一 : TS终端服务网关服务器

什么是终端服务网关服务器？

“网关”是连接两个使用不同网络协议的网络的任何计算机。网关对一个网络中的信息重新编排格式，使其与其他网络相兼容。

终端服务网关（TS 网关）服务器是这样一种网关，它允许授权的用户从具有 Internet 连接的任何计算机连接到公司网络中的远程计算机。TS 网关使用远程桌面协议 (RDP) 和 HTTPS 协议帮助创建一个更安全的加密连接。

在早期版本的“远程桌面连接”中，用户无法通过防火墙和网络地址转换器连接到远程计算机，这是因为通常会阻止用于远程桌面连接的端口 3389 以增强网络安全性。但是，TS 网关服务器使用端口 443，此端口可通过安全套接字层 (SSL) 隧道传输数据。

TS 网关服务器具有以下优点：

? 支持从 Internet 到公司网络的远程桌面连接，无须设置虚拟专用网络 (VPN) 连接。

? 支持跨越防火墙连接到远程计算机。

? 允许与计算机上运行的其他程序共享网络连接。这样，您就可以使用 ISP 连接而非公司网络来通过远程连接方式发送和接收数据。

如何知道我是否需要 TS 网关服务器？

向网络管理员询问是否需要指定 TS 网关服务器。

指定 TS 网关服务器的步骤：

1. 通过单击

“开始”按钮，再依次单击“所有程序”、“附件”，然后单击“远

程桌面连接”，打开“远程桌面连接”。

2. 单击“选项”，再单击“高级”选项卡，然后单击“从任意位置连接”下面的

“设置”。

3. 选择“使用这些 TS 网关服务器设置”，然后，键入服务器名称（询问网络管

理员以获取此信息）。

4. 选择以下三种可用的登录方法之一：

? 允许我稍后选择。此选项允许您在连接时选择登录方法。

? 询问密码 (NTLM)。此选项可在您连接时提示输入密码。

? 智能卡。此选项可在您连接时提示插入智能卡。

5. 选中或清除“不使用本地地址的 TS 网关服务器”复选框。

选中此复选框，便无法通过 TS 网关服务器来路由发到及来自本地网络地址的通信流量，从而加快您的连接速度。

6. 如果您安装了 Windows Vista Service Pack 1，并且您要对 TS 网关服务器

和远程计算机使用相同的凭据，而不是要求输入两次凭据，请选中“将我的 TS 网关凭据用于远程计算机”复选框。有关安装 Windows Vista Service Pack 1 (SP1) 的详细信息，请参阅了解如何安装 Windows Vista Service Pack 1 (SP1)。

注意

网络管理员可能不允许更改 TS 网关服务器的设置。

.

若要正常使用 TS网关，必须满足下列先决条件：

必须拥有安装了 Windows Server 2008 的服务器。 您必须是要配置为 TS网关服务器的计算机上的 Administrators 组的成员。 必须为 TS 网关服务器获取外部信任 SSL 证书（如果尚未取得）。默认情况下，在TS网关服务器上，RPC/HTTP 负载平衡服务和 IIS 服务使用传输层安全 (TLS) 1.0 对在客户端和 TS 网关服务器之间通过 Internet 的通信进行加密。若要正常使用 TLS，必须在 TS 网关服务器上安装 SSL 证书。备注 如果可以使用其他方法获取符合 TS网关的要求的外部信任证书，则不需要在组织中部署证书颁发机构 (CA) 基础结构。如果您的公司没有独立 CA 或企业 CA，并且您没有受信任公用 CA 颁发的兼容证书，则可以为 TS 网关服务器创建并导入自签名证书，以便进行技术评估和测试。 证书必须符合下列要求：除非使用的是通配符证书或证书的 SAN 属性，否则，服务器证书的主题行中的名称（证书名称，即 CN）必须与客户端连接到 TS 网关服务器时使用的 DNS 名称匹配。如果您的组织通过企业 CA 颁发证书，必须配置证书模板，以便在证书请求中提供相应的名称。如果您的组织通过独立 CA 颁发证书，则不必这样做。证书是计算机证书。证书的指定用途是服务器身份验证。扩展密钥用法 (EKU) 是服务器身份验证

