bash.im ithappens.me zadolba.li
6044

Быстрее, больше, синее

Работаю в системном интеграторе. Среди клиентов есть у нас одна довольно серьёзная контора с пачкой серверов на Windows Server 2008 R2 — контроллер домена, файл-сервер, шлюз, где крутится Forefront TMG (он же ISA)… Недавно ещё сервер видеонаблюдения поставили. В инет смотрит, как и положено, шлюз, однако Forefront перенаправляет все запросы извне на файл-сервер. Кроме того, на нём проброшены несколько портов к другим компам.

Захотел исполнительный директор заиметь удаленный доступ по RDP к серверу наблюдения. Не вопрос — лезем удалённо на шлюз, создаём правило: порт такой-то отсылает на комп с IP таким-то. Тестим — всё отлично. Сообщаем директору. Просит доступ ещё и на файл-сервер. Так как правило для дефолтного порта есть, говорю ему: адрес тот же, но без порта. На всякий случай, чтоб убедиться, сам подключаюсь к этому адресу по RDP и наблюдаю контроллер домена. При том, что он вообще извне не должен быть доступен.

Мы с коллегой, тихо охреневая, опять лезем на шлюз, перетряхиваем весь Forefront — нигде контроллер домена не фигурирует. Вырубаем новосозданное правило, коннект — всё равно контроллер. В отчаянии я переписываю правило дефолтного порта и направляю его на IP контроллера домена. Коннект — ожидаемо вылезает контроллер. Возвращаю правило обратно на файл-сервер, подключаюсь… и вижу перед собой окно ошибки RDP: «Ваш сеанс прерван другим пользователем». Секунд через десять до меня доходит, что окно — на английском и без Aero.

Оказывается, на файл-сервере всё это время было запущено на полный экран RDP-подключение к контроллеру домена. На моём же компе стояла Windows 7, и её проклятая синяя панелька удалённого подключения напрочь перекрывала такую же на файл-сервере.