Быстрый обзор системы:
У меня есть бизнес-домен (ИТ) и домен сети управления процессами (PCN), соединенные через пару брандмауэров и DMZ (серверы DMZ также являются частью домена PCN). Серверы домена PCN - 2016. ИТ - это смесь различных рабочих станций и серверов.
Я хочу разрешить ИТ-пользователям доступ к сеансу только для просмотра HMI управления предприятием из RDS в PCN через шлюз RD в DMZ. Это просто, пока я не займусь лицензированием. Эти пользователи уже имеют лицензию на ИТ-пользователей удаленных рабочих столов через сервер лицензий удаленных рабочих столов в ИТ-сети. Я подумал, что у меня есть два варианта:
Проблема с вариантом 1 заключается в снижении безопасности между сетями. Для варианта 2 это стоимость.
Но теперь мне интересно, могу ли я настроить еще один RDS в ИТ-сети, который станет первым переходом для клиентов, а затем инициирует сеанс RDP оттуда в PCN RDS с помощью приложения HMI (т.е. вложенных сеансов RDP). Тогда я мог бы просто создать клиентскую лицензию RDP CAL на основе устройства, назначенную IT RDS и размещенную на сервере лицензий в PCN (device = IT RDS). Я не думаю, что это мультиплексирование, потому что я все еще выделяю клиентскую RDP CAL на основе пользователя в ИТ-домене (а также RDS CAL для устройства в домене PCN).
Очевидным недостатком этого будет отсутствие сквозной передачи устройств, принтеров и т. Д. И небольшое снижение производительности, но я думаю, что это будет работать нормально.
У меня нет очень конкретного вопроса по этому поводу, кроме того, упускаю ли я что-то очевидное, что могло бы заставить его не работать, или есть какой-то другой фатальный недостаток. Думаю, я также выкладываю это на случай, если у кого-то есть лучшее решение.