TS网关的用途

TS网关提供了从公司网络之外访问 RDP 资源的功能，并包含以下简化管理和加强安全性的新功能。 终端服务连接授权策略 (TS CAP) 允许您指定可以访问 TS网关服务器的用户组（还可以指定客户端计算机组）。可以通过使用 TS 网关管理器创建 TS CAP。
为什么 TS CAP 非常重要？TS CAP 通过向内部网络上的计算机提供更高级别的访问控制，简化了管理并提高了安全性。
通过 TS CAP，可以指定可连接到 TS 网关服务器的用户。可以指定存在于本地 TS 网关服务器上或 Active Directory 域服务中的用户组。还可以指定用户要访问 TS 网关服务器必须满足的其他条件。可以在每个 TS CAP 中列出特定的条件。例如，您可能要求用户使用智能卡通过 TS 网关建立连接。
如果用户满足 TS CAP 中指定的条件，将被授予访问 TS 网关服务器的权限。 重要事项 如果用户满足 TS CAP 中指定的条件，将被授予访问 TS 网关服务器的权限。必须还要创建终端服务资源授权策略 (TS RAP)。TS RAP 允许您指定用户可以通过 TS 网关连接到的内部网络资源。在您创建 TS CAP 和 TS RAP 之前，用户无法通过此 TS 网关服务器连接到内部网络资源。 通过 TS RAP，可以指定远程用户可通过 TS 网关服务器连接到的公司内部网络资源。在创建 TS RAP 时，可以创建计算机组（内部网络上希望远程用户连接到的一组计算机）并将其与 TS RAP 关联。
如果通过 TS 网关服务器连接到内部网络的远程用户至少满足一个 TS CAP 和一个 TS RAP 中指定的条件，将被授予访问网络上的计算机的权限。 备注 将受 TS 网关管理的计算机组与 TS RAP 关联时，可以通过将完全限定的域名 (FQDN) 和 NetBIOS 名称分别添加到受 TS 网关 管理的计算机组中，同时支持这两个名称。将 Active Directory 安全组与 TS RAP 关联时，如果客户端要连接到的内部网络计算机与 TS 网关服务器属于同一个域，将自动支持 FQDN 和 NetBIOS 名称。如果内部网络计算机与 TS 网关服务器分别属于不同的域，用户必须指定内部网络计算机的 FQDN。 TS CAP 和 TS RAP 相结合，提供两个不同的授权级别，使您可以为内部网络上的计算机配置更具体的访问控制级别。与 TS RAP 关联的安全组和受 TS 网关管理的计算机组　远程用户可以通过 TS 网关连接到安全组或受 TS 网关管理的计算机组中的内部网络资源。该组可以是下列任一项目：
现有安全组的成员。该安全组可以存在于 TS 网关服务器上的本地用户和组中，也可以存在于 Active Directory 域服务中。
受 TS 网关管理的现有计算机组或受 TS 网关管理的新计算机组的成员。可以在安装之后使用 TS 网关管理器配置受 TS 网关管理的计算机组。
受 TS 网关管理的计算机组不会出现在 TS 网关服务器上的本地用户和组中，也无法使用本地用户和组进行配置。
将内部网络计算机添加到受 TS 网关管理的计算机的列表中时，请记住，如果希望通过指定计算机的计算机名称或 IP 地址，允许远程用户连接到该计算机，必须将该计算机添加到计算机组中两次（通过指定计算机的计算机名称并将其添加到计算机组中，然后指定计算机的 IP 地址并将其再次添加到计算机组中）。如果在将计算机添加到计算机组中时，只指定了计算机的 IP 地址，用户在通过 TS 网关连接到该计算机时，必须还要指定该计算机的 IP 地址。 重要事项 为了确保远程用户可以连接到指定的内部公司网络计算机，如果未将计算机配置为使用静态 IP 地址，则建议您不要指定计算机的 IP 地址。例如，如果组织使用 DHCP 动态重新配置计算机的 IP 地址，则不应指定 IP 地址。为了确保远程用户可以连接到指定的内部公司网络计算机，如果未将计算机配置为使用静态 IP 地址，则建议您不要指定计算机的 IP 地址。例如，如果组织使用 DHCP 动态重新配置计算机的 IP 地址，则不应指定 IP 地址。 任意网络资源。在这种情况下，用户可以连接到使用远程桌面连接时可连接的内部网络上的任何计算机。
