Добрый день. Я планирую переход на использование Remote Desktop Gateway "Шлюза удалённых рабочих столов". Почитал по этому поводу. Всё, в общем-то понятно, кроме одного момента.
Как я понимаю, после того как я подыму RDG я смогу подключаться к удалённому рабочему столку посредством защищённого протокола https. Кроме того, можно использоваться свой же сертификат. Здесь всё понятно. Но остаётся один момент. Как запретить подключаться к удалённому рабочему столу посредством обычного RDP по порту 3389 ? Я понимаю, что можно закрыть этот порт на сервере или аппаратно на роутере, но это какой-то топорный вариант. Как это делается правильно? Это можно задать в самой операционной системе?

а локально сменить порт кто мешает?
https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port

а локально сменить порт кто мешает? »
Ну так если он не будет нужен вообще тогда зачем менять? Проще отключить эту возможность (мысли вслух..). Или так не делает никто?

Я понимаю, что можно закрыть этот порт <..> аппаратно на роутере, но это какой-то топорный вариант. »
на роутере должно быть по умолчанию всё закрыто. Это открывать порт нужно специально.
Если порт больше не нужен - закройте его обратно.

Как запретить подключаться к удалённому рабочему столу посредством обычного RDP по порту 3389 ? »
вдумайтесь в слово Gateway
по сути это middleware, которое транслирует один протокол в другой