有这个设置:
- 带有 2 个千兆网卡的 Windows Server 2012 R2,一个通过千兆交换机连接到 4 个工作站,另一个暴露在互联网上
- 服务器是域控制器,工作站通过 ActiveDirectory 获取组策略
- 使用 ICS 通过本地 NIC 共享相应的服务器 NIC 来提供对工作站的 Internet 访问
- 使用 192.168.137.1 地址作为本地网卡上的服务器
- 静态地址 192.168.137.2-5 设置为网关设置为 192.168.137.1 且未设置 DNS 的工作站
- 在服务器上使用 RRAS 为来自 Internet 的用户提供 VPN 连接。VPN 客户端(使用 Microsoft Windows VPN 连接)使用静态地址池(设置为使用 192.168.137.100+),并且似乎他们在 192.168.137.100 看到服务器(通过 VPN 登录后可以 RDP 确定)并且他们获得上述地址它
问题是 VPN 客户端看不到 ICS 工作站。
当我在 VPN 客户端上执行 ipconfig 时,VPN 客户端的网关显示为空,我猜这意味着他们在服务器上使用了一些 VPN 网关。
我知道 ICS 有一个简单的 DHCP 服务(可以通过注册表关闭),所以我可以告诉 RRAS 以某种方式将客户端传递给该 DHCP 吗?RRAS 似乎有一个 DHCP 中继代理,如果我将其设置为将 DHCP 消息传递到 192.168.137.1(如果我从 VPN 客户端运行高级端口扫描程序,服务器也会出现在 .100 之外)。不确定这是否是设置 VPN 客户端无论如何都要使用的 DHCP 的正确方法。
顺便说一句,VPN 客户端在连接时会失去 Internet 连接,但是由于工作站可以通过 ICS 访问 Internet,因此如果他们可以通过 RDP 访问它们就可以了(他们目前不能 - 登录后只能看到服务器和 RDP通过VPN)
已经考虑过各种解决方法,例如不使用 ICS 但设置 NAT,但不确定我是否可以在 DC 上设置 NAT 和 VPN(而使用 ICS 似乎可以正常工作)。
还尝试在其他服务器端口上公开工作站的 RDP 端口(ICS 有一个高级设置对话框,您可以在其中向 Internet 客户端公开服务,但这可能仅适用于通过 Internet 直接连接的客户端,而不是通过 VPN 连接的客户端)
刚刚找到了解决方案:我最近注意到我可以连接到其中一个工作站,但不能连接到其他工作站,并且当在软件中使用经典网络对话框时,我无法从服务器列出本地网络中的其他计算机,例如时间老板专业版。
因此,我打开了从服务器到每个工作站的 RDP 连接,并从 Windows Explorer 访问了网络位置。在三个有问题的工作站中,它警告我网络发现已被禁用,并且在关闭该对话框后它提供启用它(仅针对本地网络进行 - 如果您直接连接到互联网最近的 Windows 客户端操作系统显示选择启用所有公共网络或将本地网络设为私有网络)
在该操作之后,我可以从网络对话框中列出工作站,我还可以通过 RDP 按名称连接到工作站,将服务器在 VPN 中的本地地址指定为 RDP 网关
我已经定义了 RD CAP 和 RAP 策略,如https://technet.microsoft.com/en-us/library/cc731544(v=ws.11).aspx和https://technet.microsoft.com/en中所述-us/library/cc730630(v=ws.11).aspx,分别用于连接授权和资源授权,并使用服务器上的那些设置了 RDP 网关。在 CAP 中,我指定了一组允许远程连接的 AD 用户,在 RAP 中,我指定了一组允许访问的工作站。此外,我已经在服务器上设置了一个 GPO(组策略对象),以通过 Active Directory 策略传播/执行在每个工作站上设置允许 AD 组用户远程连接的功能。
顺便说一句,我所做的另一项更改(虽然不应该发挥作用)是我现在正在为具有 ICS 的本地网络和另一个(192.137.0.x)使用单独的地址空间(192.168.0.x) ) 用于 VPN 静态地址池。请注意,我禁用了 RAS 中的 DHCP 中继代理,因为我将 RAS 的静态池用于 VPN。
希望这可以帮助其他面临同样情况的人