我使用主机 softlayer 运行一些 Windows 2012 服务器。现在它们有一个公网和私网适配器。我想禁用到公网 IP 的 RDP。对于服务器 2008,步骤如下:
http://knowledgelayer.softlayer.com/procedure/disabling-remote-desktop-your-public-network
我需要在 2012 中做同样的事情,但首先,tsconfig.msc 显然已被删除。我该怎么办?Windows 防火墙可以阻止 RDP 到公共 IP 吗?这必须排除 TMG 等。
答案1
所有旧的终端服务 (TS) 管理工具现在都在远程桌面管理服务器 (RDMS) 下完成。从我最初的测试来看,除非您实际安装了 RDMS 角色,否则您无法真正使用此工具。我尝试仅添加此服务的管理工具作为附加功能,但它没有出现在我的任何正常位置,可能是因为服务器本身未安装。我可能错了,因为我还没有完全调查,但这一点没有意义。
如果您实际运行的是多用户 RDP 服务器,那么您实际上只会想要使用该工具来实现此目的。即便如此,您也只会在极少数情况下使用它,即您在同一个网络上有多个 NIC,并且您想在一个适配器上阻止它,而不是所有适配器。即使在这种情况下,也可能有更好的方法可以做到这一点。
我猜你只是想通过只允许管理员从网络上的私有 IP 进行 RDP 连接来提高安全性。在这种情况下,你实际上应该只使用防火墙。起初这可能看起来令人困惑,因为你只想阻止一个网络适配器上的 RDP 连接而不阻止另一个网络适配器上的 RDP 连接,但 Windows 防火墙不会区分不同的网络适配器(仅网络配置文件)。但是,如果您认为来自私有网络的任何 IP 地址都将在指定范围内,那么您应该能够设置一条规则,仅允许来自此指定 IP 范围的 RDP,这反过来会阻止来自公共网络适配器的所有 RDP 流量,因为你永远不会看到来自该公共网络上的私有 IP 范围的 IP。
答案2
您可以在 2012 年做与 2008 年相同的事情,无需 GUI。您只需改用 WMI。我之前在这里回答过一个非常类似的问题: