概括:如何创建 RDC 连接从Windows 2008 服务器到另一台服务器?
我们的客户只允许我们通过静态 IP 地址连接到他们的服务器(这已经足够公平了),但不幸的是,由于我们是一家小公司,所以我们办公室里没有这样的 IP 地址。
为了解决这个问题,我们通过旧的 Windows 2003 服务器建立了连接(来自 1and1 的动态云)...然而我们刚刚重建了服务器以在 Windows 2008 R2 下运行(别问,但这是必要的),现在我根本无法使连接正常工作。
我已经向具有高级安全性的 Windows 防火墙添加了“出站规则”(TCP,所有本地端口,3389 远程端口 - 我也尝试过相反的方法)。
我添加了具有相同详细信息的数据包过滤器 IP 安全规则。
1and1 防火墙规则(通过其在线控制面板)允许 3389 TCP 和 UDP。
但它根本就没有连接(是的,服务器肯定是打开的并且能够接受连接),一般错误是......
远程桌面无法连接到远程计算机,原因如下:
1) 未启用对服务器的远程访问
2) 远程计算机已关闭
3) 远程计算机在网络上不可用
我是否遗漏了什么明显的信息 - 或者我可以使用什么来找出请求被阻止的位置?新服务器使用的 IP 地址与以前完全相同,因此我认为这不会成为问题。除非它试图使用 IPv6 地址而不是以前的旧 IPv4 地址?
抱歉,我不是专业的网络人员,但我比办公室里的任何人都知道得多!!
编辑
我已经暂时停止了 Windows 防火墙(通过netsh firewall set opmode disable)和 IPSec(通过net stop "ipsec policy agent"),但仍然无法连接。
我没什么主意了
编辑2
看起来我没有正确禁用 ipsec(或者如果我这样做了,那么一定有什么东西自动将其重新打开)。
如果我禁用(取消勾选)Block AllIPSec 中的选项,则连接将开始工作。我试图找到任何说明优先顺序的文档,但由于我看不到在对话框中重新排序安全规则的方法,因此我不得不假设Permit覆盖Block。
但是,这对我来说仍然毫无意义,因为我专门为 TCP 3389 添加了许可证,但它不起作用。啊,我讨厌电脑!!
编辑3
我的一个朋友(一家中型公司的网络管理员)查看了配置,也不知道该如何解释到底发生了什么......我很高兴不只是我一个人遇到这种情况!
他对此事的唯一想法是Kerberos身份验证方法,以及该方法是否会产生影响。不幸的是,他无法确切地弄清楚如何在不使用 SSL 证书的情况下解决这个问题。
目前,我的情况是,我必须暂时禁用Block AllIP 安全规则列表中的规则 - 连接到相关客户端 - 完成后,重新启用block all。一点也不理想,但除非其他人能想出答案,否则这是我唯一能做的。
(他提出的另一个建议是完全删除 IPSec 安全性,而只使用 Windows 防火墙。这是一个好主意吗?)
答案1
回答我自己的问题...我根本没找到 IPSec 阻止 RDC 的原因(后来我也发现了 FTP)。我已经检查过所有我想到的设置,次数多得数不清了 - 但它们看起来都很好。
我现在已经禁用(取消勾选)了Block AllIPSec 中的该项目,并且一切现在都按预期运行。
我不确定这是否是我刚刚发现的一个安全漏洞。或者,如果Block All禁用了 IPSec,启用 IPSec 是否还有意义。
但是由于高级安全 Windows 防火墙已经安装并运行,并且 1and1 控制面板上的防火墙设置也已经存在,我希望那里足以提供良好的保护级别。
答案2
您应该做的第一件事是执行traceroute客户端服务器,以确定数据包确实是从托管您尝试连接的云服务器的公司所拥有的网络传出的。
不幸的是,由于您的客户端已决定阻止 ICMP Echo,因此很难诊断问题所在。
您的客户有自己的管理员吗?如果有,一旦您确定数据包正在到达(或接近)他们的网络,您就应该与他们交谈。