Ферма Win 2012 RDS недоступна для внешних клиентов
Внешние клиенты не могут получить доступ к моей ферме RDS - вот что я настроил:
(все серверы Win 2012 R2 и клиенты Win 8.1)
Server: PDC1
ip: 10.0.0.2
roles: file, print, sql 2012, dhcp, dns, RD License Server, RD Gateway, RD Web Access
Server: SVRDS1
ip: 10.0.0.3
roles: RD Host Session, RD Connection Broker (HA)
Server: SVRDS2
ip: 10.0.0.4
roles: RD Host Session, RD Connection Broker (HA)
Server: SVRDS3
ip: 10.0.0.5
roles: RD Host Session, RD Connection Broker (HA)
RD Loadbalancing на всех трех серверах.
Я установил циклический перебор (rd.mycompany.local) на SVRDS1-3, и если я внутренне пытаюсь подключиться к rd.mycompany.local, то это работает. Я направляюсь на любой из хост-серверов.
В моем брандмауэре я установил порт 3389, чтобы он указывал на SVRDS1. Если у меня есть только SVRDS1 в моей коллекции хостов, все в порядке - но если я добавлю SVRDS2 и 3 в коллекцию хостов, попытка внешнего подключения завершится неудачей.
Мои собственные мысли...
Клиент пытается подключиться и нажимает SVRDS1, но из-за балансировки нагрузки RD хочет перейти на SVRDS2, который недоступен извне сети?
Мне нужно использовать RD Gateway, но как? У меня нет DMZ, и я не должен переносить 443 вперед с PDC1?
Я должен найти другую работу, потому что я нуб в этом;)
Надеюсь, вы можете направить меня в направлении - спасибо!!!
2 ответа
Пользоваться шлюзом легко и будет очень полезно для вас. Что вам нужно сделать, это:
- Получите сертификат третьей стороны от вашего CA по выбору. Что-то вроде rdgateway.company.com
- Вы уже настроили роль шлюза на PDC1, поэтому просто настройте его на использование 3389 и 443, или, если вам нужен другой порт вместо 443, используйте ссылку Эрика в своем ответе, чтобы изменить его. Убедитесь, что вы настроили группы CAP и RAP (группы политик доступа к компьютерам и политики удаленного доступа) для людей, которые будут получать доступ к ним извне.
- Установите запись DNS в вашем общедоступном DNS-провайдере (например, GoDaddy, Network Solutions и т. Д.) Для rdgateway.company.com, который указывает на один из ваших общедоступных IP-адресов.
- Перенаправьте порты правильного порта на маршрутизаторе / брандмауэре с внешнего IP-адреса, упомянутого в шаге выше, на внутренний сервер шлюза и его локальный IP-адрес.
- Для правильного подключения к шлюзу вам необходимо (сначала выполните это на одном компьютере в качестве теста), откройте "Подключение к удаленному рабочему столу"> "Показать параметры"> "Дополнительно"> "Настройки"> "Задайте имя сервера шлюза RD и метод входа в систему". Сохраните все это и вернитесь на главный экран подключения к удаленному рабочему столу.
- На этом экране вы хотите указать имя вашей фермы в качестве имени сервера, к которому вы хотите подключиться. Итак, шлюз уже настроен на дополнительные настройки, и для подключения компьютера необходимо поставить полное доменное имя; пример: rd.mycompany.local
Есть еще несколько мелких изменений, но я позволю вам расшифровать, если они вам понадобятся, прочитав этот ресурс.
Кроме того, я бы рекомендовал не иметь всех тех ролей, которые вы упомянули, у вас есть на вашем первом сервере, если на самом деле это контроллер домена. Просто всегда безопаснее оставлять только роли AD на контроллерах домена, но если вы не можете это изменить, то, очевидно, это всего лишь 20/20 задним числом. Просто моя рекомендация, но то, что я очень рекомендую.
Как будто вы подозреваете, что вы, вероятно, перенаправлены на другой хост RDH. Поскольку другие ваши хосты не доступны снаружи, это бомбы.
Правильный способ сделать это - использовать шлюз. Настройка 443 не должна быть такой сложной, но если у вас есть другие вещи, использующие этот порт, то ничего страшного. Перейдите по этой ссылке, чтобы изменить порт по умолчанию: http://social.technet.microsoft.com/wiki/contents/articles/10972.changing-the-default-port-of-rd-gateway-in-windows-server-2012.aspx
Второй вариант, использовать VPN.