Превью контента приватного доступа

Подключение к опубликованной базе через VPN с Android клиента

Задача: Наш уже можно так сказать внештатный программист, который обслуживает/разрабатывает функционал для склада по части 1С 8.3 Управление торговлей, редакция 11 (11.4.13.227) не так чтобы часто находится на складе с нашим экспертом по складской логистике, он все же удаленный сотрудник. Офис находится в Самаре и когда явно что-то нужно то его отправляют в командировку к нам и уже на месте идет работа. Но порой ему не нужно быть у нас так часто как, наверное, хотелось бы нашему руководству, программист — это такая единица, которой суждено быть на удаленке.

От программиста поступила задача, можно ли ему как-то сделать дабы он мог со своего личного АТОЛ SmartPro подключаться, как к тестовому серверу (где работают подрядчики переписывающие или настраивающее сопряжение 1С 7.7 и 1С 8.3) так и к боевому серверу в части приложения под Android к опубликованной информационной базе.

Сев и поразмышляв как этого можно добиться, первое что приходит — это сделать банальный проброс порта с адреса источника организации где работает программист, либо же сделать VPN доступ явно к указанным серверам:

Не открывается Launch remote console у виртуальной машины

Текущая система: Windows 10 Pro (Version 10.0.18363.657), запускаю браузер Google Chrome (версия браузера на момент написания заметки: 113.0.5672.127).

Открываю URL https://srv-esxi02 (у меня это ESXi v6.7.0 (Build 8169922) — авторизуюсь — перехожу в Virtual Machines — перехожу в любую виртуальную машину, затем нажимаю Console - Launch remote console и должно открыться окно с консолью виртуальной машины, но оно даже не запускается/не скачивается. А мне такой функционал нужен (т.е. до этого работало)

Ниже порядок решения:

Как опубликовать еще одну базу 1С не перезагружая IIS

Поступила задача, ну точнее в Telegram чате где общаются программисты 1С 8.3 проскользнула тема, что один из наших программистов 1С не может произвести связку 1С 8 с 1С 7 через URL. Путем вопросов что он конкретно хочет получить, а не просто присылается скриншот в чат, мол не могу подключиться, как тестировать и все в таком духе. Выяснил, что ему нужно также, как и для боевой базы произвести публикацию своей тестовой дабы его обработки можно было сперва оттестировать, а потом уже переносить на боевое вовремя после работы.

У меня все разнесено

srv-db04.polygon.local - Здесь "Консоль 1С" и опубликованы базы, + поднят IIS

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагается боевая база

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

srv-db03-test.polygon.local - Здесь у меня SQL Server 13.0.5026.0 где располагаются тестовые базы для разработчиков 1С 8.3

• OS: Windows Server 2016 Standard
• ISO: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso

Боевая база опубликована и в процессе как это делалось была составлена себе пошаговая заметка: "Опубликовать тестовую базу 1C через Web с использованием IIS"

Итак, первым делом обращаюсь к своей заметке, т.к. я помню, что это делал Я, никто другой не захотел вникать как это делается.

Все что нужно я вспомнил и приступаю.

Есть тестовая база: UT09052023 и ее нужно опубликовать и чтобы все кто работают с боевой базой даже не почувствовали что вносятся изменения.

При активации Windows 7 ошибка 0xC004F035

Задача: Разобраться почему не активируется Windows 7 Pro на ноутбуке Lenovo IdeaPad S210

Предыстория, раньше в отделе IT был ноутбук Lenovo IdeaPad S210 (Intel Pentium CPU 2117U @ 1.80 GHz (2cores), 4Gb RAM) который я использовал как мобильный помощник при настройке сетевого оборудования на месте, поиск информации если не рядом с рабочим местом, в общем все что делает настоящий системный администратор, находясь один где-либо. Ну да ладно. Только в ноутбуке был обычный жесткий диск (HDD) и его стало не хватать/умирал, решил заменить на SSD (Samsung SSD 870 EVO SATA 2.5 on 250Gb). Разобрал ноутбук, заменил диск. В качестве рабочей системы решил остановиться на Windows 7 Pro. В качестве установщика ОС на помощь пришел мой Zalman VE500 (Dual режим), а дистрибутив: SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

При активации KMS ключом столкнулся с ошибкой:

Активация Windows(R) 7, Professional edition (b92e9980-b9d5-4821-9c94-140f632f63

12) ...

Ошибка: 0xC004F035 Служба лицензирования программного обеспечения сообщила, что

на данном компьютере не удалось выполнить активацию с помощью ключа многократной

установки. При использовании корпоративных лицензий обновление можно выполнить

только из уполномоченной операционной системы. Обратитесь к системному администратору или воспользуйтесь ключом другого типа

Ниже шаги и утилиты для решения данной проблемы…

Удаленная помощь программистов без AnyDesk

Есть у нас в компании программист специализирующийся на разработке/сопряжении различных торговых площадок в рабочую базу под управлением 1С 7.7 (Folder + SQL). И порой ему для оперативного понимания что курирующий человек по торговым площадкам делает, объясняет, что нужно и как он себе это видит они оба в паре один на удаленке другой в офисе решают производственные запросы. А мне постоянно пишут, запусти пользователю AnyDesk, введи логин и пароль на повышение прав — это здорово отнимает время. Я решил (у руководителя IT-отдела получил одобрение), а почему бы не задействовать инструмент Aspia, т.е. программисту на офисную рабочую станцию устанавливаем Aspia Console, подключаемся к центральному узлу, на рабочую станцию сотрудника ставим Aspia Host и дальше программист уже взаимодействует, видя полный рабочий стол и более никаких административных прав не нужно.

