Lektion 2: Unterstützen der Terminaldienste 627
Schnelltest
1. Zu welcher Benutzergruppe muss das Benutzerkonto gehören, damit der Benutzer
RemoteApp-Anwendung verwenden kann?
2. Welchen Konfigurationsschritt müssen Sie auf dem Terminalserver durchführen,
wenn der Terminaldienste-Webzugriff auf einem anderen Server installiert wurde?
Antworten zum Schnelltest
1. Benutzer müssen Mitglieder der Gruppe Remotedesktopbenutzer oder einer anderen
Gruppe sein, die über dieselben Rechte verfügt.
2. Fügen Sie das Computerkonto des Terminaldienste-Webzugriffsservers auf dem
Terminalserver zur Sicherheitsgruppe Terminaldienste-Webzugriffscomputer hinzu.
Terminaldienstegateway
Das Terminaldienstegateway ermöglicht Ihnen auch ohne vollständige VPN-Lösung den
Zugriff aus dem Internet auf RDP-Server aus Ihrem geschützten Netzwerk. In erster Linie
dient diese Technologie zwar dem Remotezugriff auf Terminalserver, aber es ist auch mög-
lich, über ein Terminaldienstegateway den Remotedesktopzugriff auf Clients und Server
zuzulassen. Daher kann eine Person von seinem Heimcomputer aus über das Internet auf
seinen Arbeitsplatzcomputer oder einen Terminalserver im Büro zugreifen, ohne eine VPN-
Verbindung herstellen zu müssen.
Das Terminaldienstegateway verwendet RDP über HTTPS (Hypertext Transfer Protocol
Secure). Wie Sie in Kapitel 3, „Konfiguration des Netzwerkzugriffs“, erfahren haben, ver-
einfacht die Verwendung des SSL-Ports (443) zur Übertragung der Verbindungsdaten den
Verbindungsaufbau erheblich. Wie beim SSTP (Secure Sockets Tunneling Protocol) können
Clients Terminaldienstegateway-Verbindungen auch hinter jeder Firewall herstellen, die
HTTPS-Datenverkehr zulassen. Um über das Internet eine Verbindung mit dem Terminal-
dienstegatewayserver herzustellen, verwendet ein Client RDP über HTTPS. Der Terminal-
dienstegatewayserver, der sich hinter einer Perimeterfirewall befindet, stellt dann über Port
3389 eine RDP-Standardverbindung mit dem RDP-Server des internen Netzwerks her. Ter-
minaldienstegatewayserver gehören gewöhnlich zum Perimeternetzwerk einer Organisation
und sind über das Internet direkt adressierbar.
Veröffentlichung des Terminaldienstegateways mit ISA Server 2006
Sie können den Terminaldienstegatewayzugriff mit ISA Server 2006 für Clients im Inter-
net verfügbar machen (ISA steht für Internet Security and Acceleration). Wenn Sie das
tun, stellen Clients die Verbindung mit ISA Server mit RDP über HTTPS her. ISA Server
stellt dann eine SSL-zu-SSL-Brücke her und leitet den Datenverkehr an den Terminal-
dienstegatewayserver weiter. Der Vorteil dieser Konfiguration liegt darin, dass sie auf der
Ebene der Anwendungen eine Untersuchung des Datenverkehrs ermöglicht, wenn ISA
Server im Rahmen der SSL-Brücke den SSL-Datenstrom entschlüsselt und dann erneut
verschlüsselt. Erkennt ISA Server problematische Inhalte, kann die Verbindung abgebro-
chen werden, bevor die Daten den Terminaldienstegatewayserver erreichen.
628 Kapitel 12: Terminaldienste
Weitere Informationen Terminaldienstegateway und ISA Server
Weitere Informationen über die Veröffentlichung des Terminaldienstegateways mit ISA
Server finden Sie in dem TechNet-Artikel http://technet.microsoft.com/de-de/magazine/
cc742827.aspx.
Konfigurieren des Terminaldienstegateways
Terminaldienstegatewayserver erfordern ein SSL-Zertifikat, das von einer Zertifizierungs-
stelle ausgestellt wurde und den Server als vertrauenswürdig ausweist. Meistens reichen
Zertifikate aus, die von intern betriebenen Zertifizierungsstellen ausgestellt werden, da man
einen
Clientcomputer leicht so konfigurieren kann, dass er einer internen Zertifizierungsstelle
vertraut. Wenn Sie das Terminaldienstegateway verwenden, um einem größeren Benutzer-
kreis den Terminaldienstezugriff zu ermöglichen, könnte es einfacher sein, von einer ver-
trauenswürdigen kommerziellen Zertifizierungsstelle ein SSL-Zertifikat zu beschaffen. Der
Name auf dem SSL-Zertifikat sollte mit dem vollqualifizierten Domänennamen (FQDN,
Fully Qualified Domain Name) übereinstimmen, den Clients für Remoteverbindungen ver-
wenden. Das ist besonders bei der Ausstellung der Zertifikate mit internen Zertifizierungs-
stellen wichtig, weil diese Zertifizierungsstellen für den Server, auf dem das Terminal-
dienstegateway installiert wurde, vielleicht einen anderen Namen verwenden. Installieren
Sie das SSL-Zertifikat, bevor Sie den Rollendienst Terminaldienstegateway installieren,
weil der Assistent Sie während der Installation zur Angabe eines Zertifikats auffordert. Es ist
zwar möglich, ein selbstsigniertes Zertifikat zu verwenden, aber das sollten Sie nur zu Test-
zwecken tun.
Der Rollendienst Terminaldienstegateway ist auf folgende Rollen, Rollendienste und Fea-
tures angewiesen:
■ Webserver (IIS)
■ RPC über HTTP-Proxy
■ Netzwerkrichtlinien- und Zugriffsdienste
Wie aus Abbildung 12.22 hervorgeht, installiert Windows Server 2008 diese Komponenten
automatisch, wenn der Rollendienst Terminaldienstegateway installiert wird und diese Kom-
ponenten noch auf dem Server fehlen.
Abbildung 12.22 Rollendienst Terminaldienstegateways
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
