Lektion 2: Unterstützen der Terminaldienste 627
Schnelltest
1. Zu welcher Benutzergruppe muss das Benutzerkonto gehören, damit der Benutzer
RemoteApp-Anwendung verwenden kann?
2. Welchen Konfigurationsschritt müssen Sie auf dem Terminalserver durchführen,
wenn der Terminaldienste-Webzugriff auf einem anderen Server installiert wurde?
Antworten zum Schnelltest
1. Benutzer müssen Mitglieder der Gruppe Remotedesktopbenutzer oder einer anderen
Gruppe sein, die über dieselben Rechte verfügt.
2. Fügen Sie das Computerkonto des Terminaldienste-Webzugriffsservers auf dem
Terminalserver zur Sicherheitsgruppe Terminaldienste-Webzugriffscomputer hinzu.
Terminaldienstegateway
Das Terminaldienstegateway ermöglicht Ihnen auch ohne vollständige VPN-Lösung den
Zugriff aus dem Internet auf RDP-Server aus Ihrem geschützten Netzwerk. In erster Linie
dient diese Technologie zwar dem Remotezugriff auf Terminalserver, aber es ist auch mög-
lich, über ein Terminaldienstegateway den Remotedesktopzugriff auf Clients und Server
zuzulassen. Daher kann eine Person von seinem Heimcomputer aus über das Internet auf
seinen Arbeitsplatzcomputer oder einen Terminalserver im Büro zugreifen, ohne eine VPN-
Verbindung herstellen zu müssen.
Das Terminaldienstegateway verwendet RDP über HTTPS (Hypertext Transfer Protocol
Secure). Wie Sie in Kapitel 3, „Konfiguration des Netzwerkzugriffs“, erfahren haben, ver-
einfacht die Verwendung des SSL-Ports (443) zur Übertragung der Verbindungsdaten den
Verbindungsaufbau erheblich. Wie beim SSTP (Secure Sockets Tunneling Protocol) können
Clients Terminaldienstegateway-Verbindungen auch hinter jeder Firewall herstellen, die
HTTPS-Datenverkehr zulassen. Um über das Internet eine Verbindung mit dem Terminal-
dienstegatewayserver herzustellen, verwendet ein Client RDP über HTTPS. Der Terminal-
dienstegatewayserver, der sich hinter einer Perimeterfirewall befindet, stellt dann über Port
3389 eine RDP-Standardverbindung mit dem RDP-Server des internen Netzwerks her. Ter-
minaldienstegatewayserver gehören gewöhnlich zum Perimeternetzwerk einer Organisation
und sind über das Internet direkt adressierbar.
Veröffentlichung des Terminaldienstegateways mit ISA Server 2006
Sie können den Terminaldienstegatewayzugriff mit ISA Server 2006 für Clients im Inter-
net verfügbar machen (ISA steht für Internet Security and Acceleration). Wenn Sie das
tun, stellen Clients die Verbindung mit ISA Server mit RDP über HTTPS her. ISA Server
stellt dann eine SSL-zu-SSL-Brücke her und leitet den Datenverkehr an den Terminal-
dienstegatewayserver weiter. Der Vorteil dieser Konfiguration liegt darin, dass sie auf der
Ebene der Anwendungen eine Untersuchung des Datenverkehrs ermöglicht, wenn ISA
Server im Rahmen der SSL-Brücke den SSL-Datenstrom entschlüsselt und dann erneut
verschlüsselt. Erkennt ISA Server problematische Inhalte, kann die Verbindung abgebro-
chen werden, bevor die Daten den Terminaldienstegatewayserver erreichen.