Terminal Services Gateway组策略

Terminal Services Gateway是一个好东西，它将RDP数据加密了，同时隐藏了你内网的终端服务器，还有一点，如果你的内网有多个终端服务器的集群环境，而你的公网只有一个IP，你也不需要为了要为多个服务器集群开放3389端口而被迫修改其中的一个端口，因为你只需要在防火墙上开放TSGateway默认的443端口，总结性发言，TSGateway确实是一个终端的安全网关。

在客户端要启用TSGateway，很简单，打开mstsc.exe–选项–高级–设置，在这里面就有了

 

你在这里就可以给客户端启用连接时使用TSGateway Server了，这都没什么问题。但是问题就在于

1、每个用户端都要去设置，每次连接都要设置，管理员估计有点心凉；

2、虽说可以给最终用户培训培训一下，让他们自己设，最终客户可能当时听明白了，转头就忘了，出了问题，还得找管理员；

针对于这些问题，可以使用TSGateway的组策略来统一部署，这些策略在 用户配置–管理模板–Windows 组件–终端服务–TS网关

 

 

1、设置TS网关身份验证方法，通过这一条策略，可以设置TS网关的验证方法，一个典型的应用，就是如果你设置了单点登录，那么这里就应该设置成 使用本地登录凭据

 

2、启用通过TS网关连接，这一个设置一般与第3个设置TS网关服务器地址一起使用，设置TS网关的地址。

3、设置TS网关服务器地址，这个很明白，把你的TSGateway Server的地址给填上。

当然，最后一点考虑，如果你当前登录的用户不在你的客户端计算机的OU当中，除了要设置以上策略外，你还得启用组策略回环设置，保证这些策略的生效。