Войти

Показать полную графическую версию : Ограничение доступа по RDP через WAN для пользователя


988essence
01-02-2011, 08:37
Есть Server 2003 Enterprise, локальная сеть, модем с пробросом портов и статическим ip адресом. Необходимо сделать так, чтобы некоторые пользователи LAN не могли заходить на сервер через WAN. Бан по IP исклучается, так как у пользователей он не статический.

monkkey
01-02-2011, 10:55
А как организован вход снаружи? Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in.

cameron
01-02-2011, 11:17
Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »
вы говорите об VPN (dial in), а ТС спрашивает про разграничение по RDP, которого AFAIK, нет.

988essence
01-02-2011, 11:31
А как организован вход снаружи? »

В стандартном клиенте терминала, (например Windows XP), пишется статический ip : порт сервера - в стучае с WAN, а с LAN куда всё проще - пишелся просто DNS имя сервера (Например SERVER).

Вообще-то это настраивается в политике удаленного доступа по пользователям »

Где именно настраивается? Я ничего подобного не нашел, кроме Локальные Политики/Назначение прав доступа/Доступ из сети, но это универсальная настройка и на LAN и на WAN.

либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »

Идея хорошая, но что то не получилось ... буду ещё пробовать. (Там идет речь о VPN и о Dial-Up, у нас не используется ни то не другое)

monkkey
01-02-2011, 15:46
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN.

988essence
01-02-2011, 16:10
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN. »

Каким образом это можно реализовать?

monkkey
02-02-2011, 11:49
Поставить, к примеру, прокси-сервер с авторизацией.

QRS
02-02-2011, 23:17
988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP.

988essence
04-02-2011, 12:55
Поставить, к примеру, прокси-сервер с авторизацией. »

В сети уже используется прокси сервер для выхода в интернет. Работает он под CentOS-ом, что за зверь - пока не видел. В варианте с сервером, можно ли сделать авторизацию по отдельному порту?, так как есть порты, которые не должны требовать авторизации.

988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP. »

Избавились от Windows 2008 совсем не давно, дышим полной грудь. Так что QRS, - совсем не вариант.

988essence
04-02-2011, 13:14
Описываю ситуацию, не много по новому:

Сервер Windows 2003 через ethernet соединён с прокси сервером ClarkConnect, который через Port Forwarding отправляет входящее соединение (из WAN) по конкретному порту, на Windows 2003.

Как сделать чтобы, пользователи обращающиеся к этому порту на ClarkConnect, проходили авторизацию?

HLT
04-02-2011, 15:27
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи?

Поставьте Citrix и снаружи пробрасывайте только цитрикс-трафик, а не RDP.
Соответственно, сделайте отдельную группу и научите цитрикс принимать только членов этой группы.
А из внутренней сети - как обычно, RDP для всех

988essence
04-02-2011, 15:59
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи? »

Да - на стандартный RDP порт. Нужно чтобы некоторые пользователи могли входить и внутри и из вне, а другие только внутри.

Решение должно быть бесплатным, не дорогим или выполняться штатными уже имеющимися средствами.




© OSzone.net 2001-2012