(1.3.6.1.5.5.7.3.1)。证书具有相应的私钥。证书未过期。我们建议证书自安装之日起，具有一年的有效期。不需要证书对象标识符（也称为 OID）

2.5.29.15。但是，如果计划使用的证书包含对象标识符 2.5.29.15，则仅还在同时设置至少下列密钥用法值之一的情况下，才可以使用该证书：

CERT_KEY_ENCIPHERMENT_KEY_USAGE、CERT_KEY_AGREEMENT_KEY_USAGE 和 CERT_DATA_ENCIPHERMENT_KEY_USAGE。有关这些值的详细信息，请参阅高级证书注册和管理()（可能为英文网页）。证书在客户端上必须是可信的。即，为 TS 网关服务器证书签名的 CA 的公用证书必须位于客户端计算机上的受信任根证书颁发机构存储中。 有关 TS 网关的证书要求及如何获取和安装证书（如果尚未获取和安装）的详细信息，请参阅“TS 网关循序渐进指南”。

此外，请记住以下注意事项：

TS 网关通过使用 HTTPS 隧道将所有 RDP 通信（通常将通过端口 3389 发送）传输到端口 443。这也意味着在客户端和 TS 网关之间的所有通信在通过 Internet 传输时被加密。 若要正常使用 TS 网关，要求安装并运行多个角色服务和功能。当使用服务器管理器安装 TS 网关角色服务

时，将自动安装和启动以下附加角色服务和功能（如果尚未安装）： HTTP 代理上的远程过程调用 (RPC) Web 服务器 (IIS) [Internet 信息服务 7.0]。 必须安装并运行 IIS 7.0，HTTP 代理上的 RPC 服务才能正常运行。网络策略和访问服务。 还可以将 TS 网关配置为使用另一台运行网络策略服务器 (NPS) 服务的服务器上存储的终端服务连接授权策略 (TS CAP)。您可以使用此 NPS 服务器（以前称为远程身份验证拨入用户服务 (RADIUS) 服务器）来集中存储、管理和验证 TS CAP。如果已为远程访问方案（例如 VPN 和拨号网络）部署了 NPS 服务器，对 TS 网关方案同样使用这个现有的 NPS 服务器，可以改善您的部署。不过，在此配置中，TS 网关服务器上仍需要 NPS 服务器充当中心 NPS 服务器的代理服务器。

二 : TS-5012-A终端服务器产品彩页

1

智能交通产品系列

TS-5012-A是海康威视自主研发的新一代室外型智能交通专用网络视频录像 机，集视频管理、交通数据管理、视音频解码、图片处理、网络交换等功能于一体。室外型、嵌入式、无风扇设计，既满足前端的分布式存储需要，又可以通过网络接入平台管理中心组成功能强大的安防监控系统。

TS-5012-A可以支持12路IPC接入。内置1个SATA接口硬盘，最大可支持

支持区间测速功能

支持机柜门打开后声音报警及报警上传功能 ? ?

2

智能交通产品系列

典型应用

智能交通产品系列

外形尺寸

3

三 : TS终端服务网关服务器

什么是终端服务网关服务器？

“网关”是连接两个使用不同网络协议的网络的任何计算机。[www.61k.com］网关对一个网络中的信息重新编排格式，使其与其他网络相兼容。

终端服务网关（TS 网关）服务器是这样一种网关，它允许授权的用户从具有 Internet 连接的任何计算机连接到公司网络中的远程计算机。TS 网关使用远程桌面协议 (RDP) 和 HTTPS 协议帮助创建一个更安全的加密连接。

在早期版本的“远程桌面连接”中，用户无法通过防火墙和网络地址转换器连接到远程计算机，这是因为通常会阻止用于远程桌面连接的端口 3389 以增强网络安全性。但是，TS 网关服务器使用端口 443，此端口可通过安全套接字层 (SSL) 隧道传输数据。

