[Telepuzik]

У машин не входящих в домен ip адрес статический или динамический? ipconfig /all с машины не входящей в домен покажите.

[cameron]

Цитата IksSafonsky:

Проблема в том, что в сети есть машины, не входящие в домен (учебный класс), и с них доступа нет (не найден удалённый компьютер). MS Firewall Client на них делает вид, что работает, но в момент попытки подключения почему-то теряет связь с прокси-сервером. »

а зачем он там стоит?.. в чём дао?

Цитата IksSafonsky:

или подключиться каким-то другим способом, не используя MS Firewall Client? »

Код:

allow - RDP (Terminal Services) - %Workgrouphosts% - External -  all users

вот так.

[Anton04]

IksSafonsky,

1. Как правильно сказала cameron зачем стоит FWC на машинах не входящих в домен!?
2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней.
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. Ну а коли нет возможности, то выпускать их в интернет по IP или (на крайней случай) по учёткам на иса сервере (т.е. базовая аутентификация).

[cameron]

Цитата Anton04:

2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней. »

и зачем паблишить порт, когда речь идёт об исходящем соединении?

Цитата Anton04:

3. Компы не входящие в домен (опять же правильней) выделить в DMZ. »

с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем?

Цитата Anton04:

по учёткам на иса сервере (т.е. базовая аутентификация). »

можно и доменные использовать для Basic аунтефикации.
писать нужно будет не isahost\user а domain\user

[Anton04]

Цитата cameron:

и зачем паблишить порт, когда речь идёт об исходящем соединении? »

Простите, но я прочитал, а понял просто наоборот... каюсь...

Цитата cameron:

с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем? »

Под DMZ я и имел в виду отдельный физический интерфейс.

Цитата cameron:

можно и доменные использовать для Basic аунтефикации. писать нужно будет не isahost\user а domain\user »

Просто в этом случае появляется логинится в домен, а зачем расширять полномочия пользователю!? Объективный минимализм здесь выйграшней.

[cameron]

Цитата Anton04:

Под DMZ я и имел в виду отдельный физический интерфейс »

путаете понятия?

Цитата Anton04:

Объективный минимализм здесь выйграшней. »

мне кажется это что-то типа рекомендации не включать ISA в домен.
или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст.
вот такая "секурность" в головах.

[Anton04]

Цитата cameron:

путаете понятия? »

Простите снова не точно выразился, я имел в виду, что DMZ в отдельном физическом интерфейсе будет лучше.

Цитата cameron:

мне кажется это что-то типа рекомендации не включать ISA в домен. »

Всё верно, безопасней будет и это рекомендации безопасников самого MS.
Вы же не бось знаете схему в двумя (друг за другом) стоящими иса серверами? Не вижу здесь перегиба, всё зависит от постановки задачи.

Цитата cameron:

или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст. »

Ну это уже простите тупизм полный, отстреливать (виртуально) таких надо, шоб другим неповадно было.

[cameron]

Цитата Anton04:

Всё верно, безопасней будет и это рекомендации безопасников самого MS. »

пруфлинк? )