Справедливое предупреждение: я программист, а не айтишник. Таким образом, я понятия не имею, о чем говорю, и полностью отдаю себя на вашу милость.
У меня есть три выделенных машины, которые мы в настоящее время администрируем через RDP через Интернет. У нас также есть виртуальная машина, на которой мы делаем то же самое. Виртуальная машина и выделенные машины находятся в одной локальной сети.
Я хотел бы ограничить доступ к выделенным машинам, чтобы сеансы RDP к их можно запустить только с виртуального сервера. Короче говоря, мы не хотим, чтобы сеансы RDP на выделенных машинах были разрешены через Интернет.
Конечная цель: вы RDP через Интернет на виртуальную машину, а затем RDP оттуда на выделенные машины.
Это было предложено как способ защиты выделенных машин от внешнего вторжения.
Итак, я предполагаю две вещи:
Похоже, что шлюз удаленного рабочего стола (RDG) (так называемый в Server 2008 R2. Названный шлюзом служб терминалов в Server 2008) очень хорошо послужит вам в этой ситуации.
Он предоставляет вам те же преимущества, что и идея вашей виртуальной машины (меньшая площадь поверхности и задействованные порты для атаки), а также обеспечивает передачу SSL и политики пользователя / компьютера, которые вы определяете.
Идея состоит в том, чтобы установить RDG на одном сервере и перенаправить на него порт 443 из Интернета. Затем вы создаете политики авторизации подключения (CAP), которые определяют, кто может использовать RDG, а затем политики авторизации ресурсов (RAP), которые определяют, к каким внутренним компьютерам в локальной сети можно получить доступ через RDG.
Оттуда вы можете просматривать пользователей, которые в настоящее время вошли в RDG, а также при желании устанавливать события в пользовательских записях журнала для уведомлений (с помощью инструментов журнала событий Server 2008).
Вот пошаговое руководство по использованию RDG: http://www.microsoft.com/download/en/details.aspx?id=5177
Быстрый поиск в Google шлюза удаленного рабочего стола предоставит несколько простых вводных сведений о RDG.
Такое ограничение доступа, вероятно, является повышением безопасности (менее уязвимые службы), но только если вы убедитесь, что виртуальная машина сильно заблокирована, учетные записи пользователей ограничены и используют надежные пароли, что версия RDP и клиенты, которые вы используете соответствуют последней спецификации и используют шифрование, и вы следите за этим до чертиков.
При этом существует множество инструментов, которые вы можете использовать для реализации такой модели, в зависимости от вашей сетевой архитектуры. Возможно, лучшее место для этого - пограничный брандмауэр или маршрутизатор - просто убедитесь, что ТОЛЬКО виртуальная машина имеет порт RDP, доступный в Интернет, и что другие машины не так уязвимы. В идеале, конечно, у вас есть такой маршрутизатор / брандмауэр, и он заблокирован, чтобы не разрешать соединения волей-неволей - разрешая только те порты, которые должны быть доступны для клиентов в Интернете.
Если у вас этого нет, у вас есть более серьезные проблемы, которые, вероятно, следует решать до этой.
В качестве альтернативы вы можете использовать брандмауэр Windows на трех выделенных машинах (я предполагаю, что вы используете версию Windows с доступным брандмауэром хоста), чтобы разрешить RDP-соединения только с виртуальной машины.
Если все это не имеет смысла или кажется простым, я бы посоветовал найти сетевого администратора для помощи. Если это невозможно, я бы прочитал документацию для вашей конкретной версии Windows, относящейся к настройкам брандмауэра - возможно, запустив Вот
Удачи!