有以下设置:
- Windows Server 2012 R2,配备 2 个千兆网卡,一个通过千兆交换机连接到 4 个工作站,另一个暴露在互联网上
- 服务器是域控制器,工作站通过 ActiveDirectory 获取组策略
- 使用 ICS 通过本地 NIC 共享相应的服务器 NIC,为工作站提供 Internet 访问
- 在本地网卡上使用 192.168.137.1 地址作为服务器
- 将静态地址 192.168.137.2-5 设置为工作站,网关设置为 192.168.137.1,且不设置 DNS
- 使用服务器上的 RRAS 为来自互联网的用户提供 VPN 连接。VPN 客户端(使用 Microsoft Windows VPN 连接)使用静态地址池(设置为使用 192.168.137.100+),似乎它们在 192.168.137.100 处看到了服务器(通过 VPN 登录后可以通过 RDP 连接到该服务器),并且它们获得了高于该服务器的地址
问题是 VPN 客户端看不到 ICS 工作站。
当我在 VPN 客户端上执行 ipconfig 时,VPN 客户端上的网关在 VPN 接口中显示为空,我猜这意味着他们在服务器上使用了一些 VPN 网关。
我知道 ICS 有一个简单的 DHCP 服务(可以通过注册表关闭),那么我能否以某种方式告诉 RRAS 将客户端传递给该 DHCP?RRAS 似乎有一个 DHCP 中继代理,如果我将其设置为将 DHCP 消息传递到 192.168.137.1(如果我从 VPN 客户端运行高级端口扫描器,服务器也会出现在 .100 之外),这无济于事。无论如何,不确定这是否是设置 VPN 客户端要使用的 DHCP 的正确方法。
顺便说一句,VPN 客户端在连接时会失去 Internet 连接,但由于工作站可以通过 ICS 访问 Internet,因此如果它们可以通过 RDP 访问则没问题(目前还不能 - 只能在通过 VPN 登录后才能看到服务器并通过 RDP 访问它)
已经考虑过各种解决方法,例如不使用 ICS 而是设置 NAT,但不确定是否可以在 DC 上设置 NAT 和 VPN(而使用 ICS 似乎可以正常工作)。
还尝试过在其他服务器端口公开工作站的 RDP 端口(ICS 有一个高级设置对话框,您可以在其中向互联网客户端公开服务,但这可能只适用于直接通过互联网连接的客户端,而不是通过 VPN 连接的客户端)
答案1
刚刚找到解决方案:我最近注意到,我可以连接到其中一个工作站,但不能连接到其他工作站,并且当使用 Time Boss Pro 等软件中的经典网络对话框时,我无法从服务器列出本地网络中的其他计算机。
因此,我打开了从服务器到每个工作站的 RDP 连接,并从 Windows 资源管理器访问了网络位置。在三个有问题的工作站中,它警告我网络发现已被禁用,关闭该对话框后,它建议启用它(仅适用于本地网络 - 如果您直接连接到互联网,最近的 Windows 客户端操作系统会显示为所有公共网络启用或将本地网络设为私有网络的选择)
完成此操作后,我可以从网络对话框中列出工作站,还可以通过 RDP 按名称连接到工作站,并将服务器在 VPN 中的本地地址指定为 RDP 网关
我已经定义了 RD CAP 和 RAP 策略,具体说明如下https://technet.microsoft.com/en-us/library/cc731544(v=ws.11).aspx和https://technet.microsoft.com/en-us/library/cc730630(v=ws.11).aspx分别用于连接授权和资源授权,并使用服务器上的这些设置了一个 RDP 网关。在 CAP 中,我指定了一组允许远程连接的 AD 用户,在 RAP 中,我指定了一组允许访问的工作站。此外,我已经在服务器上设置了一个 GPO(组策略对象),以便通过 Active Directory 策略传播/实施在每个工作站上设置允许远程连接的 AD 用户组。
顺便说一句,我所做的另一项更改(虽然不应该起作用)是,我现在使用单独的地址空间(192.168.0.x)作为带有 ICS 的本地网络,并使用另一个地址空间(192.137.0.x)作为 VPN 静态地址池。请注意,我已禁用 RAS 中的 DHCP 中继代理,因为我使用 RAS 的静态池作为 VPN。
希望这能帮助其他面临同样情况的人