我正在尝试使用远程桌面服务连接到负载平衡的 Windows 2008 R2 群集。我可以轻松地从子网 (.253) 内部连接到服务器的 IP 地址 (.253.16 和 .253.17) 或群集地址 (.253.20)。
问题在于我尝试从其他子网 (.251) 连接时。我可以从 .251 远程连接到 .253 子网内的其他非群集服务器 (.253.12 和 .253.15),没有任何问题。当我在 .251 子网上时,我会收到来自群集和其他服务器的 ping 回复。但是当我尝试通过远程桌面连接时,它会超时,但只能连接到群集上的任何 IP (.20、.17、.16)。
我的 ASA 5510 处理日志中的路由报告消息:拒绝从 192.168.251.2/4283 到 192.168.253.16/3389 的 TCP(无连接)标志 FIN PSH ACK
更新:看来只要有一台主机瘫痪,它就能工作。
答案1
您描述的错误消息表明 ASA 的状态数据包检查正在发挥作用。“无连接”的意思就是:ASA 的连接表中没有 192.168.251.2:4283 和 192.168.253.16:3389 之间的 TCP 连接的条目。
我将设置捕获如下:
asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.251.2 主机 192.168.253.16 eq 3389 asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.251.2 主机 192.168.253.17 eq 3389 asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.251.2 主机 192.168.253.20 eq 3389 asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.253.16 eq 3389 主机 192.168.251.2 asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.253.17 eq 3389 主机 192.168.251.2 asa (config)# 访问列表 RDPcap 允许 tcp 主机 192.168.253.20 eq 3389 主机 192.168.251.2 asa# 捕获 RDPcap1 访问列表 RDPcap 接口 LAN251 asa# 捕获 RDPcap2 访问列表 RDPcap 接口 LAN253
其中 LAN251 是连接到 192.168.251.0/24 网络的接口,LAN253 是连接到 192.168.253.0/24 网络的接口。
然后尝试通过 RDP 连接并查看捕获的内容。
我敢打赌,你会发现,当你试图连接到其中一个 IP 时(你会看到一个 SYN 数据包从 192.168.251.2 上的随机端口 >1024 发送到 192.168.253.16/17/20 上的端口 3389),你会看到响应(SYN-ACK)从不同的 IP 地址返回,防火墙将接收该 SYN-ACK 数据包,但不会将其转发到你的 RDP 客户端。
如果是这种情况,解决方案不在 ASA 上。您需要弄清楚如何设置您正在使用的任何集群或负载平衡平台,以便与 RDP 正确配合使用。
如果不是这种情况,请粘贴捕获的内容,以便社区可以对其进行分析。
答案2
查看集群终端服务器上的防火墙设置。它们可能只允许本地子网。您只需修改这些规则,或添加新规则以允许来自其他子网的端口 3389(TS 网关的端口 443)上的连接。
如果这不起作用,那就冒险一试,但可能是您的 ASA 没有允许从 .251 子网到 culster IP 的流量的规则。尝试远程登录 ASA 并运行
sh run | gr access-
,然后查找带有类似“permit ip xy251.0 255.255.255.0 xy253.0 255.255.255.240”文本的行,
这样的行将仅允许访问 .253 子网中的前几个 IP。