系统快速概览:
我有一个业务 (IT) 域和一个过程控制网络 (PCN) 域,它们通过一对防火墙和一个 DMZ 连接在一起(DMZ 服务器也是 PCN 域的一部分)。PCN 域服务器是 2016 年的。IT 是各种工作站和服务器的混合体。
我想允许 IT 用户通过 DMZ 中的 RD 网关从 PCN 上的 RDS 访问工厂控制 HMI 的只读会话。这很简单,直到我获得许可。这些用户已经通过 IT 网络上的 RD 许可证服务器成为获得许可的 IT RD 用户。我认为我在这里有两个选择,要么:
- 允许域之间的双向信任,以便 PCN 上的 RDS 可以使用 IT 许可证服务器,或者
- 购买新的 RDP 用户 CAL 并为此在 PCN 上设置许可证服务器。
对于选项 1 的担忧是网络之间的安全性会降低。对于选项 2 的担忧是成本。
但现在我想知道我是否可以在 IT 网络中设置另一个 RDS,使其成为客户端的第一个跳点,然后使用 HMI 应用程序从那里启动到 PCN RDS 的 RDP 会话(即嵌套 RDP 会话)。然后我可以执行分配给 IT RDS 并由 PCN 中的许可证服务器托管的基于设备的 RDP CAL(设备 = IT RDS)。我不认为这是多路复用,因为我仍在 IT 域中分配基于用户的 RDP CAL(以及 PCN 域中的设备 RDS CAL)。
这样做的明显缺点是无法直通设备、打印机等,并且性能会略有下降 - 但我认为它可以正常工作。
我对此没有非常具体的问题,除了我是否遗漏了一些明显的因素,导致它无法工作或存在其他致命缺陷。我想我也把它放在那里,以防有人有更好的解决方案。