终端服务属性高级设置

完成了NAP架构下的网络政策服务器设置之后，接下来必须到终端服务网关主机上来进行相关设置。请从“系统管理工具→终端服务”下拉选单中开启“TS网关管理员”接口，然后在本地项目节点上点击鼠标右键，选择快显选单中的“属性”继续。

开启属性页面之后，换到“TS CAP存放区”页面，将默认的“本地NPS服务器”项目变更为“中央NPS服务器”，然后在下方的字段中输入网络政策服务器（NPS）的FQDN或IP地址，并且点选“新增”按钮继续。

点选“新增”按钮之后，将会开启“共享密码”页面，在此必须输入与我们在前面所输入的网络政策服务器上的连接共享密码相同，完成输入请点选“确定”继续。

完成“中央NPS服务器”设置之后，会发现原有在终端服务网关管理接口中默认的“连接授权政策”项目，已经变成了“中央网络政策服务器”，并且可以在这个页面中看到所连接的这部网络政策服务器的地址，后续如果需要修改，只要点选位于“动作”窗格中的“设置中央TS CAP”连结。

检查终端服务网关配置

当您知道了完成部署的终端服务网关，哪些项目在检查无误之后，便可以确认目前的终端服务网关是在正常的执行当中，对于故障的排除上便可以将焦点放在其他可能的问题上，例如计算机证书的检查、防火墙设置等。以下说明两个关于终端服务网关运行上的重要检查项目。

首先在“服务器管理员”界面中，展开至“角色→终端服务”节点上，在右方页面的“系统服务”窗口中，检查目前的“Terminal Service Gateway”服务是否正在执行中。

接着第二项检查目标请开启“网站管理员”，然后浏览至“站台”的默认网站节点下，按下鼠标右键，选择“管理网站”下的“进阶设置”继续。

执行后，将会开启“进阶设置”页面，请检查目前的“自动启动”字段中的值是否设置为“True”，这样才能确保在后续重新启动之后，终端服务网关的正常运行。

关于终端服务网关运行的持续监控，可以导入Microsoft System Center旗下的Operation Manager 2007（简称SCOM 2007），来进行由里到外的终端服务全面监控。

设置NAP终端服务客户端

对于终端服务NAP客户端的设置方法比较特别，首先需要到下列网址下载专属的设置脚本文档（Tsgqecclientconfig.cmd），而事实上此文档在官方网站上的文件名后缀是txt，您必须在完成下载之后将后缀变更为cmd，建议您可以储存在客户端计算机上的磁盘根目下，然后在命令提示下来执行即可。以下先来看看这个文档执行时会替我们完成哪些工作。

1.将指定的终端服务网关名称加入到信任的服务器清单中。

2.启动Network Access Protection Agent服务，并且将启动类型设置为“自动”，而此服务便是用以将客户端系统目前的健康状态回报给NAP管理主机。必须注意的是，如果此服务没有正常启动的话，NAP网络政策将会视它为不支持的NAP客户端。

3.启用TS网关隔离强制客户端设置。

下载网址：http：//go.microsoft.com/fwlink/?LinkId=103093。

执行脚本文档

图3 执行tsgqecclientconfig设置程序

明白了Tsgqecclientconfig.cmd文档完成的设置工作有哪些之后，我们必须以管理员的身份登录到客户端的计算机中，开启命令窗口，如图3所示执行Tsgqecclientconfig.cmd，接着便可以看到有关于此命令工具参数的用法说明，在原文范例中清楚说明到，当您的终端服务网关只有一部时，只要输入例如Tsgqecclientconfig.cmd tsg01.msft.com，但是假设有多部终端服务网关时，则必须输入例如Tsgqecclientconfig.cmd tsg01.msft.com tsg02.msft.com tsg03.msft.com的格式才可以。

关于信任的终端服务网关列表

前面我们所提到的信任终端服务网关列表设置，事实上官方所提供的文档，是帮我们到本地计算器的登录档中去进行修改设置而已，以下是有于这个列表的储存位置，您也可以自行去进行编辑。

在前面官方提供的tsgqecclientconfig程序执行中，由于帮我们设置了本地信任的终端服务网关主机列表，因此只要正确设置执行时的参数，将不会出现错误信息。

测试NAP整合终端服务网关

完成了前面网络政策服务器以及终端服务网关的NAP配置之后，最后必须进行远程使用者NAP计算器的连接测试。

在远程使用者NAP计算器上设置好远程桌面连接TS网关的相关配置之后，一旦成功通过网络政策的安全检查之后，如果您点选位于顶端的小图示时，将会出现显示有关于终端服务网关的相关信息。

而在初步连接的过程中，客户端经常会发生的问题可能是未安装公司的证书，在本地计算机的信任根证书授权容器中出现错误信息，然而一般来说只要企业的根证书授权单位在正常运行中，对于凡是成功连接登录的客户端计算机来说，系统都会自动安装与更新证书，也就是说，只有对于未加入公司网域的计算机，才必须特别以IE浏览器连接登录到CA证书的网站上来下载与安装证书。

对于不符合NAP安全政策的终端服务客户端，则将在一开始连接时就会出现如图4所示的错误信息，已很清楚地说明因为网络存取保护政策因素而无法成功连接。当然啦，这也有可能是因为该客户端并非兼容于NAP客户端的要求（例如：非使用Windows XP SP3以上的版本）所致。

关于终端服务网关与网络存取保护（NAP）的整合管控部分，如果您真的按照本文的范例实际测试过，那么您将会发现它相较于其他NAP的应用部分（例如：VPN、DHCP）有很大的不同。因为对于终端服务的客户端连接检查来说，合法就提供连接存取，不合法就立即断线，并没有所谓的隔离存取管控，此外如果在成功完成合法连接存取之后的过程中，使用者的计算机中途发生不符合规定的安全设置时（例如：关闭自动更新），并不会像其他的NAP架构一样，会立即进行网络隔离处理，想必是不可能在使用者进行远程存取重要数据时，立即发生网络中断而导致用户所存取的数据丢失吧。

图4 连接遭受NAP政策拒绝

结论

NAP对于远程连接存取的安全管制，看来不是只有VPN网 络，在Windows Server 2008中所提供的终端服务网关，万万想不到它居然也可以整合这一项安全机制吧，如此一来将可以降低可能因终端服务客户端计算机，因为安全性问题造成服务器或远程桌面计算机的危害。