Сценарий. Сторонние администраторы хотят администрировать системы с помощью удаленного взаимодействия PS / прямого входа клиентов и серверов за шлюзами NAT.

Это системы SBS 2003 или W2K3. все они находятся за межсетевыми экранами NAT с различными подсетями RFC1918 и без виртуальных частных сетей (хотя решение, вероятно, потребует этого). Каждый сайт имеет свою собственную несвязанную настройку AD.

Сторонняя административная сеть (также за NAT) не имеет доверительных отношений с целевыми сайтами (очевидно, что у сайтов SBS есть эта проблема по умолчанию. Кажется, что у VPN есть проблемы, если на обеих сторонах используется один и тот же диапазон адресов подсети RFC1918.

Необходимым условием будет разрешение имени в VPN. совет

Есть ли какой-то подход «отражения» (аналогичный Ultra VNC, который будет сериализовать объекты PS и передавать их через NAT, не требуя перенастройки маршрутизатора? Или требуется ли перенаправление портов на SSH или подобное с прямым удаленным входом в систему? Может ли это быть выполнено или автоматизировано без использования мыши?

Какие подходы к удаленному взаимодействию .NET могут помочь решить эту проблему?

Серверное решение nsoftware Powershell, похоже, работает для SSH, но только в тех случаях, когда компьютеры имеют публичную адресацию, и на него также была скидка из-за схемы лицензирования для каждого процессора. есть ли ему другие аналогичные альтернативы?

0
Bob Blanchett 11 Мар 2009 в 02:56

2 ответа

Лучший ответ

Вероятно, вам лучше найти способ туннелирования к одной машине, а затем перейти оттуда к машинам, которые вы хотите администрировать. Вам нужно будет перенаправить порт на эту первую машину.

Специалисты по сетевой безопасности должны быть очень обеспокоены этой машиной; в противном случае они не знают своей работы.

Мой первый подход - использовать удаленное взаимодействие PowerShell V2 для обоих переходов.

0
Jay Bazuzi 11 Мар 2009 в 03:15

Я согласен с @ JayBazuz, я Powershell V2 (в настоящее время в CTP3) использует WinRM, который можно настроить для работы через HTTPS (действительно, любой порт, который вы выберете), таким образом работая через брандмауэры и NATS.

Джеймс

0
James Pogran 13 Мар 2009 в 22:59