我的客户目前阻止了出站 RDP 和 SSH,这意味着他们的员工都无法访问外部 Windows 和 Linux 机器(在控制台级别)。但是,最近出现了一种需求,需要访问分散在互联网上的各种 RDP 和 SSH 端点。端点 IP 地址是一个移动目标,并且存在一个访问列表来定义这些 IP 地址是什么。
因此,现在我的客户希望拥有一台他们控制的 Windows Server,作为 RDP/SSH 到互联网的唯一出站点。将其视为jump box to the internet。如果我们的一位管理员有权访问此 Windows 计算机,那么他们就可以登录,并从那里跳转到互联网上的 RDP/SSH 端点。
标准 Windows 2008 盒可以用作跳转盒吗?例如,我似乎记得 Win2k8 限制了可以同时登录的用户数量,这意味着如果有很多用户在使用跳转盒,则可能无法访问它。关于如何使其工作的建议..?
答案1
添加 Windows 服务器作为“Jump Box”,然后将终端服务许可角色添加到网络上现有的 2k8 盒。然后,您可以拥有尽可能多的用户,只要 a) 硬件支持并且 b) 您有能力购买许可证。我在类似设置中使用 2k3 盒作为 RDP(终端)服务器,它运行良好。搭载 RDP 并不好,但总比没有好。终端服务器上的 SSH 与本地盒上的 SSH 无法区分。2k8 允许您使用应用程序虚拟化做一些其他奇特的事情,但我在这方面没有太多专业知识;据我所知,在您的处境下这样做会有点过头。
编辑:TS 许可的摘要信息这里摘自引用的页面:
要使用 TS 许可来管理 TS CAL,您需要在运行 Windows Server 2008 的服务器上执行以下操作:
- 安装 TS 许可角色服务。
- 打开 TS 许可管理器并连接到终端服务许可证服务器。
- 激活许可证服务器。
- 在许可证服务器上安装所需的 TS CAL。
许可证是按设备还是按用户,我不知道哪个更适合你,但分步指南是这里。
答案2
在盒子上安装 SSH 服务器是一个选项吗?如果是,为什么不设置 SSH 服务器,并允许仅使用它来转发端口。基本上,您将 SSH 服务器设置为堡垒主机。
如果这不可行,请考虑在该盒子上设置 VPN。让人们与 VPN 建立连接,然后在建立连接后允许他们退出。
RDP 可能更简单。似乎您可以设置远程桌面网关服务,并设置策略以允许您希望的人使用该网关进行所有连接。
答案3
如果您打算使用 RDP 连接到“跳转”,然后使用跳转 RDP 进入其他盒子,那么是的,您会遇到问题。跳转盒只允许 2 个连接,并且运行搭载 RDP 会话非常慢。它可以工作,但并不好玩 :)
答案4
最多有 2 个出站 RDP 连接吗?
不,这是使用 RDP 连接到您的跳转盒的最大并发用户数(您只能与未运行终端许可证的 Windows 服务器进行两个传入 RDP 会话)。
有没有更好的选择?
我会设置一个带有 ssh 的 Linux 机器。然后允许您的管理员使用 ssh 将 ssh 和 rdp 会话端口转发到远程机器。
您可以轻松控制允许流量去往何处(使用 iptables)并轻松控制对盒子的访问而无需额外费用(硬件除外)。