Ich habe eine SBS 2003 R2-Box, die hinter einer Firewall/einem Router sitzt. Der Server und die Firewall/der Router wurden so eingerichtet, dass sie eingehende VPN-Verbindungen akzeptieren, und das funktioniert einwandfrei: Benutzer können sich über einen VPN-Tunnel mit dem Server verbinden und erhalten eine vom Server generierte IP-Adresse.
Der Server selbst ist ein einfacher Dateiserver, der Remotedesktopverbindungen zulässt. Jeder Client verfügt über einen Benutzernamen und ein Kennwort auf dem Server, auf die er sich per RD zugreifen kann. Die ausgefeilteren Aspekte wie Active Directory-Anmeldungen usw. werden von uns jedoch nicht genutzt.
Benutzer beschweren sich jedoch, dass sie eine IP-Adresse (die lokale Adresse des Servers hinter der Firewall) eingeben müssen, um per Remotedesktop auf den Server zuzugreifen, anstatt den Namen des Servers zu verwenden. Kann ich dies auf dem Server so konfigurieren, dass der Name „\myserver“ in seine IP-Adresse aufgelöst wird?
Prost,
Ich bin Lenny.
Antwort1
Ich glaube, Sie meinen, dass die VPN-Clients die IP-Adresse des Servercomputers in ihren Remotedesktop-Client eingeben müssen, um über RDP auf den Servercomputer zugreifen zu können. Vorausgesetzt, Sie tun dies, gibt es verschiedene Möglichkeiten, das zu handhaben, was Sie versuchen.
Wenn Sie VPN-Clients mit dem Microsoft Routing- und RAS-Dienst bedienen, werden die auf der Netzwerkkarte des Servercomputers konfigurierten DNS- und WINS-Serveradressen an die VPN-Clients weitergegeben. Sie können diesen Servercomputer selbst als WINS- oder DNS-Server konfigurieren, die DNS- und WINS-Einstellungen seiner eigenen Netzwerkkarte auf sich selbst „verweisen“ und dann entweder eine DNS-Zone und einen Hosteintrag für den Server erstellen oder einen Eintrag im WINS-Server vornehmen.
Eine weitere Möglichkeit: Angenommen, Ihr Unternehmen ist im Internet mit einem Internetdomänennamen vertreten, beispielsweise „company.com“. Sie könnten für diesen Servercomputer einen „A“-Eintrag im internetseitigen DNS erstellen, beispielsweise „rdp.company.com“, und die IP-Adresse in diesem „A“-Eintrag auf die private (192.168.xx usw.) IP-Adresse des RDP-Servers „verweisen“. Hoffentlich haben Sie bereits VPN-Clients, die einen Namen verwenden, um eine Verbindung zum VPN-Dienst auf der öffentlichen IP-Adresse des Servercomputers herzustellen (beispielsweise vpn.company.com, das auf die öffentliche IP-Adresse „verweist“, die an diesen Servercomputer weitergeleitet wird). Das Erstellen eines zweiten „rdp.company.com“-„A“-Eintrags wäre keine große Sache.
Die Chancen stehen gut, dass eine Top-Down-Bewertung der Namensauflösung und Authentifizierung in Ihrem Netzwerk wahrscheinlich dieam bestenaber hoffentlich hilft Ihnen eine der oben genannten Lösungen kurzfristig weiter.
Antwort2
Wenn sie eine Windows-VPN-Verbindung einrichten, ist die Option „Standard-Gateway auf Remote-Host verwenden“ standardmäßig aktiviert. Sie sollten also in der Lage sein, sbserver.yourdomain.local aufzulösen, ohne dass Sie etwas tun müssen.
Ich bin jedoch verblüfft, warum Sie Ihren Benutzern RDP-Zugriff auf Ihren Server erlauben (standardmäßig sollte ihnen die Anmeldung über Terminaldienst oder interaktiv nicht gestattet sein, es sei denn, sie sind alle Domänenadministratoren oder Sie haben die Sicherheitsrichtlinie geändert) und warum Sie nicht Remote Web Workplace verwenden, wasDieKiller-App für SBS-Server.
Mit RWW können Ihre Benutzerhttp://Ihr.Router.tld/remotein Internet Explorer und melden Sie sich nahtlos an und verbinden Sie sich mit ihremeigenMaschinen, nicht den Server - auf diese Weise öffnen Sie Ihren Server auch nicht für ihre (potenziell) infizierten Maschinen über VPN. Darüber hinaus gibt es auch Outlook Web Access, wenn Sie Exchange verwenden, wasein anderergroßer Gewinn für SBS (es ist eigentlich ziemlich lächerlich, wie viel man für eine SBS-Server-Lizenz bekommt).
Es ist wahrscheinlich auch schon konfiguriert – öffnen Sie vom Server aus den Internet Explorer und gehen Sie zu http(s)/localhost/remote. Nachdem Sie bei der Zertifikatswarnung auf „OK“ geklickt haben, sollten Sie sich anmelden können. Versuchen Sie, sich zu authentifizieren und eine Verbindung mit dem Computer einer anderen Person herzustellen.