Ниже порядок действия для решения производственных задач предоставления удаленного доступа.

Преднастройка резервного копирования Mikrotikов через PowerShell

Меняю систему с wrkst0100 на wrkst0101 и столкнулся что мой скрипт резервного копирования не работает. Разбираюсь что еще нужно учесть в заметке.

Дело вот в чем. У меня на работе полетел жесткий диск на моей офисной рабочей станции, и этим днем оказалось, что это пятница, раз в этот день не так много задач, обычно их нет, я решил по-быстрому заменить себе систему. Взял купленный компьютер, который мы покупаем в сборе:

• Motherboard: Asus H510M-R
• CPU: Intel ® Core ™ i5-10400 CPU @2.90GHz
• RAM: 8Gib
• SSD: 250Gb

установил на него систему Windows 10 Pro из дистрибутива SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

приступил к настройке под рабочее окружение и когда открыл свою заметку "Централизованное резервное копирования Mikrotik через PowerShell" столкнулся, что возможно что-то поменялось в использованном командлете в статье, что вот прям как там описано у меня заработало, но не полностью. А значит нужно дополнить заметку некоторыми нюансами:

Ручная активация Windows через KMS сервис на Ubuntu 22.04 Server

После того, как я разобрался как развернуть собственный KMS сервис на базе Ubuntu 22.04 Server (задействуется заметка "Поднимаем KMS сервер на Ubuntu 22.04") в локальной сети предприятия, на тестовых системах активация проходила и на 180 дней я избавлен от напоминания систему что мол меня еще не активировали. Я решил проработать, составляя batch файлы под каждую ось, которую использую: Windows 10 Pro, Server 2008 R2 Standard/Enterprise, Server 2012 R2, Server 2016, Server 2022 с учетом различных версий, чтобы все перевести на KMS, а не как местами сейчас с использованием KMS-активатора (что неправильно и часто слетает).

Ну что ж поехали:

Запрет приема почты из вне для системных почтовых ящиков

Поступила задача от Руководителя Web-проектов, ему для регистрации отправки писем от имени почтового ящика сторонним сервисом нужно подтверждение, что данный адрес принадлежит компании. Но вот что интересно, он указывает адрес noreply@ekzorchik.ru, но письма на него не приходят (из вне). Смотрим что не так и что возможно было когда-то сделано. Я поднял свои записи, т.к. обычно только я занимаюсь администрирование инфраструктуры, ничего такого сверхъестественного не делалось с данным почтовым ящиком.

Система предварительной проверки поступающих писем на базе ORF Administration Tool показывает что адресат который отправляет письма на адрес noreply@ekzorchik.ru находится в доверенном списки и списке белых адресов, но письма по прежнему нет в ящике.

Прямо чудеса.

Прорабатываем обновление Exchange 2010 до последнего

Задача: Установить самые последние обновления для Exchange 2010 при которых Exchange 2010 будет работать. Дело в том, что у меня сейчас версия почтового сервера Version: 14.03.0248.002, данную версию я использую на работе и как ее добиться у меня подробно описано в заметке. Мне стало интересно, а могу ли я поставить самую последнюю посредством обновления: Exchange2010-KB5000978

Итак, приступаю к проработке действий по обновлению, но делаю это в тестовой конфигурации, ни в коем случае не на боевую, пока во всяком случае.

Как сформированный документ в 1С 7.7 конвертнуть в PDF

Задача: Как в системе Windows 10 Pro настроить печать в PDF при использовании 1C 7.7, т.е. когда пользователь нажимает "Печать" выводится окно, как выглядит документ с учетом всех полей, далее предлагается окно где сохранить документ и вуаля вот он.

У меня по умолчанию всем пользователям в домене устанавливается Adobe Reader DC, клиент 1С 7.7 через GPO, но данное программное обеспечение это всего лишь обеспечивает просмотр документов, чтобы получить на выходе отправку документа в PDF ниже по шагам в данной заметке.

