我的问题是在回答别人的问题时提出的。我只是想在 Windows Server 2008 系统和访问它的客户端之间建立可靠的安全连接。多年来,我们在 Windows Server 2003 和 Windows Server 2008 R1 上完美运行的功能在 R2 上完全停止了。我假设这与SMB协议的使用有关,但我不确定。幸运的是,他们访问的任何东西都不需要太多的安全性,但即使需要,相同的用户名/密码要求以及必须在服务器上列出这些用户的事实似乎可以防止任何未经授权的访问。
不过,我更喜欢使用VPN,我不明白为什么以前在 Windows 中“已成定局”的事情现在需要使用额外的硬件来提供可用的接口来VPN连接。Windows RRASServer 2008R2 的正常设置发生了什么变化?
根据当前配置,系统始终会提示用户输入用户名和密码。系统中的所有用户都设置为普通用户,而不是管理员。我遇到的几个问题总是归因于端口被阻止。访问是通过\\ipaddress\sharedfolder文件夹必须与访问它的用户共享的地方进行的。到目前为止,这似乎正确地继承了权限,没有人能够获得他们不应该获得的东西。
使用相同的设置VPN也有效,但麻烦多多,并且没有提供更多的安全性,因为所有用户都坚持网关在他们那边是开放的,以允许他们通过当地 ISP 访问互联网和 Outlook。所以它只是一个 V“半私有”N。
如果有人有更好的设置,我很想知道怎么做。这是一次绝望的尝试,旨在解决升级到 Windows Server 2008 R2 后出现的问题。它的工作方式似乎有点像他们描述的新的直接访问,但没有双NICs 和活动域控制器。我比“新手”还差,所以我只能告诉你,经过一周的“眼睛流血”,我终于让服务器和客户端“交谈”。但它有一个VPN。
又经过一周的各种尝试和错误,我才意识到有一天我甚至没有使用,VPN但我仍然可以访问。结果是从任何地方都可以稳定连接,没有VPN。远程系统一打开就连接到服务器并连接到互联网。
偶尔(大约每两周一次)系统会提示用户输入网络密码,我对此并不介意,因为这可以确保系统仍在所有者手中。从服务器向外看,它们似乎是通过本地网络连接的。
我可以看到他们,他们也可以看到服务器,这正是我想要的。我没有offline files启用,所以这也不是。
客户端都是 Windows 7,服务器是 Windows Server 2008 R2 标准版。如果其他人有类似的设置,我想知道如何才能使这个更好。
为了奖励积分我希望有人能向我解释为什么一些用户的笔记本电脑一些位置,驱动器映射必须以\\servername\shared文件夹形式完成。但在同一台笔记本电脑的其他位置,映射必须以\\IP address\shared文件夹形式完成。
在这两种情况下,都是同一台笔记本电脑连接到同一台服务器和同一文件夹。此外,即使无法映射到的位置IP,如果我尝试创建VPN,VPN 必须连接到IP。它从不接受服务器的主机名。
这在某种程度上与路由器或 ISP 有关,因为它是特定于位置的。如果他们将笔记本电脑带到街对面,它就会恢复正常工作,只需IP。
我们没有WINS服务器,服务器名称只保存在服务器本身内。任何能将其简化为仅使用的方法IP都会受到欢迎,因为映射使用服务器名称的地方很少,但仍然足以引起问题。
回复@EvanAnderson 的澄清:
我不介意使用VPN。我从一开始就想明确表示,如果能让它们正常工作,我宁愿这样做。我的问题是 sVPN将不再可靠地与 Windows Server 2008 R2 配合使用。我确信问题的根源在于我缺乏知识。如果我事先知道 Windows Server 2008 和 2008 R2 之间所做的更改(我以为它只包括 2008 的最新 Service Pack),我绝不会这样做。当我们订购新系统时,我会坚持使用 R1 或自己完成安装,因为 R2 是“最差的”。
几乎在所有情况下,问题
