Задача: подключиться к удаленному рабочему столу (стандартным клиентом mstsc) компьютера, находящегося в Интернете. Доступ в Интернет из локальной сети организации - через ISA Server 2006. На ISA открыт порт 3389 - пользователи домена (на компьютерах стоит MS Firewall Client) получили доступ. Проблема в том, что в сети есть машины, не входящие в домен (учебный класс), и с них доступа нет (не найден удалённый компьютер). MS Firewall Client на них делает вид, что работает, но в момент попытки подключения почему-то теряет связь с прокси-сервером.
Можно ли как-то устранить эту ошибку - или подключиться каким-то другим способом, не используя MS Firewall Client?

У машин не входящих в домен ip адрес статический или динамический? ipconfig /all с машины не входящей в домен покажите.

Проблема в том, что в сети есть машины, не входящие в домен (учебный класс), и с них доступа нет (не найден удалённый компьютер). MS Firewall Client на них делает вид, что работает, но в момент попытки подключения почему-то теряет связь с прокси-сервером. »
а зачем он там стоит?.. в чём дао?
или подключиться каким-то другим способом, не используя MS Firewall Client? »
allow - RDP (Terminal Services) - %Workgrouphosts% - External - all users
вот так.

IksSafonsky,

1. Как правильно сказала cameron :hi: зачем стоит FWC на машинах не входящих в домен!?
2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней.
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. Ну а коли нет возможности, то выпускать их в интернет по IP или (на крайней случай) по учёткам на иса сервере (т.е. базовая аутентификация).

2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней. »
и зачем паблишить порт, когда речь идёт об исходящем соединении?
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. »
с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем?по учёткам на иса сервере (т.е. базовая аутентификация). »
можно и доменные использовать для Basic аунтефикации.
писать нужно будет не isahost\user а domain\user

и зачем паблишить порт, когда речь идёт об исходящем соединении? »

Простите, но я прочитал, а понял просто наоборот... каюсь... :blush2:

с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем? »

Под DMZ я и имел в виду отдельный физический интерфейс. ;)

можно и доменные использовать для Basic аунтефикации.
писать нужно будет не isahost\user а domain\user »

Просто в этом случае появляется логинится в домен, а зачем расширять полномочия пользователю!? Объективный минимализм здесь выйграшней. :secret:

Под DMZ я и имел в виду отдельный физический интерфейс »
путаете понятия?
Объективный минимализм здесь выйграшней. »
мне кажется это что-то типа рекомендации не включать ISA в домен.
или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст.
вот такая "секурность" в головах.

путаете понятия? »

Простите снова не точно выразился, я имел в виду, что DMZ в отдельном физическом интерфейсе будет лучше.

мне кажется это что-то типа рекомендации не включать ISA в домен. »

Всё верно, безопасней будет и это рекомендации безопасников самого MS.
Вы же не бось знаете схему в двумя (друг за другом) стоящими иса серверами? ;) Не вижу здесь перегиба, всё зависит от постановки задачи.

или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст. »

Ну это уже простите тупизм полный, отстреливать (виртуально) таких надо, шоб другим неповадно было. :laugh:

Всё верно, безопасней будет и это рекомендации безопасников самого MS. »
пруфлинк? =))