Remote Desktop Gateway

Служба роли шлюза удаленных рабочих столов (Remote Desktop Gateway, или RD Gateway) позволяет пользователям обращаться к сетевым ресурсам (таким как серверы RD Session Host, выполняющие приложения RemoteApp, виртуальные машины на основе RD Virtualization Host или компьютеры с включенной службой Remote Desktop Services), которые расположены за брандмауэрами в частной сети, с любого клиента, находящегося в Интернете (или внутренних клиентов, если ТСР-порт 3389 является внутренне ограни­ченным портом). Для этого такой шлюз RD применяет так называемую SSL-ретрансляцию (также известную под названием виртуальной частной сети SSL (SSL VPN)). Выражаясь кратко, ретрансляция SSL позволяет клиентам подключаться к внутренним ресурсам через защищенное шифрованное HTTPS-соединение. В этом случае трафик, передаваемый через ретрансляцию SSL — это просто RDP (TCP 3389).

Шлюз RD должен быть установлен на Windows Server 2008 R2, но может выполнять SSL-ретрансляцию как для серверов Windows Server 2008 R2 RD Session Host, так и для Windows Server 2008/2003 Terminal Services.

Шлюз RD впервые появился в Windows Server 2008 как шлюз терминальных служб (TS Gateway). Причина, по которой Microsoft включила это средство в Windows Server 2008, состояла в том, что средства безопасности в основном были настроены на блокирование такого трафика, как RDP (TCP 3389). Другими словами, подразделения информационной безопасности обычно блокировали RDP или сопротивлялись открытию портов на своих брандмауэрах для них. С согласия сетевых компаний в Microsoft встроили решение SSL VPN в свои службы удаленных рабочих столов. Результатом их усилий стал шлюз RD, кото­рый позволяет пользователям получать доступ к службам удаленных рабочих столов, неза­висимо от их расположения.

Применение Remote Desktop Gateway

Шлюз RD применяет туннель HTTP Secure Sockets Layer/ Transport Layer Security (SSL/TLS) для передачи трафика RDP. Поскольку сервер шлюза RD использует HTTPS, требуется установка серверного сертификата аутентификации. Более того, устанавливаемый сертификат должен быть выпущен центром сертификации (СА), ко­торому доверяют клиенты, имеющие доступ к шлюзу RD. Другими словами, сертификат СА, который подписывает сертификат шлюза RD, должен располагаться в клиентском храни­лище Trusted Root Certification Authority. Доверенный сертификат может быть получен либо от публично доверенного СА, либо от внутреннего СА организации, которому уже доверяют клиенты.

Ниже перечислены дополнительные требования, которые должны быть приняты во внимание при использовании шлюза RD.

• Должна быть установлена служба удаленного вызова процедур через НТТР-прокси (Remote Procedure Call (RPC) over HTTP Proxy); она устанавливается при установке роли службы RD Gateway.
• Для успешного функционирования RPC over HTTP Proxy должна быть установлена и запущена служба Internet Information Services 7.5.
• На существующем сервере NPS, который может использоваться шлюзом RD, должна быть установлена служба сетевых политик (Network Policy Server — NPS).
• Серверы шлюзов RD и клиенты служб удаленных рабочих столов могут быть сконфи­гурированы на использование защиты сетевого доступа (Network Access Protection — NAP).