Андрей, сомневаюсь, что ваш фильтрационный датацентр сможет защитить конкретно вас от подключения к вашему RDP на нестандартном порту какого-нибудь скрипт-кидди с петей в арсенале.
По мне, нужны и группы и ACL в таком решении, как на каталоги в виндах. Лапша никуда не денется, к сожалению, но с помощью групп её можно будет довольно сильно (если правильно создать группы) укоротить.
Вариант неплох, но если это сервера, а не рабочие станции, ТС похоже именно "организовывает удаленную работу" самым дешевым методом. Плюс "разные учетки на разных компах" это отсутствие домена, а RDG без домена не живет.
Роман Безруков, тогда проверяйте синхронизацию времени и логи на exchange server, заодно проверьте, не поимело ли вас во время недавней атаки по эксченджам по всему миру. Неровен час у вас остался бэкдор и вас так нагибают.
Проверьте, включен ли режим кэширования Exchange, если да, проверьте, заведется ли оутлук при отключенном кэшировании (т.е. в режиме подключения к серверу). Кстати, на сервере терминалов не рекомендуют настраивать кэширование вообще.
My_Second_Nickname, так, а если какой-то из серверов не соединился по VPN? И ещё, клиентом VPN будет выступать сам sql-сервер? Если да, там проще, реально настроить авторизацию по сертификатам/пользователям и каждому выдать один IP-адрес, но нужно, чтобы SQL на VPN-клиентах слушал 0.0.0.0, иначе на VPNский адрес не получится соединиться, чтобы забрать данные. Если нет, будет задница.
hint000 я так понимаю, что есть несколько разных подсетей, куда идет коннект по OpenVPN, а вот сервера в тех локалках могут иметь совпадающие частные адреса типа 192.168.1.2 или чего-то в этом роде, и становится непонятно, в какой tun-интерфейс отправлять пакет до такого айпи. При этом наехать и переделать адресацию ни в одной из этих сетей нельзя.
А это называется roaming profile, плюс не на всех ПК в домене обязательно стоит одинаковое ПО - часть ярлыков обязательно поломается. Roaming profile нужно отдельно настраивать.
