Интернет на терминальном сервере
Модератор: Модераторы
Сообщений: 14
• Страница 1 из 2 • 1, 2
- Николай Соловьев
- Новый участник
- Сообщения: 27
- Зарегистрирован: 19 мар 2004, 16:28
- Откуда: Украина, Киев
Николай Соловьев » 19 мар 2004, 17:05
Всем привет.
Столкнулся со следующей проблемой.
Стоит Win2003Server в режиме TerminalServer который маршрутизирует три сети.
Также установлен домен. Имееются как пользователи домена, так и пользователи RDC. Необходимо зоблокировать доступ в интернет пользователям терминального сервера, при этом сохранить доступ в интернет ползователям домена.
Проблема в том, что терминальный пользователь имеет доступ в интернет прямо из проводника, даже не запуская iexplorer.exe, хотя запуск iexplorer.exe запрещен политикой безопасности.
Как можно решить эту проблему?
Столкнулся со следующей проблемой.
Стоит Win2003Server в режиме TerminalServer который маршрутизирует три сети.
Также установлен домен. Имееются как пользователи домена, так и пользователи RDC. Необходимо зоблокировать доступ в интернет пользователям терминального сервера, при этом сохранить доступ в интернет ползователям домена.
Проблема в том, что терминальный пользователь имеет доступ в интернет прямо из проводника, даже не запуская iexplorer.exe, хотя запуск iexplorer.exe запрещен политикой безопасности.
Как можно решить эту проблему?
Harry33 » 19 мар 2004, 18:53
Как организован доступ к интернету?
Знания, которые нельзя применить - бесполезны
- Николай Соловьев
- Новый участник
- Сообщения: 27
- Зарегистрирован: 19 мар 2004, 16:28
- Откуда: Украина, Киев
Николай Соловьев » 19 мар 2004, 19:47
На сервере три сетевых карты.
192.168.1.254 - сеть в которой работают пользователи RDC и домена, 100Мб до свитча Dlink и от свитча до остальных машин по 10Мб витой пары(сетевые карты комбо).
192.168.0.1 - пользователи домена, 10Мб, коаксиал.
10.0.30.1 - сетка с выходом в интернет, 100Мб.
Включена маршрутизация.
IP адреса машин терминальных пользователей фильруются маршрутизатором и в не терминальном режиме доступ к интернету у них закрыт.
192.168.1.254 - сеть в которой работают пользователи RDC и домена, 100Мб до свитча Dlink и от свитча до остальных машин по 10Мб витой пары(сетевые карты комбо).
192.168.0.1 - пользователи домена, 10Мб, коаксиал.
10.0.30.1 - сетка с выходом в интернет, 100Мб.
Включена маршрутизация.
IP адреса машин терминальных пользователей фильруются маршрутизатором и в не терминальном режиме доступ к интернету у них закрыт.
winston » 05 апр 2004, 16:55
Пользователи которые нахолдятся в терминальном режиме ходят в инет с IP терминального сервера, а если у него 3 сетевых интерфейса, он с любого может поподать в инет. Запрети Терминалу ходить в инет, и тогда его пользователи не смогут в него лазать. А вобще выделил бы для инета отдельную старенькую машину аля 486 и поставил на неё юникс или фрибсд. И все бы проблеммы сразу-же отпали.
- Николай Соловьев
- Новый участник
- Сообщения: 27
- Зарегистрирован: 19 мар 2004, 16:28
- Откуда: Украина, Киев
Николай Соловьев » 05 апр 2004, 17:33
Winston -у:
А как запретить Терминалу ходить в инет?
Пробовал запрещать использование протоколов маршрутизации для этого OU - тоже ни фига не работает (такое впечатление, что винда ложила на все запреты, что касается запуска ее служб).
Единственно, что у меня получилось, так это навязать модемное подключение пользователям терминалки и тем самим заблокировать им инет(т.к. модема на серваке нет).
Другие методы не получаются (имеетс ввиду без установки внешних программ). Хотя пробовал блокировать Winrouter 5.0 &FireWall - тоже красиво не получилось. Может не разобрался до конца, не знаю.
"А вобще выделил бы для инета отдельную старенькую машину аля 486 и поставил на неё юникс или фрибсд" - этот вариант не проходит, т.к. я работаю в институте, где во первых с техникой напряг (даже с такой), да и в юниксе и фрибсд разбиратся еще надо. - Это вариант еще хуже.
А как запретить Терминалу ходить в инет?
Пробовал запрещать использование протоколов маршрутизации для этого OU - тоже ни фига не работает (такое впечатление, что винда ложила на все запреты, что касается запуска ее служб).
Единственно, что у меня получилось, так это навязать модемное подключение пользователям терминалки и тем самим заблокировать им инет(т.к. модема на серваке нет).
