有人能为我清晰地描述以下服务/角色吗?我对 MS TechNet 的解释一头雾水。
- 终端服务 Web 访问
- 终端服务网关
- 终端服务远程应用程序
每种方式的优缺点是什么,尤其是从安全角度来看?如果我使用远程桌面客户端通过端口 3389 连接到远程服务器,那么微软的说法是什么?它符合上述任何一种分类吗?与通过 3389 使用 RDC 的直接连接相比,TS Web Access 的主要吸引力在于一个可以使用 TLS 加密,而另一个可以使用 RC4 吗?
答案1
•终端服务 Web 访问:
主要优点:
使用 TS Web Access,用户无需启动远程桌面连接 (RDC) 客户端即可启动 RemoteApp 程序。相反,他们只需访问网页,然后单击程序图标即可。有关详细信息,请参阅终端服务 Web 访问 (TS Web 访问)
•终端服务网关
主要优点:
TS Gateway 使用 HTTPS 隧道将所有 RDP 流量(通常通过端口 3389 发送)传输到端口 443。这也意味着客户端和 TS Gateway 之间的所有流量在通过 Internet 传输时都经过加密。
•终端服务远程应用程序
主要优点:
用户可以从终端服务器运行程序,并获得与程序在最终用户本地计算机上运行时相同的体验,包括可调整大小的窗口、多个显示器之间的拖放支持以及通知区域中的通知图标
看终端服务 RemoteApp (TS RemoteApp)
每种方法的优缺点是什么,尤其是从安全角度来看?
这些技术中的每一种都提供不同的功能,因此这取决于您的业务需求。它们之间不存在竞争,因此没有非此即彼的选择,如果您需要所提供的功能,则可以全部实施。从安全角度来看,所有这些技术都是或可以加密的。
如果我仅使用远程桌面客户端通过端口 3389 连接到远程服务器,那么 Microsoft 对此的定义是什么?
远程桌面
它符合上述任一分类吗?
仅在远程连接的情况下,如果您想通过互联网连接,那么您还可以使用 TS 网关或网络访问,具体取决于您想要如何呈现连接。
TS Web Access 与使用 3389 上的 RDC 直接连接相比,其主要吸引力是否在于一个可以使用 TLS 加密,而另一个可以使用 RC4?
RDP 可以通过 TLS 加密,请参阅配置服务器身份验证和加密级别 ,因此网络访问的吸引力在于……(等待)……网络访问。您仍然需要安装客户端,但通过网络访问,我可以为您提供一个安全的网页链接,以连接到完整桌面或远程应用程序。请注意,远程桌面本身只能为您提供完整桌面。
答案2
以下是终端服务网关的实际用例,让您了解如何使用它:
我公司有各种各样的用户需要远程访问我们的总部网络。我们没有给每个员工配备一台装有 VPN 客户端软件的笔记本电脑,而是设置了具有特定访问策略的 TS Gateway。该策略规定“此组(远程访问)的用户可以访问此组的计算机”。
因此,John Doe 现在让办公室电脑保持打开状态,回家后从个人电脑运行远程桌面。他在高级选项中输入 TS 网关名称,并输入办公室电脑名称作为要连接的电脑。然后他就可以登录并像在办公室一样工作。
这本身与远程桌面没有什么不同,除非您有第二个用户从家里远程访问。现在,您可以使用相同的 TS 网关名称,并指定不同的办公室计算机,然后他们就可以远程访问。仅使用远程桌面,您必须拥有单独的公共 IP,并将 RDC 端口转发到特定的办公室桌面。
只需将端口 443 从防火墙转发到 TS 网关服务器,任何用户都可以远程访问自己工作时的桌面。
这对于我们的大流行病规划也很有用,生病的用户可以在家里远程登录办公室电脑并在必要时继续工作。
答案3
如果您只是为终端服务器场创建一条 tcp/3389 防火墙规则,则不需要 TS 网关。如果您的远程用户运行 RDC 客户端并知道要连接的地址,则不需要 TS Web Access。TS 网关通常适用于具有传统外围网络和更严格安全要求的大型组织。TS Web Access 旨在为用户或业务需求提供更友好的前端,在这种情况下,您有许多不同的场/应用程序,并且您不希望用户必须知道/管理如何连接到每个场/应用程序的详细信息。
TS Remote App 与 Citrix“已发布应用程序”类似。用户无法获得完整的桌面,只能在“无缝窗口”中运行应用程序。它实际上看起来只是应用程序窗口,没有 RDC 窗口。它的一个缺点是使用 RDP 远程控制/阴影 - 这不适用于 RemoteApp。
您可以将 TLS 加密与任意配置结合使用。
TLS/证书安全主要用于向客户端验证服务器的真实性,并为 RDP 流加密生成对称密钥。它不用于提供访问控制措施以限制仅对特定 RDP 客户端的访问。它并不比专有 RDP 加密“更安全”,但由于它基于标准,因此当证书更改时,加密密钥可以更改。有些人更喜欢基于标准的加密,而不是专有解决方案。