TS 网关服务器具有以下优点：

? 支持从 Internet 到公司网络的远程桌面连接，无须设置虚拟专用网络 (VPN) 连接。

? 支持跨越防火墙连接到远程计算机。

? 允许与计算机上运行的其他程序共享网络连接。这样，您就可以使用 ISP 连接而非公司网络来通过远程连接方式发送和接收数据。

如何知道我是否需要 TS 网关服务器？

向网络管理员询问是否需要指定 TS 网关服务器。

指定 TS 网关服务器的步骤：

ts服务器 TS终端服务网关服务器

1. 通过单击

“开始”按钮，再依次单击“所有程序”、“附件”，然后单击“远

程桌面连接”，打开“远程桌面连接”。[www.61k.com］

2. 单击“选项”，再单击“高级”选项卡，然后单击“从任意位置连接”下面的

“设置”。

3. 选择“使用这些 TS 网关服务器设置”，然后，键入服务器名称（询问网络管

理员以获取此信息）。

4. 选择以下三种可用的登录方法之一：

? 允许我稍后选择。此选项允许您在连接时选择登录方法。

? 询问密码 (NTLM)。此选项可在您连接时提示输入密码。

? 智能卡。此选项可在您连接时提示插入智能卡。

5. 选中或清除“不使用本地地址的 TS 网关服务器”复选框。

选中此复选框，便无法通过 TS 网关服务器来路由发到及来自本地网络地址的通信流量，从而加快您的连接速度。

6. 如果您安装了 Windows Vista Service Pack 1，并且您要对 TS 网关服务器

和远程计算机使用相同的凭据，而不是要求输入两次凭据，请选中“将我的 TS 网关凭据用于远程计算机”复选框。有关安装 Windows Vista Service Pack 1 (SP1) 的详细信息，请参阅了解如何安装 Windows Vista Service Pack 1 (SP1)。

ts服务器 TS终端服务网关服务器

注意

网络管理员可能不允许更改 TS 网关服务器的设置。［www.61k.com)

.

若要正常使用 TS网关，必须满足下列先决条件：

必须拥有安装了 Windows Server 2008 的服务器。 您必须是要配置为 TS网关服务器的计算机上的 Administrators 组的成员。 必须为 TS 网关服务器获取外部信任 SSL 证书（如果尚未取得）。默认情况下，在TS网关服务器上，RPC/HTTP 负载平衡服务和 IIS 服务使用传输层安全 (TLS) 1.0 对在客户端和 TS 网关服务器之间通过 Internet 的通信进行加密。若要正常使用 TLS，必须在 TS 网关服务器上安装 SSL 证书。备注 如果可以使用其他方法获取符合 TS网关的要求的外部信任证书，则不需要在组织中部署证书颁发机构 (CA) 基础结构。如果您的公司没有独立 CA 或企业 CA，并且您没有受信任公用 CA 颁发的兼容证书，则可以为 TS 网关服务器创建并导入自签名证书，以便进行技术评估和测试。 证书必须符合下列要求：除非使用的是通配符证书或证书的 SAN 属性，否则，服务器证书的主题行中的名称（证书名称，即 CN）必须与客户端连接到 TS 网关服务器时使用的 DNS 名称匹配。如果您的组织通过企业 CA 颁发证书，必须配置证书模板，以便在证书请求中提供相应的名称。如果您的组织通过独立 CA 颁发证书，则不必这样做。证书是计算机证书。证书的指定用途是服务器身份验证。扩展密钥用法 (EKU) 是服务器身份验证

(1.3.6.1.5.5.7.3.1)。证书具有相应的私钥。证书未过期。我们建议证书自安装之日起，具有一年的有效期。不需要证书对象标识符（也称为 OID）

2.5.29.15。但是，如果计划使用的证书包含对象标识符 2.5.29.15，则仅还在同时设置至少下列密钥用法值之一的情况下，才可以使用该证书：

CERT_KEY_ENCIPHERMENT_KEY_USAGE、CERT_KEY_AGREEMENT_KEY_USAGE 和 CERT_DATA_ENCIPHERMENT_KEY_USAGE。有关这些值的详细信息，请参阅高级证书注册和管理()（可能为英文网页）。证书在客户端上必须是可信的。即，为 TS 网关服务器证书签名的 CA 的公用证书必须位于客户端计算机上的受信任根证书颁发机构存储中。 有关 TS 网关的证书要求及如何获取和安装证书（如果尚未获取和安装）的详细信息，请参阅“TS 网关循序渐进指南”。

