Серверы терминалов
Внешний брандмауэр (порт 443 открыт)
Ф Домашний ноутбук
RDP-трафик через SSL-подключение
(D Компьютеры с включенным удаленным рабочим столом
Корпоративная/частная сеть
Интернет
Рис. 4-13. Базовый сценарий работы шлюза служб терминалов
Подключение от точки 1 к точке 2 устанавливается протоколом RDP, инкапсулированным в туннель HTTPS (HTTP через SSL). Для получения этого HTTPS-подключения в периметре сети на сервере шлюза служб терминалов должен быть запущен веб-сервер Internet Information Services (HS). После приема подключения сервер TS-шлюза извлекает данные HTTPS и направляет RDP-пакеты на конечные серверы терминалов (под номером 3), расположенные за вторым, внутренним брандмауэром. Если в данном сценарии требуется разрешить или запретить входящие подключения к учетным записям Active Directory, на шлюзе служб терминалов нужно установить Службу каталогов Active Directory (Active Directory Domain Services).
В качестве альтернативы базовому сценарию, схема которого показана на рис. 4-13, вы можете использовать вместо сервера шлюза служб терминалов (TS Gateway) сервер ISA (Internet Security and Acceleration) как конечную точку SSL/HTTPS для входящего подключения TS-клиепта.
В данном сценарии, схема которого показапа на рис. 4-14, ISA-сервер (под номером 2) выступает в качестве моста HTTPS-to-HTTPS или IITTPS-to-IITTP к серверу шлюза TS (под номером 3), а сервер шлюза TS затем направляет RDP – подключение к соответствующему внутреннему ресурсу (под номером 4). Этот метод обеспечивает преимущество защиты информации Active Directory в корпоративной сети.
Ф ISA-сервер, используемый для завершения SSL
Ф Шлюз служб терминалов
Интернет
RDP-трафик через SSL-подключение или RDP-трафик через HTTP
Сеть по периметру
@ Серверы терминалов
Внешний брандмауэр с открытым портом 443
Внутренний брандмауэр (опциональный) с открытыми портами 443 и 80
RDP-трафик
@Компьютеры с включенным удаленным рабочим столом
Доменные службы Active Directory
Корпоративная/частная сеть