Резюме: как мне создать RDC-соединение из сервер Windows 2008 к другой сервер?
Наш клиент позволит нам подключаться к своему серверу только через статический IP-адрес (что достаточно справедливо), но, к сожалению, поскольку мы очень небольшая компания, у нас его нет в офисе.
В качестве обходного пути у нас было соединение, работающее через наш старый сервер Windows 2003 (динамическое облако от 1 и 1). .. однако мы только что перестроили сервер для работы под Windows 2008 R2 (не спрашивайте, но это было необходимо), и теперь я просто не могу установить соединение.
Я добавил «Правило исходящего трафика» в брандмауэр Windows в режиме повышенной безопасности (TCP, все локальные порты, удаленный порт 3389 - я также пробовал и наоборот).
Я добавил правило IP-безопасности с фильтром пакетов с теми же деталями.
Правила брандмауэра 1 и 1 (через их онлайн-панель управления) разрешают 3389 TCP и UDP.
Но он просто не подключается (да, сервер определенно включен и может принимать соединения) с общей ошибкой ...
Удаленный рабочий стол не может подключиться к удаленному компьютеру по одной из следующих причин:
1) Удаленный доступ к серверу не включен
2) Удаленный компьютер выключен
3) Удаленный компьютер недоступен в сети
Есть ли что-то очевидное, что я пропустил, или что-то, что я могу использовать, чтобы узнать, где блокируется запрос? Новый сервер использует тот же IP-адрес, что и раньше, поэтому я не думаю, что это будет проблемой. Если только он не пытается использовать адрес IPv6, а не старый адрес IPv4, который был раньше?
Прошу прощения, что по профессии я не сетевой человек, но я знаю больше, чем кто-либо в моем офисе !!
редактировать
Я временно остановил брандмауэр Windows (через netsh firewall set opmode disable
) и IPSec (через net stop "ipsec policy agent"
), но он все равно не подключается.
У меня заканчиваются идеи
Редактировать 2
Похоже, что я не отключил ipsec должным образом (или, если я это сделал, что-то должно было автоматически включить его снова).
Если я отключу (сниму отметку) Block All
в IPSec, то соединение начинает работать. Я пытался найти любую документацию, в которой указан порядок приоритета, но, поскольку я не вижу способа изменить порядок правил безопасности в диалоговом окне, я должен предположить, что Permit
отменяет Block
.
Однако для меня это все еще не имеет смысла, поскольку я специально добавил разрешение для TCP 3389, которое не работает. Ах, я ненавижу компьютеры !!
Редактировать 3
Мой друг (который является сетевым администратором в компании среднего размера) взглянул на конфигурацию и также не может объяснить, что происходит ... Я рад, что это не только я!
Его единственные мысли по этому поводу связаны с Kerberos
метод проверки подлинности, и может ли это иметь эффект. К сожалению, он не смог понять, как именно это обойти, не начав использовать сертификаты SSL.
На данный момент я остаюсь в ситуации, когда мне нужно временно отключить Block All
в списке правил IP-безопасности - подключитесь к нужному клиенту - и после завершения снова включите block all
. Ни в коей мере не идеальный вариант, но, если никто другой не может дать ответ, это единственное, что у меня есть.
(Еще одно предложение, которое он придумал, заключалось в полном удалении защиты IPSec, а вместо этого просто использовании брандмауэра Windows. Это хорошая идея?)
Чтобы ответить на свой вопрос ... Я просто не выяснил причину, по которой IPSec блокирует RDC (а позже я обнаружил также FTP). Я столько раз перебирал все декорации, о которых думал, что сбился со счета - но все они выглядят нормально.
Я отключил (отключил) Block All
в IPSec, и теперь все работает должным образом.
Я действительно не уверен, является ли это дырой в безопасности, которую я только что открыл. Или есть ли вообще смысл включать IPSec, если Block All
выключен.
Но поскольку брандмауэр Windows в режиме повышенной безопасности настроен и запущен, и настройка брандмауэра на панели управления 1 и 1 также присутствует, я надеюсь, что их достаточно, чтобы обеспечить хороший уровень защиты.
Первое, что вам следует сделать, это выполнить traceroute
сервер вашего клиента, чтобы определить, действительно ли пакеты выходят из сети, принадлежащей компании, размещающей ваш облачный сервер, с которого вы пытаетесь подключиться.
К сожалению, поскольку ваш клиент решил заблокировать ICMP Echo, будет сложно определить причину проблемы.
У вашего клиента есть свои админы? Если это так, то после того, как вы установили, что пакеты достигают (или приближаются) к их сети, вам следует поговорить с ними.