终端服务说明

•终端服务 Web 访问：

主要优点：

使用 TS Web Access，用户无需启动远程桌面连接 (RDC) 客户端即可启动 RemoteApp 程序。相反，他们只需访问网页，然后单击程序图标即可。有关详细信息，请参阅终端服务 Web 访问 (TS Web 访问)

•终端服务网关

主要优点：

TS Gateway 使用 HTTPS 隧道将所有 RDP 流量（通常通过端口 3389 发送）传输到端口 443。这也意味着客户端和 TS Gateway 之间的所有流量在通过 Internet 传输时都经过加密。

看终端服务网关（TS 网关）

•终端服务远程应用程序

主要优点：

用户可以从终端服务器运行程序，并获得与程序在最终用户本地计算机上运行时相同的体验，包括可调整大小的窗口、多个显示器之间的拖放支持以及通知区域中的通知图标

看终端服务 RemoteApp (TS RemoteApp)

每种方法的优缺点是什么，尤其是从安全角度来看？

这些技术中的每一种都提供不同的功能，因此这取决于您的业务需求。它们之间不存在竞争，因此没有非此即彼的选择，如果您需要所提供的功能，则可以全部实施。从安全角度来看，所有这些技术都是或可以加密的。

如果我仅使用远程桌面客户端通过端口 3389 连接到远程服务器，那么 Microsoft 对此的定义是什么？

远程桌面

它符合上述任一分类吗？

仅在远程连接的情况下，如果您想通过互联网连接，那么您还可以使用 TS 网关或网络访问，具体取决于您想要如何呈现连接。

TS Web Access 与使用 3389 上的 RDC 直接连接相比，其主要吸引力是否在于一个可以使用 TLS 加密，而另一个可以使用 RC4？

RDP 可以通过 TLS 加密，请参阅配置服务器身份验证和加密级别 ，因此网络访问的吸引力在于……（等待）……网络访问。您仍然需要安装客户端，但通过网络访问，我可以为您提供一个安全的网页链接，以连接到完整桌面或远程应用程序。请注意，远程桌面本身只能为您提供完整桌面。

以下是终端服务网关的实际用例，让您了解如何使用它：

我公司有各种各样的用户需要远程访问我们的总部网络。我们没有给每个员工配备一台装有 VPN 客户端软件的笔记本电脑，而是设置了具有特定访问策略的 TS Gateway。该策略规定“此组（远程访问）的用户可以访问此组的计算机”。

因此，John Doe 现在让办公室电脑保持打开状态，回家后从个人电脑运行远程桌面。他在高级选项中输入 TS 网关名称，并输入办公室电脑名称作为要连接的电脑。然后他就可以登录并像在办公室一样工作。

这本身与远程桌面没有什么不同，除非您有第二个用户从家里远程访问。现在，您可以使用相同的 TS 网关名称，并指定不同的办公室计算机，然后他们就可以远程访问。仅使用远程桌面，您必须拥有单独的公共 IP，并将 RDC 端口转发到特定的办公室桌面。

只需将端口 443 从防火墙转发到 TS 网关服务器，任何用户都可以远程访问自己工作时的桌面。

这对于我们的大流行病规划也很有用，生病的用户可以在家里远程登录办公室电脑并在必要时继续工作。

如果您只是为终端服务器场创建一条 tcp/3389 防火墙规则，则不需要 TS 网关。如果您的远程用户运行 RDC 客户端并知道要连接的地址，则不需要 TS Web Access。TS 网关通常适用于具有传统外围网络和更严格安全要求的大型组织。TS Web Access 旨在为用户或业务需求提供更友好的前端，在这种情况下，您有许多不同的场/应用程序，并且您不希望用户必须知道/管理如何连接到每个场/应用程序的详细信息。

TS Remote App 与 Citrix“已发布应用程序”类似。用户无法获得完整的桌面，只能在“无缝窗口”中运行应用程序。它实际上看起来只是应用程序窗口，没有 RDC 窗口。它的一个缺点是使用 RDP 远程控制/阴影 - 这不适用于 RemoteApp。

您可以将 TLS 加密与任意配置结合使用。

TLS/证书安全主要用于向客户端验证服务器的真实性，并为 RDP 流加密生成对称密钥。它不用于提供访问控制措施以限制仅对特定 RDP 客户端的访问。它并不比专有 RDP 加密“更安全”，但由于它基于标准，因此当证书更改时，加密密钥可以更改。有些人更喜欢基于标准的加密，而不是专有解决方案。