我们在云上运行了多个服务,它们都托管在 Windows Server 2012 R2 上,具有公共 IP 地址和特定端口。
我们的一些客户无法联系到他们,因为“出于某种原因”,端口在他们和我们之间的防火墙之间被切断。(一些客户在多租户办公室使用共享互联网连接,他们无法更改防火墙通信)
好吧,你明白了,我们不可能让所有的防火墙都“允许”通信。
我的客户都至少运行 Windows 7。
在这种情况下,使用 Microsoft(Windows Server)技术的最佳计数器解决方案是什么?
最好的是某种隧道通信或 VPN,但客户也应该能够访问他/她的企业资源。
顺便说一句,今天我们使用 IPSec 使用 Windows 防火墙来保护通信,IPSec 隧道是我们的解决方案吗?
否则,Windows 中是否有服务可以在客户端和服务器之间启用某种 VPN,但仅适用于给定的一组服务器?
我可以感觉到 Active Directory 对象中位置选项卡的用途,我知道我可以手动设置信息,但旁边有一个浏览按钮的事实告诉我,也许有一种方法可以一次性预定义整个“位置树”全部。
如果我的假设是正确的,那该怎么做?
我已经安装了 System Center Data Protection Manager 2012 SP1,创建了一个分配五个硬盘的存储池。
如果其中一个驱动器突然崩溃并变得完全无用,会发生什么?
在这种情况下,是否有某种数据冗余可以防止我的备份丢失?
它在哪个范围内工作?(即它可以恢复多少死驱动器)
今天我有以下设置:
总而言之,它几乎是完美的,还有一点不可行,一些互联网服务提供商会阻止一些通信端口(例如 135),这会在客户端通过它们连接时造成麻烦。
我不想依赖 VPN 设置,因为我所有的服务器都有互联网 IP,那我为什么要这么做?
看起来 IPSec 隧道可能是可行的方法。根据我的理解(我很难找到关于此的文档,MSDN 上的事件)我可以设置一个隧道,客户端充当网关,并在专用服务器中设置远程网关。
编辑
真正的问题是:隧道通信是否会被封装到一个给定的 UDP/TCP 端口,而不是直接转发每个请求?
例如,如果客户端试图联系我的一个域控制器的端口 135,它会通过互联网线路中的端口 135 传输还是隧道传输到一个唯一/预定义的端口(例如 443),这样更有可能被打开。客户端尝试联系的任何其他端口也是如此,所有端口都封装在 443 中。
我希望这样更清楚,老实说,我已经是第一次了!:)
谢谢
这是我的基础设施配置:
我的第一个问题是:为什么我必须在“请求/请求”上设置 AD 服务器?是因为我使用了基于 Kerberos 的默认身份验证方法吗?
我的第二个问题是:走这条路真的安全吗?根据我的看法,AD 根本没有受到 IPSec 的保护,所以它很容易受到攻击,对吧?有那么危险吗?
我的第三个也是最后一个问题:你们认为在 Windows Server 上拥有完整的 IPSec 域隔离策略的最佳方式是什么?在我发现 AD 根本不安全之前,我对这项技术非常满意......
谢谢你的时间!