我的问题是我回答别人的问题。 我只是试图创build一个Windows Server 2008系统和访问它的客户端之间的可靠的安全连接。 我们在Windows Server 2003和Window Server 2008 R1上完美工作了多年,完全停止在R2中。 我正在假设这与使用SMB协议有关,但我不确定。 幸运的是,他们访问的东西都不需要太多的安全性,但即使是这样,也需要相同的用户名/密码要求以及这些用户必须在服务器上列出的事实似乎可以防止任何未经授权的访问。
尽pipe如此,我对使用VPN感到更加舒适,而我却对为什么曾经与Windows“交易”的东西现在要求使用额外的硬件来提供VPN连接的工作接口感到困惑。 Windows Server 2008R2正常的RRAS设置发生了什么变化?
按照当前configuration,用户总是被提示input用户名和密码。 系统中的所有用户都设置为普通用户,而不是pipe理员。 我遇到的几个问题总是追溯到被阻塞的端口。 访问是通过\\ipaddress\sharedfolder文件夹必须共享给访问它的用户。 到目前为止,这似乎正确地inheritance了权限,没有人能够得到任何他们不应该得到的东西。
使用VPN的相同设置也起作用,但是更麻烦,并且没有提供更多的安全性,因为用户都坚持网关在他们的末端是开放的,以允许他们通过他们的本地ISP访问互联网和Outlook。 所以它只是一个V“半私人”N开始。
如果有人有更好的设置,我很想知道如何去做。 这是尝试解决升级到Windows Server 2008 R2后出现的问题的绝望尝试。 它似乎有点像他们描述新的直接访问,但没有双NIC和活动域控制器。 我比“新手”还差,所以我只能告诉你,经过一个星期的“stream血的眼睛”,我终于得到了服务器和客户“谈话”。 但它是一个VPN 。
另外一个星期的各种试验和错误之前,我才意识到有一天,我甚至没有使用VPN但我仍然有权访问。 结果是从任何地方没有VPN稳定的连接。 远程系统在打开并连接到Internet后立即连接到服务器。
偶尔(大约每两周)一个用户被提示inputnetworking密码,这对我来说是很好的,因为这可以确保系统仍然在主人的手中。 从外面看的服务器,似乎他们通过本地networking连接。
我可以看到他们,他们可以看到服务器,这是我所有的。 我没有启用offline files所以这不是。
客户端都是Windows 7,服务器是Windows Server 2008 R2 Standard Edition。 如果其他人有类似的设置,我想知道如何使这一个更好。
对于奖励点,我希望有人可以向我解释为什么在某些位置的某些用户的笔记本电脑上,驱动器映射务必作为\\servername\shared文件夹完成。 但是在同一台笔记本电脑上的其他位置,映射必须完成\\IP address\shared文件夹。
在这两种情况下,它是连接到相同的服务器和相同的文件夹相同的笔记本电脑。 此外,即使不会映射到IP ,如果尝试创buildVPN , VPN 必须连接到IP 。 它从不接受服务器的主机名。
这必须在某种程度上与路由器或ISP有关,因为它是特定于位置的。 如果他们把笔记本电脑穿过街道,那么只有IP才能正常工作。
我们没有WINS服务器,服务器名称只保存在服务器本身。 任何将这一点与使用IP协调一致的方法都是值得欢迎的,因为映射使用服务器名称的地方很less,而且仍然足以导致问题。
澄清回应@EvanAnderson :
我没有使用VPN的问题。 我打算从一开始就明确表示,如果能让他们工作,我宁愿这样做。 我的问题是, VPN将不再可靠地与Windows Server 2008 R2一起工作。 而且我相信这是我缺乏知识的根源所在。 如果我事先知道了Windows Server 2008和2008 R2之间的变化(我曾经假设刚刚包含了2008年的最新Service Pack),我绝不会这么做。 当我们订购新系统时,我会坚持要么R1,要么自己完成安装,因为R2是“底部跌落”的地方。
