| 988essence |
01-02-2011 08:37 1601818 |
Ограничение доступа по RDP через WAN для пользователя
Есть Server 2003 Enterprise, локальная сеть, модем с пробросом портов и статическим ip адресом. Необходимо сделать так, чтобы некоторые пользователи LAN не могли заходить на сервер через WAN. Бан по IP исклучается, так как у пользователей он не статический.
|
А как организован вход снаружи? Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in.
|
Цитата:
Цитата monkkey
Вообще-то это настраивается в политике удаленного доступа по пользователям, либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »
|
вы говорите об VPN (dial in), а ТС спрашивает про разграничение по RDP, которого AFAIK, нет. |
| 988essence |
01-02-2011 11:31 1601916 |
Цитата:
Цитата monkkey
А как организован вход снаружи? »
|
В стандартном клиенте терминала, (например Windows XP), пишется статический ip : порт сервера - в стучае с WAN, а с LAN куда всё проще - пишелся просто DNS имя сервера (Например SERVER).
Цитата:
Цитата monkkey
Вообще-то это настраивается в политике удаленного доступа по пользователям »
|
Где именно настраивается? Я ничего подобного не нашел, кроме Локальные Политики/Назначение прав доступа/Доступ из сети, но это универсальная настройка и на LAN и на WAN.
Цитата:
Цитата monkkey
либо разрешения даются в свойствах учетной записи на вкладке Dial-in. »
|
Идея хорошая, но что то не получилось ... буду ещё пробовать. (Там идет речь о VPN и о Dial-Up, у нас не используется ни то не другое) |
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN.
|
| 988essence |
01-02-2011 16:10 1602141 |
Цитата:
Цитата monkkey
Остается лишь не "пробрасывать" наружу терминал, а сделать "прослойку" с авторизацией при доступе из WAN. »
|
Каким образом это можно реализовать? |
Поставить, к примеру, прокси-сервер с авторизацией.
|
988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP.
|
| 988essence |
04-02-2011 12:55 1604247 |
Цитата:
Цитата monkkey
Поставить, к примеру, прокси-сервер с авторизацией. »
|
В сети уже используется прокси сервер для выхода в интернет. Работает он под CentOS-ом, что за зверь - пока не видел. В варианте с сервером, можно ли сделать авторизацию по отдельному порту?, так как есть порты, которые не должны требовать авторизации.
Цитата:
Цитата QRS
988essence, с точки зрения решения на Microsoft Вам стоило бы обновить ОС до Windows 2008 и поставить TS Gateway с политикой CAP. »
|
Избавились от Windows 2008 совсем не давно, дышим полной грудь. Так что QRS, - совсем не вариант. |
| 988essence |
04-02-2011 13:14 1604262 |
Описываю ситуацию, не много по новому:
Сервер Windows 2003 через ethernet соединён с прокси сервером ClarkConnect, который через Port Forwarding отправляет входящее соединение (из WAN) по конкретному порту, на Windows 2003.
Как сделать чтобы, пользователи обращающиеся к этому порту на ClarkConnect, проходили авторизацию?
|
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи?
Поставьте Citrix и снаружи пробрасывайте только цитрикс-трафик, а не RDP.
Соответственно, сделайте отдельную группу и научите цитрикс принимать только членов этой группы.
А из внутренней сети - как обычно, RDP для всех
|
| 988essence |
04-02-2011 15:59 1604430 |
Цитата:
Цитата HLT
На какой порт пользователи в итоге попадают? стандартный RDP?
Вы хотите, чтобы одни и те же пользователи могли ходить на RDP из локальной сети, но не могли снаружи? »
|
Да - на стандартный RDP порт. Нужно чтобы некоторые пользователи могли входить и внутри и из вне, а другие только внутри.
Решение должно быть бесплатным, не дорогим или выполняться штатными уже имеющимися средствами. |
Время: 20:30.
© OSzone.net 2001-
