иметь этот параметр:
Проблема в том, что клиенты VPN не видят рабочие станции ICS.
Шлюз на VPN-клиентах отображается как пустой для интерфейса VPN, когда я выполняю на них ipconfig, что, как я полагаю, означает, что они используют какой-то VPN-шлюз на сервере.
Я знаю, что у ICS есть простая служба DHCP (которую можно отключить через реестр), поэтому могу ли я каким-то образом указать RRAS передать клиентов этому DHCP? RRAS, кажется, имеет агент DHCP Relay, который не помогает, если я настроил его для передачи сообщений DHCP на 192.168.137.1 (где сервер также отображается отдельно от .100, если я запускаю расширенный сканер портов от клиента VPN). Не уверен, что это правильный способ установить DHCP, который все равно будут использовать клиенты VPN.
Кстати, клиенты VPN теряют подключение к Интернету при подключении, но поскольку рабочие станции имеют доступ в Интернет через ICS, это нормально, если они могут получить к ним доступ через RDP (чего они в настоящее время не могут - могут видеть только сервер и RDP к нему после входа в систему через VPN)
придумали различные обходные пути, например, не использовать ICS, но настроить NAT, но не уверен, могу ли я настроить NAT и VPN на DC (тогда как с ICS, похоже, все работает нормально).
Также пробовали раскрыть порты RDP рабочих станций на других портах сервера (ICS имеет диалоговое окно расширенных настроек, в котором вы можете предоставлять услуги интернет-клиентам, но, вероятно, это доступно только для клиентов, подключающихся напрямую через Интернет, а не через VPN)
Только что нашел решение: недавно я заметил, что могу подключиться к одной из рабочих станций, но не к другим, и что с сервера я не мог перечислить другие компьютеры в локальной сети при использовании классического сетевого диалога в программном обеспечении, таком как Time Boss Pro.
Итак, я открыл RDP-соединение от сервера к каждой из рабочих станций и из проводника Windows зашел в сетевое расположение. На трех проблемных рабочих станциях он предупредил меня, что обнаружение сети было отключено, и после закрытия этого диалогового окна он предложил включить его (сделал это только для локальной сети - если вы подключены напрямую к Интернету, недавняя клиентская ОС Windows показывает выбор для включения для все публичные сети или сделать локальную сеть частной)
После этого действия я мог перечислить рабочие станции из сетевого диалога, а также мог подключиться через RDP к рабочим станциям по имени, указав в качестве шлюза RDP локальный адрес сервера в VPN.
Я уже определил политики RD CAP и RAP, как описано на https://technet.microsoft.com/en-us/library/cc731544(v=ws.11).aspx и https://technet.microsoft.com/en-us/library/cc730630(v=ws.11).aspx, для авторизации подключения и авторизации ресурсов соответственно и настроили шлюз RDP, используя их на сервере. На CAP я указал группу пользователей AD, которым разрешено подключаться удаленно, а на RAP я указал группу рабочих станций, к которым разрешен доступ. Также я уже настроил GPO (объект групповой политики) на сервере для настройки на каждой из рабочих станций через распространение / применение политики Active Directory, к которой группе пользователей AD разрешено подключаться удаленно.
Кстати, еще одно изменение, которое я сделал (хотя это не должно играть роли), заключается в том, что теперь я использую отдельное адресное пространство (192.168.0.x) для локальной сети с ICS и еще одно (192.137.0.x ) для пула статических адресов VPN. Обратите внимание, что у меня отключен агент DHCP-ретрансляции в RAS, поскольку я использую статический пул RAS для VPN.
надеюсь, это поможет кому-нибудь еще, столкнувшемуся с такой же ситуацией