none
Доступ к серверам Windows через один терминальный сервер RRS feed

  • Общие обсуждения

  • Добрый день, реализовал схему :

    Есть сервера серв1, серв2, серв3,терм1.

    Была задача, что к серв1, серв2, серв3 можно подключиться только с терм1 и только под определенным пользователем.

    Это сделал по ссылке ниже, работает.

    https://mvvrus.wordpress.com/2014/12/14/terminal-server-ipsec/

    Вопрос: при существующей  схеме выше(по ссылке), как сделать чтобы одна учетная запись, могла попасть на серв1, серв2, серв3 из любого места с любого IP?

    Помогите пожалуйста, очень прошу, голову сломал....

    Спасибо огромное.

Все ответы

  • Если вам достаточно, чтобы доступ был только с любого компьютера во внутреннем домене (с версиями Windows Vista/Win2K8 и выше), то создайте ещё одно правило подключения (п.3 инструкции) для нужного пользователя, и не ставьте при создании галку Only allow connections from these computers.

    Если нужен доступ с внешних IP или не членов домена, то этот фокус не проходит (т.к. он требует аутентификации по Kerberos для IPsec). Для таких случаев аутентификацию пользователя следует производить где-то ещё, стандартным средством для этого является служба роли Remote Desktop Gateway (и там тоже можно указать, каким пользователям к каким серверам возможен доступ).


    Слава России!


    • Изменено M.V.V. _ 13 мая 2019 г. 11:42
  • Если вам достаточно, чтобы доступ был только с любого компьютера во внутреннем домене (с версиями Windows Vista/Win2K8 и выше), то создайте ещё одно правило подключения (п.3 инструкции) для нужного пользователя, и не ставьте при создании галку Only allow connections from these computers.

    Если нужен доступ с внешних IP или не членов домена, то этот фокус не проходит (т.к. он требует аутентификации по Kerberos для IPsec). Для таких случаев аутентификацию пользователя следует производить где-то ещё, стандартным средством для этого является служба роли Remote Desktop Gateway (и там тоже можно указать, каким пользователям к каким серверам возможен доступ).


    Слава России!


    Делал новое правило , где указывал только пользователя, не пускает... видимо из-за того, что  доменный компьютер с которого пытаюсь подключть не добавлено connection rules , и я вно не указан ip , хотя должен пускать ...
  • Раскопал тот старый стенд, на котором делал руководство, проверил свой совет из предыдущего ответа - у меня всё получилось.

    В Connection rule у меня там стоит Endpoint2 - Any IP Address, то есть никакого ограничения на подключение с любого компьютера нет. Если у вас там что-то другое, то да, это может помешать.

    И еще: на том компьютере, с которого подклчаетесь вы выполнили пункт 2 инструкции: На всех клиентах создать правило безопасности подключения, запрашивающее согласование IPSec с такой же аутентификацией, при обращении к терминальному серверу?


    Слава России!

  • Уже лучше, пытается хотябы подключиться, но потом выдает ошибку "Не удается подключиться к удаленному компьютеру"

    Лог фаервола не могу посмотреть, пишет отказано в доступе

  • В логах только 

    #Version: 1.5
    #Software: Microsoft Windows Firewall
    #Time Format: Local
    #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path