几乎所有的VPN问题都与使用“蜂窝路由器”(通常称为MiFi单元)的人有关。 在硬连线路由器仍然存在VPN问题的地方,我确实已经将许多问题追溯到阻塞的端口等等。但是,由于MiFi单元无法控制(或者如果他们不这样做,他们将不会与我分享,我已经尝试过)或酒店/汽车旅馆/公寓/等单位,我再也无法控制什么可以通过。
在一个具体的例子中,我花了整整一天的时间在一个大型的公寓大楼里,两个不同的用户无法连接。 事实certificate,这个复杂的“大宗”购买他们的互联网接入和转售。 我不知道有足够的细节可以帮助,但是我相信无论是集中器还是其他放大器,都会让大量用户进入一小段带宽,而每个用户仍然拥有“自己的”有线调制解调器,这在某种程度上会导致问题。 但是,没有人会“信用”,即使这一切都运作良好,直到这个R2升级。
你们的安排是非常正确的,我所做的工作比可怕的“糟糕”,但至less让每个人都回到网上,足够我有时间研究其他可能的解决scheme。 到目前为止,我最好的select似乎还是应该转储Windows Server 2008 R2并重新加载R1。 不幸的是,这有内在的风险,即“破坏”了一些目前正在“正在工作”的东西,即使它不正确 ,所以我正在尝试查看是否可以在不删除Windows Server R2的情况下“缓解”到正确的修复程序。
这正是我希望在这里find的。 有人谁可以告诉我为什么 Windows Server 2008 R2失败,我可以做些什么,使其工作。 我仍然倾向于SMB vs NFS文件结构。 我希望我仍然有一个工作的Windows Server 2008 R1系统,所以我可以检查看看使用了什么协议。 不幸的是,当他们把控制权交给我时,他们就坐在这里,不pipe是什么,
另一点是VPN设置。 在Windows Server 2008 R1 security下,我们曾经检查过CHAP和CHAP-V2 。 在Windows Server 2008 R2上,只有CHAP-V2有效; 如果甚至检查CHAP , VPN将不会连接。 我们也仅限于PTPT , IKE和其他人PTPT不会连接,这可能是正常的。 但是蜂窝MiFi单元,老式路由器,以及他们试图将太多人挤入尽可能小的空间的地方,这些问题都出现了。
如果这有什么帮助解释为什么连接的问题发生了,也许我可以find一种方法来解决它在Windows Server 2008 R2中。 任何帮助或知识传递一起感激地接受! 即使这个build议是回到Windows Server 2008 R1而不是与之争斗。
这听起来像你通过互联网访问独立(非域成员)Windows Server计算机上的SMB文件共享W / O使用VPN。 这是一个非常奇怪的configuration,而不是我推荐给任何人。 我不确定我是否理解你不想使用VPN的理由。
您将会发现,各种ISP,无线热点提供商等都会根据策略阻止TCP上的NetBIOS和TCP上的SMB(分别为TCP端口139和445)。 将安全设置放在一边,使用VPN可让您在服务器和客户端之间进行任意通信,而无需担心networking提供商过滤stream量。 单就这一点而言,应该足以成为使用VPN的理由。
通过NetBIOS广播(非限定名称)的名称parsing不能在互联网上工作。 如果服务器计算机的名称在DNS中parsing,则DNS名称parsing将起作用(完全限定名称或非限定名称,如果您在客户端上设置了DNS后缀)。 在UNC中将服务器的名称指定为其IP地址应该始终在TCP上的NetBIOS和/或TCP over SMB未被阻止的任何地方工作。
如果您打算在Windows上使用VPN,并且想要parsing不合格的名称,则需要使用WINS或将客户端configuration为基于服务器计算机的域名限定名称。 我觉得你不愿意使用VPN的一部分可能与名字parsing有关。 build立一个WINS服务器对于通过VPN工作来更好地解决名称问题有很大的帮助。
这里的build筑真的很奇怪,根本就不是“最佳实践”。 如果您的用户无法使用VPN进行处理,那么您可能需要考虑使用IPSEC(尽pipe在非域环境中,您将不得不手动configuration许多事情来完成这项工作)。