此外，请记住以下注意事项：

TS 网关通过使用 HTTPS 隧道将所有 RDP 通信（通常将通过端口 3389 发送）传输到端口 443。这也意味着在客户端和 TS 网关之间的所有通信在通过 Internet 传输时被加密。 若要正常使用 TS 网关，要求安装并运行多个角色服务和功能。当使用服务器管理器安装 TS 网关角色服务

ts服务器 TS终端服务网关服务器

时，将自动安装和启动以下附加角色服务和功能（如果尚未安装）： HTTP 代理上的远程过程调用 (RPC) Web 服务器 (IIS) [Internet 信息服务 7.0]。［www.61k.com） 必须安装并运行 IIS 7.0，HTTP 代理上的 RPC 服务才能正常运行。网络策略和访问服务。 还可以将 TS 网关配置为使用另一台运行网络策略服务器 (NPS) 服务的服务器上存储的终端服务连接授权策略 (TS CAP)。您可以使用此 NPS 服务器（以前称为远程身份验证拨入用户服务 (RADIUS) 服务器）来集中存储、管理和验证 TS CAP。如果已为远程访问方案（例如 VPN 和拨号网络）部署了 NPS 服务器，对 TS 网关方案同样使用这个现有的 NPS 服务器，可以改善您的部署。不过，在此配置中，TS 网关服务器上仍需要 NPS 服务器充当中心 NPS 服务器的代理服务器。

扩展：网关服务器 / 网关服务器未开 / rd网关服务器

扩展：网关服务器 / 网关服务器未开 / rd网关服务器

四 : 解读Windows2008:终端服务器网关

　　终端服务器网关是 windows server 2008 终端服务器角色中的一个服务角色 ,它允许授权远程用户从任何连接 Internet的设备上连接到一个公司内部或专有网络上的资源。网络资源可以是终端服务器、运行远程应用的终端服务器，或者是启用了远程桌面的计算机。

　　TS Gateway可以做什么?

　　TS Gateway提供了许多的便利，包括：

　　1、 TS Gateway是远程用户能够通过 Internet连接到内部网的资源，通过使用一个加密的连接，而不需要配置 VPN连接;

　　2、 TS Gateway提供了一个全面的安全配置模型使得你能够控制到特定内部网络资源的访问;

　　3、 TS Gateway提供了一个点对点的 RDP连接，而不是允许远程用户访问所有的内部资源;

　　4、 TS Gateway能使大部分远程用户通过网络地址转换( NAT)，连接到宿主在内部网络防火墙后面的内部网络资源，使用 TS Gateway，你不需要针对此种场景为 TS Gateway或客户端执行额外的配置。

　　在这个 windows server发布之前，安全措施阻止远程用户通过防火墙或 NAT连接内部网络资源。这是应为端口 3389，这个用于 RDP连接的端口，通常在防火墙上被出于安全的目的而阻止。 TS Gateway改为传输 RDP流量到端口 443，通过使用一个 HTTP的 SSL/TLP通道。由于大多公司开放 443端口以启用 Intelnet连接， TS Gateway利用这个网络设计来提供远程访问连接跨越多重防火墙。

　　TS Gateway插件控制台使你能够配置授权策略以定义必须符合远程用户连接内部资源的条件。例如，你可以指定：

　　1、谁可以连接网络资源(换句话说，就是能够连接的用户组);

　　2、什么网络资源(计算机组)用户可以连接;

　　3、是否客户端计算机必须是活动目录安全组的成员;

　　4、是否允许设备和磁盘的重定向;

　　5、是否客户端需要智能卡验证或密码验证，或者是否他们可是使用其他的方法。

　　你可以配置 TS Gateway服务器和终端服务客户端使用 NAP来增强安全。 NAP是一个健康的策略创建、执行、补救技术，包含在Windows XP Service Pack 2, Windows Vista?, and Windows Server 2008中，使用 NAP，系统管理员能够强制健康请求，包括软件请求、安全升级请求，需要的计算机配置，以及其他的设置。

　　注：当 TS Gateway强制 NAP时运行 Windows Server 2008 的计算机不能用作 NAP客户端，只有运行 Windows XP SP2 和 Windows VIsta的计算机可以用作 NAP客户端。
本文标题：终端服务器-TS终端服务网关服务器
本文地址： http://www.61k.com/1057948.html