我已经在另一个位置(工作组)设置了一个 Windows SBS 2003 域(LAN)和一个独立的 Windows 2008 Server(Web 服务器)。我建立了 PPTP VPN 连接(SBS 拨号 Web 服务器),LAN 用户可以通过该连接访问 Web 服务器。在 Web 服务器上,我启用了 TCP/IPv4 和文件和打印机共享协议。它有几个外部地址(其中一个是默认地址)和一个分配给网络适配器的本地地址(192.xxx)。防火墙允许使用端口 445 进行文件共享。
存在一个问题 - 我无法使 Web 服务器文件共享对 LAN 用户可见且仅对 LAN 用户可见:
- 我可以从 SBS 访问 Web 服务器,但无法从 LAN 工作站 (XP、Vista) 访问 Web 服务器。我有相同的配置 - 我刚刚用 2008 替换了旧的 (Web 服务器) Windows 2003 服务器,因此 SBS 设置相同 (静态路由、DNS 等)。我如何才能在 LAN 工作站上启用 Web 服务器的文件共享?
- 现在,我已将文件和打印机共享打开到互联网,这当然是完全不安全的。我试图保护隧道,因此我将 Web 服务器上的 RAS(VPN)连接(网络中心)移至“私人”配置文件,并将防火墙端口 445 移至“私人”配置文件,但文件共享突然不起作用,我无法在端口 445 上远程登录 Web 服务器。我如何保护文件共享,以便不必将其打开到互联网?
答案1
虽然您可以严格使用 RRAS 和 Windows 防火墙来完成您要做的事情,但这将是一个相当复杂的配置,如果配置不正确,将不安全。您可能会发现操作系统补丁也会影响功能。我不知道我是否会非常相信一旦设置好,它是否会在补丁面前继续正常工作。
在我看来,如果您投资硬件防火墙/VPN 设备,将其放置在远程 Web 服务器计算机前面以终止 VPN,那么您将花费更少的时间。如果您能够做到这一点,您最终将得到一个我认为更加强大的解决方案。
答案2
我可能没有答案,但也许我有一个可行的模型。我这样做并没有对任何东西进行任何真正的改变,这可能是你能得到的最不安全的。但我曾尝试通过互联网从各种系统访问它,如果没有适当的身份验证,我就无法连接。
我总是被提示输入用户名和密码。系统中的所有用户都设置为普通用户,而不是管理员。我遇到的几个问题总是归因于端口被阻止。访问是通过 //ipaddress/sharedfolder 进行的,其中文件夹必须与访问它的用户共享。到目前为止,这似乎正确地继承了权限,没有人能够获得他们不应该获得的东西。
使用 VPN 的相同设置也有效,但麻烦很多,而且没有提供更多的安全性,因为所有用户都坚持网关在他们的终端打开,以允许他们通过本地 ISP 访问互联网和 Outlook。所以它只是一个>V“半私人”N<
如果有人有更好的设置,我很想知道怎么做。这是一次绝望的尝试,旨在解决升级到 Server 2008 R2 后出现的问题。它的工作方式似乎有点像他们描述的新的 Direct Access,但没有双 NIC 和活动域控制器。我比“新手”还差,所以我只能告诉你,经过一周的“眼睛流血”,我终于让服务器和客户端“交谈”了。但这是用 VPN 实现的。
又经过一周的各种尝试和错误,我终于意识到我甚至没有使用 VPN,但我仍然可以访问。结果是,无需 VPN,从任何地方都可以稳定连接。远程系统一打开就连接到服务器并连接到互联网。
偶尔(大约每两周一次)系统会提示用户输入网络密码,我对此并不介意,因为这可以确保系统仍在所有者手中。从服务器向外看,它们似乎是通过本地网络连接的。
我可以看到他们,他们也可以看到服务器,这正是我想要的。我没有启用“脱机文件”,所以也不是。
客户端都是 Windows 7,服务器是 Server 2008R2 Std。如果其他人有类似的设置,我想知道如何才能使这个设置更好。
答案3
在这一点上我同意 Evan 的观点。使用可以充当 VPN 端点的路由器。我喜欢 Drayteks,尽管现在除了入门级路由器之外,其他路由器都可以使用 VPN。使用硬件 VPN 可以使路由变得非常简单。
JR
答案4
我使用 Windows Server 内置的所有功能完成了此操作。完全不需要硬件 VPN 或昂贵的第三方软件。我使用 Web 服务器上的单个 NIC 完成了所有操作。
在路由和远程访问中设置 VPN 并连接客户端后,您需要采取两个主要步骤来确保可以访问文件。
首先,允许访问端口 445(文件共享)的防火墙例外应位于公共网络上,但范围应设置为本地子网,或者更好的是,设置为路由和远程访问设置中分配给 VPN 的静态地址范围。连接到 VPN 的客户端将具有这些预定义的地址,因此可以将防火墙例外的范围设置为仅允许这些地址通过。
如果所有流量都通过 VPN 路由,那么这可能就足够了,但是如果您像我一样使用拆分隧道,那么 Internet 流量会正常路由,并且只有针对您的 VPN 的内容会通过隧道,那么您可能还需要确保当您在 Windows 资源管理器中输入域名或 IP 地址以访问文件共享时...该地址的流量实际上是通过 VPN 传输的。我发现,至少在 Windows 7 客户端上,默认情况下路由错误。为了解决这个问题,我不得不删除错误的路由,然后添加正确的路由。为此,打开提升的命令提示符并查看“route print”命令的输出。在那里,您将能够看到接口列表和 IPv4 路由,包括各种网关。如果您的 VPN 服务器(具有文件共享的 Web 服务器)的 IP 地址表示为 [VPN.IP],其网关表示为 [VPN.GATEWAY]。然后,您只需运行“route delete [VPN.IP]”,然后运行“route add [VPN.IP] mask 255.255.255.255 [VPN.GATEWAY] IF [VPN_INTERFACE_#]”。VPN_INTERFACE_# 可从您在“route print”中看到的接口列表中获取。无论如何,这会将所有以“[VPN.IP]”为目标的流量引导到 VPN 接口上的 VPN 网关。