道（TS Gateway）是 Windows Server 2008 令人矚目的新功能之一, 因為它可以讓遠端的使用者透過網際網路, 與公司內部的網路建立一條加密的連線, 因此頗能符合多數企業的需求。 20 - 1 TS Gateway 簡介 由於 TS Gateway 在功能和架構方面都不同於以往, 所以我們先從基本原理談起, 再介紹實作方式。 TS Gateway 的架構 使用 TS Gateway 的優點 本章 TS Gateway 的應用情境 TS Gateway 的架構 假設要讓出差在外的業務員, 能透過網際網路連線到公司內部網路的伺服器, 可以用 TS Gateway 功能建置以下 的架構： TS Gateway 的架構 1. 要求與伺服器建立連線 TS Gateway 用戶端執行 RDC 6.X 程式（亦即 6.X 版的遠端桌面連線程式）, 透過網際網路連接到 TS Gateway 伺服器。 這段連線採用 RDP over TLS 技術, 將 RDP 封包隱藏在 TLS 封包內, 這樣做有『必威体育官网网址』和『可通過防火牆』的效果。 前者是因為 TLS 會將封包內容加密；後者則因為大部分的防火牆不會阻擋 TLS 封包。 TS Gateway 的架構 2. 利用『網路原則伺服器』的原則, 限制連線的建立 TS Gateway 伺服器接到 TS Gateway 用戶端的連線要求時, 會根據網路原則伺服器（NPS, Network Policy Server）所儲存的原則, 來決定『是否建立連線』和『可以連線到內部網路的哪些伺服器』。 掌控『是否建立連線』的原則謂之 CAP （Connection Authorization Policy, 連線授權原則）。 掌控『可以連線到內部網路的哪些伺服器』謂之 RAP（Resource Authorization Policy, 資源授權原則） TS Gateway 的架構 3. 與要遙控的伺服器（亦即被控端）建立連線。 到底是 SSL 加密或 TLS 加密？ 在 Windows Server 2008 的畫面和說明文件中, 有的顯示 SSL 加密；有些則顯示 TLS 加密, 到底是哪一種才對？其實兩者的意思相同。 SSL (Secure Socket Layer) 是 Netscape 公司所推出的協定, 由於受到廣泛使用, 發展到了 3.0 版時, 被 IETF 組織加以修改成為國際標準, 稱為 TLS (Transport Layer Security) 1.0 版, 相關規格記載於 RFC 2246。 到底是 SSL 加密或 TLS 加密？ 從技術面來看, SSL 3.0 與 TLS 1.0 的差異極小, 一般將兩者視為相同, 所以經常會將 SSL 與 TLS 兩個名詞混用。 使用 TS Gateway 的優點 從前文的架構圖可以看出 TS Gateway 有以下的優點： 在防火牆毋須開放 TCP 3389 連接埠 直接以遠端桌面連線程式（RDP 協定）來建立連線時, 會使用 TCP 3389 連接埠, 但是大多數的防火牆裝置或 NAT 裝置不會開放該連接埠, 因此必須額外設定。 使用 TS Gateway 的優點 但是 TS Gateway 所用的 TLS 協定廣泛用於電子商務的網站, 所以防火牆裝置或 NAT 裝置通常會開放它所用的 TCP 443 連接埠, 毋須再額外設定。 毋須使用虛擬私人網路（VPN） 以往要透過網際網路連線到公司內部網路, 幾乎都用虛擬私人網路技術。 可是相對來說, 建立 VPN 伺服器的技術門檻比較高, 而且在用戶端的設定也比較繁瑣, 不如遠端桌面連線程式好用。 本章 TS Gateway 的應用情境 為了便於理解, 本章將以最少的電腦來架構一個 TS Gateway 的應用情境, 如下圖： 本章 TS Gateway 的應用情境 TS Gateway 用戶端透過 Genie-pc 連線到 WS2008, Genie-pc 不但扮演 TS Gateway 伺服器, 也是儲存 CAP 和 RAP 的網路原則伺服器。 20 - 2 架設 TS Gateway 伺服器 一般要架設某種伺服器, 大多都是安裝相對應的元件即可。 可是要架設 TS Gateway 伺服器則不然, 還多了『申請與安裝伺服器憑證』及『建立授權原則』等動作, 整個流程算是比較複雜, 因此我們整理如右圖。 架設 TS