У меня есть SBS 2003 R2 box, который находится за брандмауэром/маршрутизатором. Сервер и брандмауэр/маршрутизатор настроены на прием входящих VPN-подключений, и это работает отлично: пользователи могут подключаться к серверу через VPN-туннель и им назначается сгенерированный сервером IP-адрес.
Сам сервер представляет собой простой файловый сервер, который позволяет подключаться к удаленному рабочему столу; у каждого клиента есть имя пользователя и пароль, настроенные на сервере для доступа к удаленному рабочему столу, но мы не используем более сложные аспекты, такие как вход в Active Directory и т. д.
Однако пользователи жалуются, что им приходится вводить IP-адрес (локальный адрес сервера за брандмауэром) для удаленного рабочего стола на сервере, а не использовать имя сервера. Могу ли я настроить это на сервере, чтобы разрешить имя "\myserver" в его IP-адрес?
Ваше здоровье,
Ленни.
решение1
Я думаю, вы говорите, что клиенты VPN должны ввести IP-адрес сервера в свой клиент удаленного рабочего стола, чтобы получить доступ к серверу через RDP. Если вы так считаете, то есть несколько разных способов справиться с тем, что вы пытаетесь сделать.
Если вы обслуживаете VPN-клиентов с помощью Microsoft Routing and Remote Access Service, он будет передавать адреса DNS- и WINS-серверов, настроенные на сетевом адаптере сервера, VPN-клиентам. Вы можете настроить этот серверный компьютер так, чтобы он сам был WINS- или DNS-сервером, «направить» настройки DNS и WINS его собственного сетевого адаптера на себя, а затем создать либо DNS-зону и запись хоста для сервера, либо сделать запись на WINS-сервере.
Другая возможность: предположительно, ваша компания имеет какое-то присутствие в Интернете с доменным именем в Интернете, скажем, "company.com". Вы можете создать запись "A" в DNS, выходящем в Интернет, для этого сервера, например, "rdp.company.com", и "направить" IP-адрес в этой записи "A" на частный (192.168.xx и т. д.) IP-адрес сервера RDP. Надеюсь, у вас уже есть VPN-клиенты, использующие имя для подключения к VPN-сервису на публичном IP-адресе сервера (скажем, vpn.company.com, "указывающий" на публичный IP-адрес, пересылаемый на этот сервер). Создание второй записи "A" для "rdp.company.com" не составит большого труда.
Скорее всего, нисходящая оценка того, как вы выполняете разрешение имен и аутентификацию в своей сети, является наиболее подходящей.лучшийчто-то нужно сделать, но, надеюсь, одно из вышеперечисленных решений поможет вам в краткосрочной перспективе.
решение2
По умолчанию при настройке VPN-подключения Windows установлен флажок «Использовать шлюз по умолчанию на удаленном хосте», поэтому они должны иметь возможность разрешить sbserver.yourdomain.local без каких-либо действий с вашей стороны.
Однако я сбит с толку, почему вы разрешаете своим пользователям RDP-доступ к вашему серверу (по умолчанию им не должно быть разрешено входить через службу терминалов или интерактивно, если только они все не являются администраторами домена или вы не изменили политику безопасности) и почему вы не используете удаленное веб-рабочее место, котороеtheУбойное приложение для SBS Server.
С помощью RWW ваши пользователи могут перейти наhttp://your.router.tld/remoteв Internet Explorer и легко войти в систему и подключиться к своимсобственныймашины, а не сервер -- таким образом вы также не открываете свой сервер для их (потенциально) зараженных машин через VPN. Не только это, но есть еще Outlook Web Access, если вы используете Exchange, которыйдругойбольшая победа для SBS (на самом деле просто смешно, сколько вы получаете за одну лицензию SBS Server).
Вероятно, он уже настроен — с сервера откройте IE и перейдите на http(s)/localhost/remote, и после того, как вы нажмете «ОК» в предупреждении о сертификате, вы должны получить вход. Попробуйте аутентифицироваться и подключиться к чьей-то машине.