Мой клиент в настоящее время блокирует исходящие RDP и SSH, что означает, что ни один из его сотрудников не может получить доступ к внешним компьютерам с Windows и Linux (на уровне консоли). Однако недавно возникла необходимость предоставить доступ к ассортименту конечных точек RDP и SSH, разбросанных по всему Интернету. IP-адреса конечных точек являются движущейся целью, и существует список доступа, определяющий, что это за IP-адреса.
Итак, теперь мой клиент хочет иметь один Windows Server, который они контролируют как единственную исходящую точку для RDP / SSH в Интернет. Считайте это jump box to the internet. Если у одного из наших администраторов есть доступ к этому ящику Windows, он может войти в систему и оттуда перейти к конечным точкам RDP / SSH в Интернете.
Будет ли стандартная коробка Windows 2008 работать как переходная коробка? Например, я припоминаю, что Win2k8 ограничивает количество пользователей, которые могут одновременно входить в систему, а это значит, что окно перехода может быть недоступно, если на нем находится много пользователей. Совет, как заставить это работать ..?
Можно ли установить SSH-сервер на приставку? Если да, то почему бы не настроить SSH-сервер и не разрешить использовать его только для перенаправления портов. Обычно вы настраиваете SSH-сервер в качестве хоста-бастиона.
Если это не вариант, рассмотрите возможность настройки VPN на этом устройстве. Попросите людей установить соединение с VPN, а затем, как только соединение будет установлено, разрешите им отключиться.
RDP может быть проще. Похоже, вы можете настроить службу шлюза удаленного рабочего стола и настроить политики, чтобы позволить людям, которым вы хотите, использовать этот шлюз для всех подключений.
Добавьте сервер Windows в качестве «Jump Box», а затем добавьте роль лицензирования служб терминалов в существующее поле 2k8 в сети. Тогда у вас может быть столько пользователей, сколько: а) оборудование будет поддерживать и б) вы можете позволить себе покупать лицензии. Я использую 2k3-сервер в качестве RDP (терминального) сервера в аналогичной настройке, и он отлично работает. Совмещение RDP не так уж и здорово, но это намного лучше, чем ничего. SSH на сервере терминалов неотличим от SSH на локальном сервере. 2k8 позволяет вам делать некоторые другие интересные вещи с помощью виртуализации приложений, но у меня нет большого опыта в этом; насколько я знаю, в вашей ситуации это было бы излишним.
Изменить: сводная информация о лицензировании TS Вот. С цитируемой страницы:
Чтобы использовать лицензирование служб терминалов для управления клиентскими лицензиями служб терминалов, вам необходимо выполнить следующие действия на сервере под управлением Windows Server 2008:
- Установите службу роли лицензирования TS.
- Откройте диспетчер лицензирования служб терминалов и подключитесь к серверу лицензий служб терминалов.
- Активируйте сервер лицензий.
- Установите необходимые клиентские лицензии TS на сервер лицензий.
Лицензии предоставляются на устройство или на пользователя, я не знаю, что вам больше подходит, но пошаговое руководство Вот.
Это максимум 2 исходящих RDP-соединения?
Нет, это максимальное количество одновременных пользователей, подключающихся к вашему блоку перехода с помощью RDP (вы можете иметь только два входящих сеанса RDP на сервер Windows, на котором не запущена терминальная лицензия).
Есть варианты лучше?
Я бы установил Linux с ssh. Затем разрешите администраторам использовать ssh для перенаправления портов как ssh, так и rdp-сессий на удаленные машины.
Вы можете легко контролировать, куда разрешить трафик (с помощью iptables) и легко контролировать доступ к ящику без дополнительных затрат (кроме оборудования).
Если вы планируете использовать RDP для подключения к «переходу», а затем использовать переход к RDP в других окнах, то да, у вас возникнут проблемы. Поле перехода допускает только 2 соединения, а запуск дополнительных сеансов RDP выполняется очень медленно. Будет работать, но не весело :)