只要是開放員工可以遠程連接存取企業(yè)內(nèi)部的網(wǎng)絡(luò)資源，那么無論采用什么方式，都有可能發(fā)生因客戶端的各項不安全因素，直接危及到企業(yè)網(wǎng)絡(luò)正常運行中的安全問題，即便是終端服務(wù)主機的連接方式也不例外。

有鑒于近年來企業(yè)對于終端服務(wù)應(yīng)用需求的大幅成長，在對于企業(yè)外部的遠程連接機制上，無論是簡單的遠程桌面連接需求，或是大量的終端服務(wù)主機的存取需求，為了讓網(wǎng)絡(luò)管理人員負擔(dān)減輕，以及讓遠程的使用者連接存取上更加方便，Microsoft在最新的Windows Server 2008終端服務(wù)角色中，推出了一個新的終端網(wǎng)關(guān)服務(wù)器角色，企業(yè)IT可以通過它的部署，讓它負責(zé)將遠程使用者連接企業(yè)內(nèi)部網(wǎng)絡(luò)終端的需求，直接進行轉(zhuǎn)向到所要連接的目的地。當(dāng)然啦，在基礎(chǔ)的安全管理上，系統(tǒng)管理人員可以對于任何連接的使用者或計算機進行管控，也可以對所開放連接的目標(biāo)計算機列表進行管理。

圖1 NAP整合終端服務(wù)網(wǎng)關(guān)架構(gòu)

NAP整合終端服務(wù)網(wǎng)關(guān)架構(gòu)

在擁有高度嚴謹安全的企業(yè)網(wǎng)絡(luò)中，采用上述的安全管理機制就夠了嗎?當(dāng)然不夠，因為我們無法確認這些遠程使用者計算機目前安全與否，也就是說，如果我們沒有將它也一并與Windows Server 2008所提供的網(wǎng)絡(luò)存取保護（NAP）安全機制進行整合，那么隨時可能造成企業(yè)網(wǎng)絡(luò)安全問題。

談到終端服務(wù)網(wǎng)關(guān)主機與網(wǎng)絡(luò)存取保護（NAP）機制的整合，在架構(gòu)上可以參閱圖1說明，在這個范例中，我們只是在現(xiàn)有的終端服務(wù)主機的架構(gòu)上，加上了一部網(wǎng)絡(luò)政策服務(wù)器（NPS），來負責(zé)檢驗所有遠程嘗試連接的客戶端計算機，是否符合企業(yè)IT部門所指定的安全檢查清單，這些遠程使用者的計算機，除了需要是Windows Vista或Windows XP SP3的版本之外，還必須完成相關(guān)的NAP配置才可以開始正常運作。

安裝終端網(wǎng)關(guān)服務(wù)器

首先部署終端服務(wù)網(wǎng)關(guān)主機，一般來說，由于網(wǎng)絡(luò)安全性規(guī)劃上的考慮，建議將TS網(wǎng)關(guān)的服務(wù)器獨立安裝在防火墻的DMZ網(wǎng)絡(luò)區(qū)段中，并且必須讓它可以通過TCP 3389通訊端口的連接方式，來進行轉(zhuǎn)接到內(nèi)部網(wǎng)絡(luò)的終端服務(wù)器。

終端服務(wù)網(wǎng)關(guān)主機的安裝設(shè)置，在“開始→系統(tǒng)管理工具”下拉選單中的“服務(wù)器管理員”處，點選新增角色。接下來將會來到“服務(wù)器角色”頁面，在此請將“終端服務(wù)”項目勾選。最后，在“角色服務(wù)”頁面中，惟一勾選“TS網(wǎng)關(guān)”項目即可。

由于TS網(wǎng)關(guān)服務(wù)器角色，采用了RDP over HTTPs的技術(shù)來轉(zhuǎn)送終端服務(wù)的連接，因此當(dāng)我們勾選這個角色時，將會出現(xiàn)“新增角色向?qū)А?，其中有關(guān)于客戶端證書對應(yīng)驗證以及RPC over HTTP Proxy便是兩項關(guān)鍵的重要組件，請點選“新增所需的角色服務(wù)”。

在“服務(wù)器驗證證書”頁面，必須選擇TS網(wǎng)關(guān)使用的服務(wù)器證書，在此如果您的TS網(wǎng)關(guān)主機要加入內(nèi)部的Active Directory網(wǎng)域，便可以在預(yù)先通過MMC接口申請證書之后來選取。至于如果是一部未加入網(wǎng)域的獨立服務(wù)器，則可以暫時選取“建立自我簽屬證書進行SSL加密”即可，后面，我們將會對證書的申請作詳細介紹。點選“下一步”繼續(xù)。

如果遠程計算機想要通過TS網(wǎng)關(guān)主機來連接企業(yè)內(nèi)部的終端服務(wù)器，除了需要知道網(wǎng)關(guān)的地址之外，在尚未整合NAP的安全機制下，默認還必須通過連接授權(quán)政策（TS CAP）與資源授權(quán)政策（TS RAP）的檢驗之后，才能真正進行連接存取。因此，在“為TS網(wǎng)關(guān)建立授權(quán)政策”頁面中，您可以決定是否要立即進行這兩部分的相關(guān)授權(quán)設(shè)置。完成了TS網(wǎng)關(guān)服務(wù)器的安裝之后，我們可以在“系統(tǒng)管理工具→終端服務(wù)”下拉選單中，開啟TS網(wǎng)關(guān)管理員接口。