基於安全和新的應用需求Server 已然成為炙手可熱的企業服務器平台平台的遷移帶來了服務器遠程管理方式的變化Server 讓我們有了更多的選擇在Server 中新增的一項功能Terminal Services Gateway(TS Gateway遠程服務網關)利用它遠程客戶端可通過HTTPS安全地建立與服務器的遠程會話
為什麼選擇TS Gateway通道?
不管在遠程服務器上進行遠程管理還是要遠程運行程序在把這些資源暴露到Internet時都會有潛在的安全風險
()遠程桌面不夠安全靈活
管理員比較熟悉的遠程桌面方式是在防火牆上打開TCP端口將從Internet客戶端上發來的請求轉發給本地網絡中TS服務器的IP地址不過直接向Internet開啟TCP 端口可能會導致安全風險而且如果你要將多於一台服務器發布到Internet我們還需要多個公網IP地址
()VPN方式不夠方便
VPN也是遠程管理的一種方式它要求遠程用戶在使用RDP訪問服務器之前先建立一個VPN連接盡管這種方案更安全同時也更靈活但有時候也可能並不太方便因為許多公共Internet AP(Access Point)並沒有開啟PPTP或LTP通信端口出差的用戶一般是通過酒店的網絡來訪問Internet的而這種網絡有一些也無法初始化VPN連接
()TS Gateway安全而且通用
Windows Server 中的TS Gateway解決了這個問題它把RDP封裝在HTTPS中(也稱為RDP over HTTPS)用戶可以通過HTTPS的端口TCP 連接到TS Gateway服務器TS Gateway對客戶端進行身份驗證從HTTPS中解壓RDP然後在端口上把連接轉發到目標
資源通過TS Gateway客戶端只需要訪問端口即可建立一個安全的RDP會話除了只需要使用一個端口RDP over HTTPS還支持只允許HTTP和HTTPS出站通信的代理服務器我們只需要一個外網公共IP地址通過這個IP地址即可發布TS Gateway服務器而且我們可以在TS Gateway上對用戶先進行身份驗證然後根據驗證的結果允許或阻止用戶訪問本地網絡中的某台(或所有)計算機
遠程管理Windows服務器配置TS Gateway
()安裝TS Gateway
在把服務器配置為一台TS Gateway之前我們必須把TS Gateway服務添加到操作系統上在Windows Server 服務器上依次打開管理工具→服務器管理啟動添加角色向導在遠程服務角色下找到TS Gateway服務選中它添加TS Gateway服務的同時會自動添加一些其它必需的服務和功能例如網絡策略服務器
Microsoft IIS以及RPCover—HTTP代理服務器向導會問你是否要配置一個SSL(Secu re Socket Layer安全套接字層)證書遠程服務策略以及網絡策略服務器不過筆者建議可以稍後再做這些配置(本文稍後會介紹這些配置)完成向導之後管理工具的遠程服務下面會多出一個TS Gateway管理器
Windows系統管理免費提供,內容來源於互聯網,本文歸原作者所有。
