Что такое шлюз удаленных рабочих столов?

Шлюз удаленных рабочих столов представляет собой службу роли, позволяющую авторизованным удаленным пользователям подключаться к ресурсам, находящимся в пределах внутренней сети предприятия или частной сети, используя любое подключенное к Интернету оборудование с установленным на нем клиентом подключения к удаленному рабочему столу. Сетевые ресурсы могут представлять собой серверы Узел сеансов удаленных рабочих столов, серверы Узел сеансов удаленных рабочих столов, на которых запущены программы RemoteApp, либо компьютеры с включенной поддержкой удаленных рабочих столов.

Шлюз удаленных рабочих столов использует протокол удаленного рабочего стола (RDP) поверх протокола HTTPS, что позволяет обеспечить безопасное соединение с шифрованием между удаленными пользователями Интернета и ресурсами внутренней сети, необходимыми для работы пользовательских приложений.

Для чего используется шлюз удаленных рабочих столов?

Шлюз удаленных рабочих столов обладает многими преимуществами, включая следующие.

  • Шлюз удаленных рабочих столов позволяет удаленным пользователям подключаться к внутренним сетевым ресурсам через Интернет при помощи шифрованного подключения. При этом подключение к виртуальной частной сети (VPN) настраивать не нужно.

  • Шлюз удаленных рабочих столов предоставляет комплексную модель безопасности, позволяющую контролировать доступ к определенным внутренним сетевым ресурсам. Шлюз удаленных рабочих столов обеспечивает подключение типа «точка-точка» по протоколу удаленного рабочего стола вместо предоставления удаленным пользователям доступа ко всем внутренним сетевым ресурсам.

  • Шлюз удаленных рабочих столов позволяет большинству удаленных пользователей подключаться к внутренним сетевым ресурсам, защищенным брандмауэрами частных сетей и трансляторами сетевых адресов (NAT). Если используется Шлюз удаленных рабочих столов, устраняется необходимость дополнительной настройки сервера Шлюз удаленных рабочих столов или клиентских компьютеров для реализации этого сценария.

    В предыдущем выпуске Windows Server средства защиты предотвращали подключение удаленных пользователей к внутренним сетевым ресурсам через брандмауэры и трансляторы сетевых адресов. Это связано с тем, что порт 3389, используемый для подключений по протоколу удаленного рабочего стола, обычно блокируется в целях безопасности сети. Однако Шлюз удаленных рабочих столов передает трафик протокола удаленного рабочего стола на порт 443, используя туннель HTTP с протоколами SSL и TLS. Поскольку в большинстве организаций порт 443 открыт для подключения к Интернету, Шлюз удаленных рабочих столов использует преимущества такого построения сети для обеспечения возможности удаленных подключений через несколько брандмауэров.

  • Диспетчер шлюза удаленных рабочих столов позволяет настраивать политики авторизации и определять требования к удаленным пользователям, подключающимся к внутренним сетевым ресурсам. Например, можно указать:

    • пользователей (группы пользователей), которые могут подключаться к внутренним сетевым ресурсам;

    • сетевые ресурсы (группы компьютеров), к которым пользователи могут подключаться;

    • должны ли клиентские компьютеры быть членами групп безопасности Active Directory;

    • разрешено ли перенаправление устройств;

    • должны ли клиенты использовать проверку подлинности с помощью смарт-карты или пароля и могут ли они использовать любой из двух методов.

  • Серверы Шлюз удаленных рабочих столов и клиенты Службы удаленных рабочих столов можно настроить на использование защиты доступа к сети (NAP) в целях повышения безопасности. Защита доступа к сети - это технология создания, принудительного применения и обновления политик работоспособности, представленная в ОС Windows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® и Windows® XP с пакетом обновления 3. Благодаря защите доступа к сети системные администраторы могут принудительно применять требования к работоспособности, включающие в себя обязательное включение брандмауэра, требования к обновлению для системы безопасности, обязательные конфигурации компьютеров и другие параметры.

    Примечание

    Компьютеры под управлением ОС Windows Server 2008 R2 или Windows Server 2008 не могут выступать в качестве клиентов принудительной защиты доступа к сети, если она применяется Шлюз удаленных рабочих столов. Если защита доступа к сети применяется на Шлюз удаленных рабочих столов, в качестве клиентов NAP можно использовать только компьютеры под управлением Windows 7, Windows Vista или Windows XP с пакетом обновления 3 (SP3).

    Дополнительные сведения о настройке Шлюз удаленных рабочих столов на применение политики работоспособности с использованием защиты доступа к сети для клиентов Службы удаленных рабочих столов, которые подключаются к серверам Шлюз удаленных рабочих столов, см. на странице «Службы удаленных рабочих столов» (страница может быть на английском языке) технического центра Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?linkid=140433).

  • Для повышения безопасности можно использовать сервер Шлюз удаленных рабочих столов совместно с сервером Microsoft Internet Security and Acceleration Server (ISA Server). В этом сценарии можно разместить серверы Шлюз удаленных рабочих столов не в демилитаризованной зоне, а в частной сети. При этом в демилитаризованной зоне размещается сервер ISA Server. SSL-cоединение между клиентом Службы удаленных рабочих столов и сервером ISA Server может прерываться на сервере ISA Server, который подключен к Интернету.

    Дополнительные сведения о настройке сервера ISA Server в качестве устройства прерывания SSL-соединений в сценариях сервера Шлюз удаленных рабочих столов см. на странице «Службы удаленных рабочих столов» (страница может быть на английском языке) в техническом центре Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?linkid=140433).

  • Диспетчер шлюза удаленных рабочих столов предоставляет средства, облегчающие процесс наблюдения за состоянием и событиями сервера Шлюз удаленных рабочих столов. С помощью Диспетчер шлюза удаленных рабочих столов можно указать события, которые необходимо отслеживать в целях аудита (например, неудачные попытки подключения к серверу Шлюз удаленных рабочих столов).

Дополнительные источники информации