none
Доступ клиента к программе через Интернет RRS feed

  • Вопрос

  • Здравствуйте. Нужна помощь в следующем вопросе:

    Есть хост, на котором установлен Server 2008 R2. На нем с помощью Hyper-V поднят виртуальный Server 2008 SP2 x32. Под ним есть специфическая программа, к которой нужен доступ из удаленного офиса. Интернет раздается другим хостом, играющим роль шлюза, с Server 2008R2 и Traffic Inspector.

    Вопрос: как лучше и безопаснее осуществить возможность работы удаленного пользователя с нужной программой?

    Использовать шлюз служб терминалов? Буду благодарен за ссылки по настройке.


    • Изменено Revan83 13 марта 2013 г. 7:49
    13 марта 2013 г. 7:35

Ответы

    • Изменено Dmitry_Vasilyev 13 марта 2013 г. 9:17
    • Помечено в качестве ответа Revan83 15 марта 2013 г. 2:02
    13 марта 2013 г. 9:15
  • 443 порт открыт, но при стандартном наборе действий подключение происходит к интернет-шлюзу, а не к нужному компьютеру. Шлюз терминалов установлен на том же компьютере, выполняющем роль интернет-шлюза. Возможно, нужна какая-то конкретная настройка шлюза терминалов? Устанавливал роли по приведенным ссылкам...

    Во вкладке "Дополнительно" на терминальном клиенте надо указать имя шлюза терминалов, во вкладке "Общие" компьютер к которому вы хотите подключиться.
    • Изменено Dmitry_Vasilyev 14 марта 2013 г. 8:54
    • Помечено в качестве ответа Revan83 15 марта 2013 г. 2:01
    14 марта 2013 г. 8:54

Все ответы

  • можно использовать шлюз терминалов с remote app, можно поднимать vpn соединение до шлюза, можно вообще офисы объединить по site-to-site

    13 марта 2013 г. 8:44
    Модератор
  • Пожалуй, предпочтительнее было бы использование remote app. Но как конкретно это настроить? Раньше с терминалами работать не приходилось.

    можно использовать шлюз терминалов с remote app, можно поднимать vpn соединение до шлюза, можно вообще офисы объединить по site-to-site


    13 марта 2013 г. 9:12
    • Изменено Dmitry_Vasilyev 13 марта 2013 г. 9:17
    • Помечено в качестве ответа Revan83 15 марта 2013 г. 2:02
    13 марта 2013 г. 9:15
  • Спасибо за ответ. 

    Еще один вопрос: для осуществления данного подключения обязательно необходимо, чтобы у организации был статический публичный IP-адрес? Сомневаюсь, что наш провайдер сможет его предоставить...

    14 марта 2013 г. 3:29
  • Верно шлюз терминалов должен быть доступен по 443 порту из интернета, соответсвенно нужен частный ip-адрес. Если вам провайдер предоставляет динамический ip можно использовать dyndns.

    14 марта 2013 г. 5:37
  • Получил частный ip.

    Не совсем понял, как зайти в удаленный рабочий стол с компьютера в Интернете не на сам интернет-шлюз организации (тот, что с частным внешним ip), а на конкретный компьютер в ее внутренней сети (с внутренним ip)...


    • Изменено Revan83 14 марта 2013 г. 8:06
    14 марта 2013 г. 8:05
  • для этого и существует шлюз терминалов, он должен быть доступен из интернета по 443 порту и уже через него можно подключаться к другим внутренним серверам.

    14 марта 2013 г. 8:10
    Модератор
  • 443 порт открыт, но при стандартном наборе действий подключение происходит к интернет-шлюзу, а не к нужному компьютеру. Шлюз терминалов установлен на том же компьютере, выполняющем роль интернет-шлюза. Возможно, нужна какая-то конкретная настройка шлюза терминалов? Устанавливал роли по приведенным ссылкам...
    14 марта 2013 г. 8:49
  • 443 порт открыт, но при стандартном наборе действий подключение происходит к интернет-шлюзу, а не к нужному компьютеру. Шлюз терминалов установлен на том же компьютере, выполняющем роль интернет-шлюза. Возможно, нужна какая-то конкретная настройка шлюза терминалов? Устанавливал роли по приведенным ссылкам...

    Во вкладке "Дополнительно" на терминальном клиенте надо указать имя шлюза терминалов, во вкладке "Общие" компьютер к которому вы хотите подключиться.
    • Изменено Dmitry_Vasilyev 14 марта 2013 г. 8:54
    • Помечено в качестве ответа Revan83 15 марта 2013 г. 2:01
    14 марта 2013 г. 8:54
  • Не забудьте, что подключение через терминальный шлюз устанавливает соединение по протоколу https и требует установки сертификата на сервер который является владельцем этой роли. Так же дополню - этому сертификату должны доверять все клиенты подключающиеся через него.

    14 марта 2013 г. 9:17
  • Подойдет ли создание на сервере самозаверяющегося сертификата, и помещение его в дальнейшем в "доверенные корневые центры сертификации" через консоль на машинах клиентов?
    14 марта 2013 г. 9:50
  • Подойдет ли создание на сервере самозаверяющегося сертификата, и помещение его в дальнейшем в "доверенные корневые центры сертификации" через консоль на машинах клиентов?

    Не вижу причин почему бы нет.

    http://technet.microsoft.com/en-us/library/cc730805.aspx

    14 марта 2013 г. 10:07
  • Спасибо, Дмитрий.

    Еще такой вопрос: подключение к серверу шлюзов терминалов не проходит под учетной записью Администратор, в то время как под обычными учетными записями идет. Учетка администратора введена в группу Пользователи удаленного рабочего стола, но шлюз всё равно отказывается пропускать её. В чем может быть причина?

    15 марта 2013 г. 2:25
  • Для доступа определенной группе через шлюз терминалов, на сервере на котором стоит эта роль нужно настроить две политики.

    1) Connection Authorization Policy - настраиваются группы у которых есть доступ на подключение, ограничение на редирект устройств, таймауты и аутентификацию.

    2) Resource Authorization Policy - настраиваются права доступа к внутренним ресурсам для определенных групп.

    Если у вас не пускает какого-либо пользователя через шлюз проверяйте наличие группы содержащей пользователя в политиках.

    15 марта 2013 г. 8:16