none
Hyper-V, VPN, один белый IP и удаленный сервер, как быть? RRS feed

  • Вопрос

  • Доброго времени суток!

    Прошу помощи в решении определенной задачи(дедлайн близок - коленки трясутся), описанной ниже; от себя добавлю, что достаточно много времени уделил поиску решения, но пока что только больше запутался! (

    Дано:

    -хост-сервер windows 2008 r2 на  нем hyper-v с одним белым ип

    -частная сеть виртуальных машин(хр) с доменом (2008 r2 + VPN server)

    Необходимо:

    чтобы можно было впниться по белому ип хоста к виртуальной сети (то есть? чтобы миновав хост-систему получить доступ к виртуальной? где потом удаленным столом каждый будет подключаться к своей виртуалке)

    именно эта часть настройки интерфейсов и вызвала у меня затык - можно решить ее объединением внешнего интерфейса хотса и виртуального внутреннего(отдельного, созданного специально для VPN сервера) в мост, но тут есть другая проблема - доступ к серверу только удаленный и находится он в другом городе и как-то не получается эти действия сделать по удаленке.... И еще не понятно будет ли влиять мост на производительность и пропускную систему, а то столько пишут всякого, столько пишут ))

    Вообще, целиком задача стояла: удаленное рабочее место, причем личное, то есть каждый определенный человек имеет доступ только к своей виртуалке, с определенными ограничениями безопасности - потому и домен появился. Может посоветуете как улучшить и автоматизировать эту схему тоже.

    Спасибо, очень жду конструктивных комментариев!


    • Изменено Lord_Leon 9 апреля 2012 г. 9:40
    9 апреля 2012 г. 9:14

Ответы

  • В Вашем случае правильнее было использовать Remote Desktop Gateway, а не VPN. Развернуть RDG, пользователь будет подключаться к виртуальной машине, используя FQDN.

    Т.е. сценарий таков - создаете во внешней DNS-зоне А-запись с именем rdg.yourdomain.ru c Вашим публичным белым адресом, конфигурируете RDG с сертификатом (возможно даже на узле Hyper-V), инструктируете клиентов, как подключаться с использованием RDG и FQDN.

    • Помечено в качестве ответа Yuriy Lenchenkov 27 апреля 2012 г. 11:12
    9 апреля 2012 г. 9:33
    Модератор

Все ответы

  • В Вашем случае правильнее было использовать Remote Desktop Gateway, а не VPN. Развернуть RDG, пользователь будет подключаться к виртуальной машине, используя FQDN.

    Т.е. сценарий таков - создаете во внешней DNS-зоне А-запись с именем rdg.yourdomain.ru c Вашим публичным белым адресом, конфигурируете RDG с сертификатом (возможно даже на узле Hyper-V), инструктируете клиентов, как подключаться с использованием RDG и FQDN.

    • Помечено в качестве ответа Yuriy Lenchenkov 27 апреля 2012 г. 11:12
    9 апреля 2012 г. 9:33
    Модератор
  • Дмитрий, спасибо!

    сейчас почитаю-подготовлюсь и вернусь с новой порцией вопросов.

    НО! разве при RDG у меня не встанет той же проблемы с единственным белым адресом и не желанием использовать хостовую систему для чего-либо кроме как Hyper-V. то есть при размещении RDG на виртуальной машине.

    Или Вы считаете, что нет особого смысла изолировать хостовую систему от каких-либо дополнительных сервисов(кроме Hyper-V), и предлагаете установить RDG на хост, далее создать в Hyper-V одну виртуальную локальную сеть (не частную), в которой и разместить все рабочии станции и домен.

    Правильно ли я понял и грамотно ли это политически(это все относительно взаимодействия хоста и виртуалок).

    И еще сразу вопрос: для RDG не надо же дополнительный капиталовложений, как на терминальный доступ, например.
    • Изменено Lord_Leon 9 апреля 2012 г. 10:00
    9 апреля 2012 г. 9:57
  • Просто Роман-Татьяна...

    Роли Hyper-V и Remote Desktop совместимы. Предполагая, что у Вас два адаптера на хосте Hyper-V, на первый у Вас будет использоваться с белым адресом, второй для виртуального коммутатора, между обеими сетями нужно будет настроить роутинг с помощью RRAS. Изолировать хост на втором интерфейсе от сети или нет - дело дизайна.

    RDG не требует никаких финансовых затрат.

    9 апреля 2012 г. 10:23
    Модератор
  • Либо еще один вариант - развернуть RDG в ВМ, с помощью того же RRAS завернуть RDP-трафик через RDG.

    9 апреля 2012 г. 10:25
    Модератор
  • Я немного отойду от тематики форума - стоит ли овчинка выделки? Не будет ли безопаснее в качестве шлюза использовать специально сделанное для этого устройство (роутер) и развернуть на нем систему авторизации? В плане безопасности это лучшее решение, потому как открывать к гипервизору прямой доступ из Интернет - это, мягко сказать, моветон.
    10 апреля 2012 г. 17:26
  • Я немного отойду от тематики форума - стоит ли овчинка выделки? Не будет ли безопаснее в качестве шлюза использовать специально сделанное для этого устройство (роутер) и развернуть на нем систему авторизации? В плане безопасности это лучшее решение, потому как открывать к гипервизору прямой доступ из Интернет - это, мягко сказать, моветон.

    Чем надежнее решение на роутере? В обоих случаях используется шифрование. Зачем вам открывать доступ к гипервизору? Вам нужна подсеть с виртуалками, а не гипервизором.
    12 апреля 2012 г. 21:08
  • Будут ДДОсить - завалят сервер вместо роутера.
    16 апреля 2012 г. 15:33
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    24 апреля 2012 г. 11:15
  • В Вашем случае правильнее было использовать Remote Desktop Gateway, а не VPN. Развернуть RDG, пользователь будет подключаться к виртуальной машине, используя FQDN.

    Т.е. сценарий таков - создаете во внешней DNS-зоне А-запись с именем rdg.yourdomain.ru c Вашим публичным белым адресом, конфигурируете RDG с сертификатом (возможно даже на узле Hyper-V), инструктируете клиентов, как подключаться с использованием RDG и FQDN.

    Доброе время! А можно по подробнее о FQDN. А то что то где то читал и так не понял причем там AD?? 

    Вроде как я понял на чистый сервер с нуля ставлю Hyper-V и AD? в AD создаю пользователей и на каждого пользователя с вне через белый IP создаю виртуальку????

    16 июля 2012 г. 6:40
  • Денис, спасибо!

    Очень помогли, все сделал, все давно работает, НО!!!

    Но есть одна проблема - не подключиться с WinXP. Запрос пароля для подключения к RDG в бесконечном цикле.

    Галка "запросить отправку клиентами состояния работоспособности" снята.

    на подключающейся WinXP протокол и клиент обновлены.

    как?

    • Изменено Lord_Leon 24 июля 2012 г. 7:46
    24 июля 2012 г. 7:46
  • Вам нужно настроить Single Sign On для Windows XP.

    24 июля 2012 г. 8:35
    Модератор
  • А если не помогает (

    В общем что сделал:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders "SecurityProviders" добавил credssp.dll

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "Security Packages" добавил tspkg

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

    REG_DWORD: AllowDefaultCredentials
    Значение: 00000001

    REG_DWORD: ConcatenateDefaults_AllowDefault
    Значение: 00000001установил обновления WindowsXP-KB953760-v2-x86-RUS, WindowsXP-KB953760-x86-RUS (статья 953760)

    • Изменено Lord_Leon 24 июля 2012 г. 13:50
    24 июля 2012 г. 12:31