| IksSafonsky |
26-05-2010 11:30 1421385 |
Удаленный рабочий стол через ISA 2006
Задача: подключиться к удаленному рабочему столу (стандартным клиентом mstsc) компьютера, находящегося в Интернете. Доступ в Интернет из локальной сети организации - через ISA Server 2006. На ISA открыт порт 3389 - пользователи домена (на компьютерах стоит MS Firewall Client) получили доступ. Проблема в том, что в сети есть машины, не входящие в домен (учебный класс), и с них доступа нет (не найден удалённый компьютер). MS Firewall Client на них делает вид, что работает, но в момент попытки подключения почему-то теряет связь с прокси-сервером.
Можно ли как-то устранить эту ошибку - или подключиться каким-то другим способом, не используя MS Firewall Client?
|
У машин не входящих в домен ip адрес статический или динамический? ipconfig /all с машины не входящей в домен покажите.
|
Цитата:
Цитата IksSafonsky
Проблема в том, что в сети есть машины, не входящие в домен (учебный класс), и с них доступа нет (не найден удалённый компьютер). MS Firewall Client на них делает вид, что работает, но в момент попытки подключения почему-то теряет связь с прокси-сервером. »
|
а зачем он там стоит?.. в чём дао?
Цитата:
Цитата IksSafonsky
или подключиться каким-то другим способом, не используя MS Firewall Client? »
|
Код:
allow - RDP (Terminal Services) - %Workgrouphosts% - External - all users
вот так. |
IksSafonsky,
1. Как правильно сказала cameron :hi: зачем стоит FWC на машинах не входящих в домен!?
2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней.
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. Ну а коли нет возможности, то выпускать их в интернет по IP или (на крайней случай) по учёткам на иса сервере (т.е. базовая аутентификация).
|
Цитата:
Цитата Anton04
2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней. »
|
и зачем паблишить порт, когда речь идёт об исходящем соединении?
Цитата:
Цитата Anton04
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. »
|
с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем?
Цитата:
Цитата Anton04
по учёткам на иса сервере (т.е. базовая аутентификация). »
|
можно и доменные использовать для Basic аунтефикации.
писать нужно будет не isahost\user а domain\user |
Цитата:
Цитата cameron
и зачем паблишить порт, когда речь идёт об исходящем соединении? »
|
Простите, но я прочитал, а понял просто наоборот... каюсь... :blush2:
Цитата:
Цитата cameron
с какой целью? что это даст? логичнее уж влан или отдельный физ. интерфейс и своя подсеть. но в ДМЗ то зачем? »
|
Под DMZ я и имел в виду отдельный физический интерфейс. ;)
Цитата:
Цитата cameron
можно и доменные использовать для Basic аунтефикации.
писать нужно будет не isahost\user а domain\user »
|
Просто в этом случае появляется логинится в домен, а зачем расширять полномочия пользователю!? Объективный минимализм здесь выйграшней. :secret: |
Цитата:
Цитата Anton04
Под DMZ я и имел в виду отдельный физический интерфейс »
|
путаете понятия?
Цитата:
Цитата Anton04
Объективный минимализм здесь выйграшней. »
|
мне кажется это что-то типа рекомендации не включать ISA в домен.
или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст.
вот такая "секурность" в головах. |
Простите снова не точно выразился, я имел в виду, что DMZ в отдельном физическом интерфейсе будет лучше.
Цитата:
Цитата cameron
мне кажется это что-то типа рекомендации не включать ISA в домен. »
|
Всё верно, безопасней будет и это рекомендации безопасников самого MS.
Вы же не бось знаете схему в двумя (друг за другом) стоящими иса серверами? ;) Не вижу здесь перегиба, всё зависит от постановки задачи.
Цитата:
Цитата cameron
или, как я наблюдала, у одних супир-специалистов, для ISA был поднят отдельный домен и сделан траст. »
|
Ну это уже простите тупизм полный, отстреливать (виртуально) таких надо, шоб другим неповадно было. :laugh: |
Цитата:
Цитата Anton04
Всё верно, безопасней будет и это рекомендации безопасников самого MS. »
|
пруфлинк? =)) |
Время: 13:55.
© OSzone.net 2001-