VPN都与使用“蜂窝路由器”(通常称为 MiFi 设备)的人有关。在VPN有线路由器仍然存在问题的地方,我确实已经将许多问题追溯到端口阻塞等。但是,无论如何,我都陷入困境,因为 MiFi 设备无法控制端口阻塞(或者即使他们可以控制,他们也不会与我共享,我试过了)或酒店/汽车旅馆/公寓/等设备,我再次无法控制允许通过的内容。在一个特定情况下,我花了一整天时间在一个大型公寓大楼里,那里有两个不同的用户无法连接。原来,这个公寓大楼“批量”购买互联网接入,然后转售。我了解的细节不足以提供帮助,但我相信,集中器或其他放大器用于将大量用户集中到一小段带宽中,而每个用户仍然拥有“自己的”电缆调制解调器,这在某种程度上导致了问题。但没有人会“承担责任”,尽管在这次 R2 升级之前一切都运行良好。
您说得对,我使用的设置比糟糕还要糟糕,但至少它让每个人都重新上线了,让我有时间研究其他可能的解决方案。到目前为止,我最好的选择似乎仍然是放弃 Windows Server 2008 R2 并重新加载 R1。不幸的是,这存在“破坏”当前“正在运行”的东西的固有风险,即使它不是正确的,所以我想看看是否可以在不删除 Windows Server R2 的情况下“轻松”找到正确的修复方法。
这正是我希望在这里找到的。有人能先告诉我为什么Windows Server 2008 R2 失败了,我该怎么做才能让它正常工作。我仍然倾向于SMBvsNFS文件结构。我希望我还有一个可以正常工作的 Windows Server 2008 R1 系统,这样我就可以检查一下协议曾是用过的。不幸的是,当我坐在这里时,他们把控制权交给了我,并命令我“无论如何都要让它 24/7/365 全天候运行”
另一点是VPN设置。在 Windows Server 2008 R1 下security,我们曾经检查过CHAP和CHAP-V2。在 Windows Server 2008 R2 上只有CHAP-V2有效;如果CHAP甚至检查过 , 就VPN不会连接。我们还仅限于PTPT,IKE而其他 根本不会连接,这可能是正常的。但是蜂窝 MiFi 设备、旧路由器以及他们试图将太多人塞进尽可能小的空间的地方,这些都是问题出现的地方。
如果这能以某种方式解释为什么会出现连接问题,也许我可以找到一种方法来修复 Windows Server 2008 R2 中的问题。任何帮助或知识的传递都会得到感激!即使这个建议只是回到 Windows Server 2008 R1 而不是与之斗争。
答案1
听起来你正在通过 Internet 访问独立(非域成员)Windows Server 计算机上的 SMB 文件共享,而无需使用 VPN。这是一种非常奇怪的配置,我不会向任何人推荐这种配置。我不确定我是否理解你不想使用 VPN 的理由。
您会发现,各种 ISP、无线热点提供商等都出于政策原因阻止了 TCP 上的 NetBIOS 和 TCP 上的 SMB(分别为 TCP 端口 139 和 445)。撇开安全性不谈,使用 VPN 可让您在服务器和客户端之间进行任意通信,而不必担心网络提供商会过滤您的流量。仅凭这一点,就足以成为使用 VPN 的理由。
通过 NetBIOS 广播(非限定名称)进行的名称解析在 Internet 上根本行不通。如果服务器计算机的名称在 DNS 中解析,DNS 名称解析将起作用(完全限定名称或非限定名称,如果您已在客户端上硬设置 DNS 后缀)。在 UNC 中将服务器的名称指定为其 IP 地址应该始终有效,只要 NetBIOS over TCP 和/或 SMB over TCP 未被阻止。
如果您要在 Windows 上使用 VPN 并希望解析非限定名称,则需要使用 WINS 或将客户端配置为根据服务器计算机的域名来限定名称。我觉得您不愿意使用 VPN 的部分原因可能与名称解析不稳定有关。设置 WINS 服务器将大大有助于使通过 VPN 进行的名称解析工作得更好。
您的架构实在太奇怪了,根本不是“最佳实践”。如果您的用户无法使用 VPN,那么您可能需要考虑使用 IPSEC(尽管在您的非域环境中,您必须手动配置很多东西才能使其工作)。