Windows Server 2008终端服务详解系列4：TS网关的部署

Windows Server 2008终端服务详解系列4：TS网关的部署

前言：

本系列将全面的介绍Windows Server 2008终端服务，从概念到功能，从安装到配置都会以通俗易懂、图文并茂的格式进行讲解。

前一篇中我们介绍了TS Web Access的概念和如何结合MOSS 2007实现TS Web Access的部署。本篇在上篇的基础上将讲解TS 网关的概念和如何实现TS 网关的部署。如果大家在部署过程中遇到什么问题，可以一起讨论，让我们共同分享，共同讨论，共同进步；快乐学习，快乐工作，快乐成长！

正文：

TS网关概述

TS 网关使经过授权的远程用户能够从可以运行 RDC 客户端的任何与 Internet 连接的设备连接到内部企业网络或专用网络上的资源。网络资源可以是终端服务器、运行 RemoteApp 程序的终端服务器或者启用了“远程桌面”的计算机。TS 网关将远程桌面协议 (RDP) 封装在 RPC 内以及安全套接字层 (SSL) 连接上的 HTTP 内。采用这种方式，TS 网关有助于通过在 Internet 上的远程用户和运行其效率应用程序的内部网络资源之间建立加密的连接来提高安全性。

TS 网关的部署

在SH-TSG上添加TS网关角色组件：

在服务器身份验证证书页，我们选择”稍后为SSL加密选择证书“

在授权策略中，我们选择”以后“

添加网络策略服务器服务器角色

完成TS网关角色组件的添加：

为TS网关选择已经申请的证书：

配置TS CAP存储，在“中心NPS服务器”上指定企业的NPS服务器SH-NPS：

新建TS管理的计算机组：

配置TS RAP（终端服务资源授权策略）：

指定用户组：

指定之前新建的计算机组：

配置终端服务器SH-APP1和SH-APP2，指定TS网关：

完成终端服务器的TS网关的配置：

在NPS服务器上设置健康策略。

可以将 TS 网关服务器和终端服务客户端配置为使用网络访问保护 (NAP) 来进一步提高安全性。NAP 是一种创建、增强和修正健康策略的技术，包含在 Windows Server 2008、Windows Vista 以及Windows Vista Service Pack 1 (SP1) 和 Windows XP SP3中。通过 NAP，系统管理员可以强制实施健康状况要求，其中可以包括硬件要求、安全更新要求、所需的计算机配置以及其他设置。

添加TS网关服务器：

配置客户端设备重定向和身份验证方法：

配置用户组和计算机组：

启用windows安全健康验证程序，并指定对不具有NAP功能的客户端计算机的网络访问限制：

完成NAP增强策略和RADIUS客户端配置。

配置windows安全健康验证程序：

定义Windows Vista客户端的健康策略：

定义Windows XP的健康策略：

测试：

在客户端计算机上把客户端防火墙功能关闭：

在客户端上访问TS Web Access，访问成功后，点击RemoteApp应用程序：

启动到终端服务器SH-APP2的连接：

输入凭据：

由于不符合策略服务器上的健康策略，所有访问受限，此时会弹出如下的受限提示对话框：

我们把客户端的防火墙功能进行启用：

启用防火墙客户度后，再次访问TS Web Access上的RemoteApp程序：

此时，已经能够成功访问：

好了，到此我们就完成了TS网关的部署，下篇我们将介绍该系列的最后一篇，利用ISA发布我们的TS网关服务器进一步加强终端服务的安全性。