若要正常使用 TS網關,必須滿足下列先決條件:
必須擁有安裝了 Windows Server 2008 的服務器。 您必須是要配置為 TS網關服務器的計算機上的 Administrators 組的成員。 必須為 TS 網關服務器獲取外部信任 SSL 證書(如果尚未取得)。默認情況下,在TS網關服務器上,RPC/HTTP 負載平衡服務和 IIS 服務使用傳輸層安全 (TLS) 1.0 對在客戶端和 TS 網關服務器之間通過 Internet 的通信進行加密。若要正常使用 TLS,必須在 TS 網關服務器上安裝 SSL 證書。備註 如果可以使用其他方法獲取符合 TS網關的要求的外部信任證書,則不需要在組織中部署證書頒發機構 (CA) 基礎結構。如果您的公司沒有獨立 CA 或企業 CA,並且您沒有受信任公用 CA 頒發的兼容證書,則可以為 TS 網關服務器創建並導入自簽名證書,以便進行技術評估和測試。 證書必須符合下列要求:除非使用的是通配符證書或證書的 SAN 屬性,否則,服務器證書的主題行中的名稱(證書名稱,即 CN)必須與客戶端連接到 TS 網關服務器時使用的 DNS 名稱匹配。如果您的組織通過企業 CA 頒發證書,必須配置證書模板,以便在證書請求中提供相應的名稱。如果您的組織通過獨立 CA 頒發證書,則不必這樣做。證書是計算機證書。證書的指定用途是服務器身份驗證。擴展密鑰用法 (EKU) 是服務器身份驗證 (1.3.6.1.5.5.7.3.1)。證書具有相應的私鑰。證書未過期。我們建議證書自安裝之日起,具有壹年的有效期。不需要證書對象標識符(也稱為 OID)2.5.29.15。但是,如果計劃使用的證書包含對象標識符 2.5.29.15,則僅還在同時設置至少下列密鑰用法值之壹的情況下,才可以使用該證書:CERT_KEY_ENCIPHERMENT_KEY_USAGE、CERT_KEY_AGREEMENT_KEY_USAGE 和 CERT_DATA_ENCIPHERMENT_KEY_USAGE。有關這些值的詳細信息,請參閱高級證書註冊和管理()(可能為英文網頁)。證書在客戶端上必須是可信的。即,為 TS 網關服務器證書簽名的 CA 的公用證書必須位於客戶端計算機上的受信任根證書頒發機構存儲中。 有關 TS 網關的證書要求及如何獲取和安裝證書(如果尚未獲取和安裝)的詳細信息,請參閱“TS 網關循序漸進指南”。
此外,請記住以下註意事項:
TS 網關通過使用 HTTPS 隧道將所有 RDP 通信(通常將通過端口 3389 發送)傳輸到端口 443。這也意味著在客戶端和 TS 網關之間的所有通信在通過 Internet 傳輸時被加密。 若要正常使用 TS 網關,要求安裝並運行多個角色服務和功能。當使用服務器管理器安裝 TS 網關角色服務時,將自動安裝和啟動以下附加角色服務和功能(如果尚未安裝): HTTP 代理上的遠程過程調用 (RPC) Web 服務器 (IIS) [Internet 信息服務 7.0]。 必須安裝並運行 IIS 7.0,HTTP 代理上的 RPC 服務才能正常運行。網絡策略和訪問服務。 還可以將 TS 網關配置為使用另壹臺運行網絡策略服務器 (NPS) 服務的服務器上存儲的終端服務連接授權策略 (TS CAP)。您可以使用此 NPS 服務器(以前稱為遠程身份驗證撥入用戶服務 (RADIUS) 服務器)來集中存儲、管理和驗證 TS CAP。如果已為遠程訪問方案(例如 VPN 和撥號網絡)部署了 NPS 服務器,對 TS 網關方案同樣使用這個現有的 NPS 服務器,可以改善您的部署。不過,在此配置中,TS 網關服務器上仍需要 NPS 服務器充當中心 NPS 服務器的代理服務器。