为确保相应的用户具有访问相应的网络资源的权限，请仔细计划和创建安全组和受 TS 网关管理的计算机组。评估应具有权限访问每个组的用户，然后将该组与 TS RAP 关联以根据需要向用户授予访问权限。 可以使用 TS 网关管理器查看与从终端服务客户端通过 TS 网关连接到公司内部网络资源的活动连接有关的信息。此类信息包括：
连接 ID。连接 ID 以 格式显示，其中 a 是唯一标识到 TS 网关服务器的特定连接的隧道 ID，b 是通道 ID。隧道 ID 代表终端服务网关服务运行以来，TS 网关服务器已收到的连接的数量。每次 TS 网关服务器收到新连接时，隧道 ID 将递增 1。
登录到客户端的用户的域和用户 ID。
登录到客户端的用户的全名。
建立连接的日期和时间。
连接处于活动状态的时间长度。
连接处于空闲状态的时间长度（如果适用）。
客户端连接到的内部网络计算机的名称
客户端的 IP 地址 备注 如果您的网络配置包含代理服务器，出现在“客户端 IP 地址”列（在“监视”细节窗格中）中的 IP 地址可能反映代理服务器的 IP 地址，而不是终端服务客户端的 IP 地址。 客户端连接到的内部网络计算机端口
还可以指定您想要监视的事件类型，例如通过 TS 网关服务器到内部网络计算机的不成功或成功的连接尝试。
当这些事件发生时，可以通过使用 Windows 事件查看器监视对应的事件。TS 网关事件存储在事件查看器中的“应用程序和服务日志\Microsoft\Windows\Terminal Services-Gateway\” 下。 可以使用组策略和 Active Directory 域服务集中和简化 TS 网关策略设置的管理。使用本地组策略编辑器配置本地策略设置，该设置包含在组策略对象 (GPO) 中。使用组策略管理控制台 (GPMC) 将 GPO 链接到 Active Directory 域服务中的站点、域或组织单位 (OU)。
可以通过下列两种方式中的任一方式对通过 TS 网关建立的终端服务客户端连接应用组策略设置。可以推荐使用这些策略设置（即，可以启用，但是不能强制使用），也可以启用并强制使用这些策略设置。建议策略设置允许在客户端上的用户输入备用 TS 网关连接设置。强制实施策略设置可防止用户更改 TS 网关连接设置，即使他们在客户端上选择了“使用这些 TS 网关服务器设置”选项也是如此。
以下三个组策略设置都可用于 TS 网关服务器：
设置 TS 网关服务器身份验证方法：允许您指定终端服务客户端在通过 TS 网关服务器连接到内部网络资源时必须使用的身份验证方法。
启用通过 TS 网关连接：允许您指定当终端服务客户端无法直接连接到内部网络资源时，客户端将尝试通过在“设置 TS 网关服务器地址”策略设置中指定的 TS 网关服务器连接到内部网络资源。
设置 TS 网关服务器地址：允许您指定终端服务客户端在其无法直接连接到内部网络资源时使用的 TS 网关服务器。 重要事项 如果禁用或不配置此策略设置，但启用“启用通过 TS 网关连接”策略设置，则如果客户端无法直接连接到网络资源，客户端到任何内部网络资源的连接尝试将失败。 无需更改代码
您无需更改任何现有代码即可使用TS网关。TS网关仅管理创建到公司内部网络计算机的连接的方式。 备注 TS 网关可以将连接路由到任何基于终端服务的会话，包括在基于 Windows Server 2008、Windows Server 2003、Windows Vista 和 Windows XP 的计算机上的会话。 如果内部企业网络计算机要使用新终端服务功能，将需要使用 Windows Server 2008、Windows Vista Service Pack 1 和 Windows XP SP3 中附带的远程桌面连接 6.1 版软件。
远程桌面连接 6.0 版软件也可以用于 Windows Server 2003 Service Pack 1、Windows Server 2003 Service Pack 2 和 Windows XP Service Pack 2。若要在这些平台上使用任何新终端服务功能，请从 Microsoft 知识库文章 925876 （可能为英文网页）下载安装程序包。