我正在运行Windows 2008 R2服务器,其中运行的是本地运行的各种服务,以及运行在Hyper-V上的两个虚拟服务器。
硬件服务器,我打算称之为REAL1,有一个外部网卡,我可以分配以下任何IP地址:1.2.3.4,1.2.3.5,1.2.3.6等…
我需要实现以下function:我希望能够通过远程桌面(RDP /端口3389)在一个IP地址(比如1.2.3.4)上连接到REAL1,而且还可以连接到虚拟服务器(我要打电话给他们VIRTUAL1和VIRTUAL2)在其他可用的IP地址(如1.2.3.5和1.2.3.6)。
这样做的最简单方法是直接将虚拟服务器连接到外部接口,并为它们分配各自的IP地址。 REAL1将有1.2.3.4,VIRTUAL1将有1.2.3.5,VIRTUAL2将有1.2.3.6。 不幸的是,虽然我不直接pipe理这两个虚拟服务器,但是我对它们的安全负有责任。 我想在虚拟服务器和互联网之间有一些防火墙。
我曾尝试运行虚拟机防火墙,但发现Hyper-V的性能相当可怕。
我正在尝试的另一种方法是路由和远程访问(RRAS):
我遇到的问题是,当我尝试从REAL1上的外部IP地址端口转发服务时,它只在没有绑定到端口的服务时才起作用。 远程桌面“贪婪地”绑定到REAL1端口3389上的每个可用IP地址,所以我不能有select地将传入的通信量从1.2.3.5:3389转发到10.1.1.2:3389。 RRAS将允许我设置此端口转发,并没有出现错误。 它只是不工作。
所以我的问题是:
有没有更好的方法来做到这一点? 或者至less有解决RRAS和物理服务器上其他所有东西之间的显式冲突的方法吗?
我曾尝试运行虚拟机防火墙,但发现Hyper-V的性能相当可怕。
哈? 我使用Hyper-V(2个RRAS,一个TMG)运行多个RRAS /防火墙系统,性能对于99%的事情来说确实可行 – 执行所有Icare。
如果您确定RRAS为防火墙,则在外部起诉RRAS。
把第二块网卡放在REAL1上 – 一个非硬件的网卡(微软的驱动程序 – 查找 – 我认为它被称为回送适配器),然后围绕虚拟networkingbuild立虚拟networking。 然后,RRAS可以在那里阻止传入的TCP等连接。
我个人不会在物理服务器上运行除Hyper-V之外的其他任何东西;)如果它暴露在互联网上,绝对不是更高级别的function;)
我没有看到性能如何糟糕,我肯定会使用第三个具有防火墙/远程访问/服务发布function的虚拟服务器,并让物理主机保持清洁。
显然,最好的办法是将第二块网卡插入机器,并将其专用于内部networking,如果存在这样的情况。
如果不存在这样的内部networking,那么只需要使用第三台安装了TMG的虚拟服务器,为其分配外部IP,并在内部创build一个纯虚拟的专用networking,只连接物理主机,这两个虚拟服务器和TMG内部接口在一起。 在TMG上使用NAT和多个外部IP地址发布其他服务器。 这不仅会部分屏蔽虚拟服务器,还会屏蔽物理主机。
您是否在Hyper-V服务器上运行高端video适配器? 此configuration存在问题,build议在Hyper-V服务器上使用基本的svga驱动程序。
了解Hyper-V的高端video性能问题
解决您的RDP问题的一个可能的select是将terminal服务网关添加到您的Hyper-V服务器,然后您可以通过Hyper-V服务器连接到您的虚拟机。 我写了一篇文章 ,概述Windows 2008 Server中的这个function,并且每天使用它来到我的实验室服务器上的虚拟机。
启用TSG之后,您可以通过添加带有SSTP的RRAS来扩展它,以将VPN连接的选项添加到您的家庭networking中,遍及您的Hyper-V服务器。