コンテキストは、RDP 経由でクラウド内の仮想マシンに接続する必要のある企業ネットワークですが、企業ネットワーク自体は RDP 接続を受信しません。そのため、企業ネットワークには RDP クライアントのみがあり、RDP サーバーはありません。一方、クラウド上の VM は逆で、ポート 3389 で実行されている RDP サーバーのみがあります。
この場合、会社のファイアウォールは、外部 IP のポート 3389 への送信 RDP 接続のみを許可し、ローカル ネットワーク IP のポート 3389 への受信接続をすべてブロックする必要がありますか? または (私の理解とは逆に)、ファイアウォールは、RDP クライアントが動作するように、ローカル ネットワーク IP のポート 3389 での受信接続も許可する必要がありますか?
回答を正当化する説明があると素晴らしいと思います。これはエフェメラル ポートに関連する基本的なネットワークだと思いますが、それを明確にすると非常に役立ちます。
答え1
数回のコメント交換の後、あなたの質問は基本的に次のようになります。
クラウド サーバーへの RDP を機能させるには、クライアント側で RDP ポート 3389 を開く必要がありますか、それともセキュリティ上のリスクがありますか?
いいえ、クライアント側のポートを開く必要はまったくありません。
「ポートを開く」という用語の使用は、ルーター上でポート マッピングを作成し、具体的にはファイアウォールのポート アクセスを許可して着信要求を受け入れることを意味します。
Windows の既定では、クライアントが RDP プロトコルを使用して別のマシンに接続する場合、クライアントは TCP/IP を介して別のマシンに接続し、実際の接続のために別の UDP ポートに切り替えます。このメカニズムのため、サーバー側でのみポートを開く必要があります。クライアントのファイアウォール設定が非常に厳格で過剰な場合のみ、送信接続が機能するために何かを許可する必要がある可能性がありますが、クライアントがルーターの設定を変更して TCP ポート 3389 経由の受信トラフィックを許可する必要はまったくありません。
答え2
RDS 展開にはいくつのロールがインストールされていますか? それとも、A から B へのリモート接続にのみ使用されていますか?
後者については、「コンピューターのリモート デスクトップのリスニング ポートを変更する」の記事に従って、リモート接続先のコンピューターでポート (デフォルトでは 3389) が変更されたことが確認されました。これはサーバー側と考えられます。
前者については、リモート接続のすべての RDS ロールのポート要件について言及しているブログがこちらにあります。
RDS 2012: 展開中に使用されるポートはどれですか? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx