Показать полную графическую версию : Ограничение доступа по RDP через WAN для пользователя
988essence
01-02-2011, 08:37
Есть Server 2003 Enterprise, локальная сеть, модем с пробросом портов и статическим ip адресом. Необходимо сделать так, чтобы некоторые пользователи LAN не могли заходить на сервер через WAN. Бан по IP исклучается, так как у пользователей он не статический.
А как организован вход снаружи? Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in.
Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »
вы говорите об VPN (dial in), а ТС спрашивает про разграничение по RDP, которого AFAIK, нет.
988essence
01-02-2011, 11:31
А как организован вход снаружи? »
В стандартном клиенте терминала, (например Windows XP), пишется статический ip : порт сервера - в стучае с WAN, а с LAN куда всё проще - пишелся просто DNS имя сервера (Например SERVER).
Вообще-то это настраивается в политике удаленного доступа по пользователям »
Где именно настраивается? Я ничего подобного не нашел, кроме Локальные Политики/Назначение прав доступа/Доступ из сети, но это универсальная настройка и на LAN и на WAN.
либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »
Идея хорошая, но что то не получилось ... буду ещё пробовать. (Там идет речь о VPN и о Dial-Up, у нас не используется ни то не другое)
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN.
988essence
01-02-2011, 16:10
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN. »
Каким образом это можно реализовать?
Поставить, к примеру, прокси-сервер с авторизацией.
988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP.
988essence
04-02-2011, 12:55
Поставить, к примеру, прокси-сервер с авторизацией. »
В сети уже используется прокси сервер для выхода в интернет. Работает он под CentOS-ом, что за зверь - пока не видел. В варианте с сервером, можно ли сделать авторизацию по отдельному порту?, так как есть порты, которые не должны требовать авторизации.
988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP. »
Избавились от Windows 2008 совсем не давно, дышим полной грудь. Так что QRS, - совсем не вариант.
988essence
04-02-2011, 13:14
Описываю ситуацию, не много по новому:
Сервер Windows 2003 через ethernet соединён с прокси сервером ClarkConnect, который через Port Forwarding отправляет входящее соединение (из WAN) по конкретному порту, на Windows 2003.
Как сделать чтобы, пользователи обращающиеся к этому порту на ClarkConnect, проходили авторизацию?
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи?
Поставьте Citrix и снаружи пробрасывайте только цитрикс-трафик, а не RDP.
Соответственно, сделайте отдельную группу и научите цитрикс принимать только членов этой группы.
А из внутренней сети - как обычно, RDP для всех
988essence
04-02-2011, 15:59
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи? »
Да - на стандартный RDP порт. Нужно чтобы некоторые пользователи могли входить и внутри и из вне, а другие только внутри.
Решение должно быть бесплатным, не дорогим или выполняться штатными уже имеющимися средствами.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.