Другие методы не получаются (имеетс ввиду без установки внешних программ). Хотя пробовал блокировать Winrouter 5.0 &FireWall - тоже красиво не получилось. Может не разобрался до конца, не знаю.
"А вобще выделил бы для инета отдельную старенькую машину аля 486 и поставил на неё юникс или фрибсд" - этот вариант не проходит, т.к. я работаю в институте, где во первых с техникой напряг (даже с такой), да и в юниксе и фрибсд разбиратся еще надо. - Это вариант еще хуже.
winston » 06 апр 2004, 08:42
Попробуй убрать адрес шлюза из сетевых интерфейсов и посмотри что получится.
winston » 06 апр 2004, 08:52
Если у тебя терминальный сервер имеет три севых карты, то клиент терминала имеет доступ ковсем из них, попробй запретить всем IP которые принадлежат терминалу ходить во внешнюю сеть, хотя результата может не дать а может что и получится. У тебя уж через чур - 3 в одном.
Если у тебя стоит какойнить софт который занимается маршрутизацией этот вариант может и подойдет.
Если у тебя стоит какойнить софт который занимается маршрутизацией этот вариант может и подойдет.
- Николай Соловьев
- Новый участник
- Сообщения: 27
- Зарегистрирован: 19 мар 2004, 16:28
- Откуда: Украина, Киев
Николай Соловьев » 07 апр 2004, 11:59
Если убрать адрес шлюза из сетевых интерфейсов, то RemoteDesktopConnection вообще не хочет подключаться, пишет что проблема с сетью.
Насчет 3 в одном, то это мы понимаем, но иначе ничего не поделаешь. Надо как то работать при ограниченных ресурсах и возможностях. Мы просто без терминалки уже запарились администрировать компьютерный класс, где работают студенты. Это просто ужас!!!
Когда игрался винроутером, то выснил другую фигню: когда пользователь набрал интернет-адрес (URL -ку, любую) и нажал Enter, то запросы к серверу идут по протоколу RDP(remote desktop protocol, port 3389) от ip -адреса конкретной машины через соответствующий шлюз(интерфейс), но запросы на интернет идут уже от сетевой карты 10.0.30.1 (именно на ней висит интернет). Поэтому никакая фильтрация пакетов по ip - адресам не помогает. Т.е срабатывает маршрутизация, вот если бы ее вырубить, но избирательно, то все бы получилось.
Но вырубить ее избирательно че то не выходит.
Мне советовали еще поставить ISA 2000 Server или Internet Explorer Enhanced Security Configuration и еще что-то. Все пробовал, ниче не получилось.
- ISA под Win2003Server в упор не хочет ставится, хотя на сайте microsoft написано, что все должно работать.
- Internet Explorer Enhanced Security Configuration - стоит, но доступ к инету не блокирует, даже при условии что вычищаю все из Trusted Sites и ставлю запрет пользователям на имзенение настроек безопасности эксплорера.
Насчет 3 в одном, то это мы понимаем, но иначе ничего не поделаешь. Надо как то работать при ограниченных ресурсах и возможностях. Мы просто без терминалки уже запарились администрировать компьютерный класс, где работают студенты. Это просто ужас!!!
Когда игрался винроутером, то выснил другую фигню: когда пользователь набрал интернет-адрес (URL -ку, любую) и нажал Enter, то запросы к серверу идут по протоколу RDP(remote desktop protocol, port 3389) от ip -адреса конкретной машины через соответствующий шлюз(интерфейс), но запросы на интернет идут уже от сетевой карты 10.0.30.1 (именно на ней висит интернет). Поэтому никакая фильтрация пакетов по ip - адресам не помогает. Т.е срабатывает маршрутизация, вот если бы ее вырубить, но избирательно, то все бы получилось.
Но вырубить ее избирательно че то не выходит.
Мне советовали еще поставить ISA 2000 Server или Internet Explorer Enhanced Security Configuration и еще что-то. Все пробовал, ниче не получилось.
- ISA под Win2003Server в упор не хочет ставится, хотя на сайте microsoft написано, что все должно работать.
- Internet Explorer Enhanced Security Configuration - стоит, но доступ к инету не блокирует, даже при условии что вычищаю все из Trusted Sites и ставлю запрет пользователям на имзенение настроек безопасности эксплорера.
domovoy » 07 апр 2004, 12:56
Николай Соловьев
| Цитата |
| - ISA под Win2003Server в упор не хочет ставится, хотя на сайте microsoft написано, что все должно работать.
[/quote] Ну почему же не хочет смотри статью Установка MS ISA Server 2000 на Windows 2003 Server Тем более уже есть в доступе бета ISA 2004 можно ее попробывать. Правильно заданный вопрос - это уже половина ответа.
Сообщений: 14
• Страница 1 из 2 • 1, 2
Вернуться в Терминальные серверы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3 |