web-dev-qa-db-ja.com

Hyper-V + RRAS NAT +ポートフォワーディング+ RDP、すべてを連携させることはできますか?

さまざまなサービスがネイティブで実行されているWindows2008 R2サーバーと、Hyper-Vで実行されている2つの仮想化サーバーを実行しています。

ハードウェアサーバー(これをREAL1と呼びます)には1つの外部NICがあり、1.2.3.4、1.2.3.5、1.2.3.6などのIPアドレスのいずれかを割り当てることができます。

次のことを達成する必要があります。1つのIPアドレス(たとえば1.2.3.4)でリモートデスクトップ(RDP /ポート3389)を介してREAL1に接続できるようにしたいだけでなく、仮想化サーバーにも接続できるようにしたい(それらは、他の使用可能なIPアドレス(たとえば1.2.3.5および1.2.3.6)のVIRTUAL1およびVIRTUAL2)です。

これを行う最も簡単な方法は、仮想サーバーを外部インターフェイスに直接接続し、それぞれに独自のIPアドレスを割り当てることです。 REAL1には1.2.3.4、VIRTUAL1には1.2.3.5、VIRTUAL2には1.2.3.6があります。残念ながら、私は2つの仮想サーバーを直接管理していませんが、それらのセキュリティには責任があります。仮想サーバーとインターネットの間に何らかのファイアウォールを設置したいと思います。

仮想マシンファイアウォールを実行しようとしましたが、Hyper-Vでのパフォーマンスがかなりひどいことがわかりました。

私が今試している代替手段は、ルーティングとリモートアクセス(RRAS)です。

  • 「内部」と呼ばれる仮想ネットワークをセットアップしましたが、REAL1にはこの仮想ネットワークに接続された仮想ネットワークアダプターがあります
  • 各仮想サーバーもこのネットワークに接続しました
  • この仮想ネットワーク上の各サーバーに静的IPアドレスを割り当てました(REAL1には10.1.1.1、VIRTUAL1には10.1.1.2、VIRTUAL2には10.1.1.3があります)
  • RRASをインストールし、NATを設定しました。外部インターフェイスは外部NICであり、内部インターフェイスは仮想NIC内部ネットワークに接続されています
  • 使用可能なすべての外部IPアドレスをREAL1の外部NICに割り当てました。
  • 仮想サーバーは、デフォルトゲートウェイが10.1.1.1を指し、両方が外部からアクセスできるように適切に設定されています。成功! RRASはパケットをルーティングしています。

私が抱えている問題は、REAL1の外部IPアドレスからサービスをポート転送しようとすると、ポートにバインドされたサービスがまだない場合にのみ機能することです。リモートデスクトップの「貪欲」は、REAL1のポート3389で使用可能なすべてのIPアドレスにバインドするため、1.2.3.5:3389の着信トラフィックを10.1.1.2:3389に選択的に転送することはできません。 RRASを使用すると、このポートフォワーディングを設定でき、エラーは発生しません。それはうまくいきません。

だから私が持っている質問は:

これを行うためのより良い方法はありますか?または少なくとも、RRASと物理サーバー上の他のすべてとの間の明らかな競合を解決する方法はありますか?

2
Tom Bull

Hyper-Vサーバーでハイエンドのビデオアダプターを実行していますか?この構成には問題があり、Hyper-Vサーバーで基本的なsvgaドライバーを使用することをお勧めします。

Hyper-Vのハイエンドビデオパフォーマンスの問題を理解する

RDPの問題を解決するための可能なオプションは、ターミナルサービスゲートウェイをHyper-Vサーバーに追加することです。そうすれば、Hyper-Vサーバーを介してVMに接続できます。私 記事を書いた Windows 2008 Serverのこの機能の概要を説明し、毎日それを使用してラボサーバー上のVMにアクセスします。

TSGを有効にしたら、SSTPでRRASを追加して、Hyper-Vサーバー全体のホームネットワークにVPN接続のオプションを追加することでTSGを拡張できます。

1
Dscoduc

仮想マシンファイアウォールを実行しようとしましたが、Hyper-Vでのパフォーマンスがかなりひどいことがわかりました。

は? Hyper-V(2つのRRAS、1つのTMG)で複数のRRAS /ファイアウォールシステムを実行していますが、99%のパフォーマンスは本当に問題ありません。

RRASをファイアウォールとして使用しても問題がない場合は、RRASを外部から訴えます。

2番目のNIC on REAL1-非ハードウェアのもの(Microsoftドライバー-調べてください-ループバックアダプターと呼ばれていると思います))を入れてから、その周りに仮想ネットワークを置きます。RRAS次に、着信TCPなどの接続をそこで転送できます。

私は個人的には物理サーバー上でHyper-V以外は実行しません;)インターネットに公開されている場合は間違いなく高レベルの機能ではありません;)

1
TomTom

パフォーマンスがそれほど悪くなる可能性があるかどうかはわかりません。ファイアウォール/リモートアクセス/サービスパブリッシングを備えた3番目の仮想サーバーを使用し、物理ホストからそのようなものを排除します。

明らかに最良の方法は、2番目のNICをマシンに挿入し、そのようなものが存在する場合はそれを内部ネットワーク専用にすることです。

そのような内部ネットワークが存在しない場合は、 [〜#〜] tmg [〜#〜] のようなものがインストールされた3番目の仮想サーバーを使用し、それに外部IPを割り当てて、プライベートネットワークを作成します。純粋に仮想であり、物理ホスト、2つの仮想サーバー、および内部のTMGのみを相互に接続する内部。 NATおよびTMG上のいくつかの外部IPアドレスを使用して、他のサーバーを公開します。これにより、仮想サーバーだけでなく物理ホストも部分的にシールドされます。

1
Oskar Duveborn