我正在尝试根据群组成员身份和 IP 地址来限制谁可以访问我们的 RD 网关(因此 A 组中的人只能从 IP 地址 X 访问系统)。RD 网关安装的网络策略服务器似乎意味着可以做到这一点,有一个设置可以根据客户端 IP 地址限制访问,但这似乎无法正常工作。
如果我添加 IP 地址限制,用户即使拥有正确的 IP 也无法连接,删除该限制意味着他们可以连接。查看审计日志,似乎 IP 地址不存在。
有人知道怎样让它工作吗?
答案1
不幸的是,这是不可能的。
从 NPS 来看,半径客户端是 RDS 网关服务器(它是实际向 NPS/Radius 服务器请求身份验证和/或记帐的客户端)。因此,连接到 RDS 网关的客户端计算机对于 radius 服务器是不可见的。
这在其他设备(例如接入点)上非常相似,其中客户端是将 auth/acc 请求转发到 NPS/radius 服务器的设备,而不是实际尝试连接的设备。
您可以在网络层限制访问 - 但此时,您无法区分不同的用户组。