我的客户目前阻止出站RDP和SSH,这意味着他们的员工都不能访问外部Windows和Linux(在控制台级别)。 然而,最近出现了分散在整个互联网上的各种RDP和SSH端点的需求。 端点IP地址是一个移动的目标,并且存在访问列表来定义这些IP地址是什么。
所以现在我的客户想要把他们控制的一台Windows服务器作为RDP / SSH到互联网的唯一出站点。 考虑一下jump box to the internet 。 如果我们的某个pipe理员可以访问此Windows窗口,那么他们可以login,然后从互联网上跳转到RDP / SSH端点。
是一个标准的Windows 2008框将作为跳转框工作吗? 例如,我似乎记得Win2k8限制了可以同时login的用户数量,这意味着如果有很多用户在上面,跳转框可能不可访问。 build议如何使这项工作..?
添加Windows服务器作为您的“跳转框”,然后将terminal服务许可angular色添加到networking上的现有2k8框。 那么你可以有尽可能多的用户a)硬件将支持b)你可以购买许可证。 我用一个2k3的盒子作为RDP(terminal)服务器在一个类似的设置,它工作正常。 捎带RDP不是很了不起,但总比没有好多了。 terminal服务器上的SSH与本地盒子上的SSH无法区分。 2k8允许你使用App虚拟化做其他一些奇特的事情,但是我并没有太多的专业知识。 从我所知道的情况来看,这将是过度的。
在此处编辑:关于TS授权的摘要信息。 从引用的页面:
要使用TS Licensingpipe理TS CAL,您需要在运行Windows Server 2008的服务器上执行以下操作:
- 安装TS授权angular色服务。
- 打开TS授权pipe理器并连接到terminal服务许可证服务器。
- 激活许可证服务器。
- 在许可证服务器上安装所需的TS CAL。
许可证是每个设备或每个用户,我不知道哪一个更适合你,但一步一步的指导是在这里 。
是在一个选项上安装一个SSH服务器? 如果是这样,为什么不设置一个SSH服务器,只允许使用它转发端口。 基本上你设置一个SSH服务器作为堡垒主机。
如果这不是一个选项,考虑在该框上设置一个VPN。 让人们build立到VPN的连接,然后一旦build立连接,就将其拒绝。
RDP可能更容易。 您似乎可以设置远程桌面网关服务,并设置策略以允许您希望的人使用该网关进行所有连接。
如果您打算使用RDP连接到“跳转”,然后使用跳转到其他框的RDP,那么是的,你将有一个问题。 跳转框只允许2个连接,并且运行捎带的RDP会话非常慢。 它会工作,但它不会很有趣:)
这是最多2个出站RDP连接?
不,这是使用RDP连接到您的跳转框的最大并发用户数(您只能将两个传入的RDP会话连接到未运行terminal许可证的Windows服务器)。
有更好的select吗?
我会用ssh设置一个Linux机器。 然后允许pipe理员使用ssh将ssh和rdp会话转发到远程机器。
你可以很容易的控制去哪里(使用iptables),并且可以很容易地控制对盒子的访问,而不需要额外的成本(硬件除外)。