Исходная система:

• OS: Windows 10 Pro ([Version 10.0.18363.657])
• ISO: SW_DVD9_Win_Pro_10_1909.2_64BIT_Russian_Pro_Ent_EDU_N_MLF_X22-26638.ISO

Нюансы установки Aspia Host на Windows 7

При очередной помощи офисным сотрудникам столкнулся с нюансами где у пользователей все еще на домашнем ПК или ноутбуке установлена Windows 7, к примеру, в рамках данной заметке рассмотрю систему из образа SW_DVD5_Win_Pro_7w_SP1_64BIT_Russian_-2_MLF_X17-59431.iso

Ранее я сделал для себя переносную установку Aspia Host «Переносная установка Aspia host на Windows систему» нацеленную на свой собственный Aspia Relay + Aspia Router, установка получилась в виде запакованного 7zip (aspia.exe) архив который я положил на внешний доменный ресурс и когда мне звонят чтобы я помог им удаленно я пишу им,

Скачайте и установите http://<domain>.ru/aspia.exe, после в трее рядом с часами у Вас будет иконка, нажав на которую откроется окно где Вам нужно сообщить мне цифры

А вот у пользователей на Windows 7 Максимальная установка не проходила, выход из ситуации следующий:

Не удается проверить удостоверение шлюза удаленных рабочих столов

У нас менеджеры затеяли очередную обновочку, нам IT-отделу за два дня сказали, что на выходных нужно убрать/перенести все рабочие места обоих кабинетов куда-либо, т.к. на выходных будут менять всю офисную мебель: Столы, Стулья, Шкафы. Наш начальник IT-отдела пришел и поведал нам такую новость, вот только сказав, что помочь не может его не будет на выходных в городе, прикольно что скажешь.

Что сделал я:

• Настроил два Mikrotik CRS326-24G-2S+ (VLAN)
• Подключил их к ядру
• Проверил, что удаленка на базе Remote Desktop Gateway у всех менеджеров есть, о том, как настраивается Remote Desktop Gateway см. в заметке "Доступ к RDP через авторизацию RADIUS"

Ну да ладно, до выходных все демонтировали, в воскресенье все поставили обратно, договорились что все сотрудники, у которых есть техническая возможность будут на удаленке и тут началось.

Самое смешно оказалось, что удаленка каким-то образом у всех оказалась не настроена, переустановили компьютер, приобрели новый и все в таком духе.

На многих обнаружилось, что установленная ось — это Windows 7 Pro и при создании подключения:

Устраняем ошибку CredSSP при подключении к Server 2012 R2

Хочу разобрать, почему, когда развернута система Windows Server 2012 R2 Std из образа "SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.iso", настроена, создана еще одна административная учетная запись и при подключении по RDP (с включенной настройкой NLA) к этой системе у пользователя к примеру, на Windows 10, Server 2012 R2, Server 2016 и т.д. получается ошибка вида:

Подключение к удаленному рабочему столу (Remote Desktop Connection)

Произошла ошибка при проверке подлинности. (An authentication error has occurred.)

Указанная функция не поддерживается. (The function requested is not supported)

Удаленный компьютер: 172.33.33.117 (Remote computer: 172.33.33.117)

Причиной ошибки может быть защита от атак с использование криптографического оракула CredSSD. (This could be due to CredSSP encryption oracle remediation.)

Это значит, что у меня образ очень старый и на нем по всей видимости не хватает каких-либо обновлений, наверное, или чего-либо еще.

Взаимодействие с регистратором Dahua с Windows Server 2016

Т.к. я реализую удаленное взаимодействие с Windows системами дома через схему: SSH-туннель до vpn.ekzorchik.ru, а уже там через OpenVPN идет связь с домашним Mikrotik RB2011UiAS-2Hnd-IN, то мне порой нужно иметь Web-доступ к своему домашнем регистратору. В качестве домашней Windows системы выступает Windows Server 2016 Std которая развернута внутри боевого сервера под управлением: ((Supermicro SYS-5019S-M: Debian 10 + Proxmox 7 (установка выполнена из iso-образа), ZFS разделы, 64Gb оперативной памяти (2 модуля 378A4G43MB1-CTD)).

Мой порядок подключения к srv-home (OS: Windows Server 2016 Std) и настройки на ней подключения к домашнему регистратору Dahua DHI-NVR2108HS-8P-4KS2

Автоматически запускаемые приложения на Windows Server 2012 R2

Задача: Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard

Как отключить автоматически запускаемые приложения на Windows Server 2012 R2 Standard (образ: SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO), таким вопросом я как-то задался, когда из бекапа восстановил систему и обнаружил, что в трее возле часов запущены некоторые программы, к примеру, Torrent Client. Просто у меня данная система используется, когда я с работы подключаюсь к домашней инфраструктуре. Как же отключить или узнать какие программы еще есть в "Автозагрузке".

Если на Windows 7/10 Pro можно просто вызвать "Диспетчер задач", то там была вкладка «Автозагрузка» и можно было видеть приложения и через правый клик выбрать (если Авторизован как Администратор или пользователь) "Отключить."

То на Windows Server 2012 R2 Std при вызове Win + R -> taskmgr.exe — просто нет вкладки Autoruns, есть только: Processes, Performance, Users, Details, Services.

Не сохраняет пароль на доступ к тестовому серверу

Теперь, когда тестовый стенд (srv-ts00-abc = 192.168.11.14) уже во всю используется помимо подрядчиков, но и офисными сотрудниками для проверки переброски из 1С 8.3 (Управление торговлей) в 1С 7.7 и наоборот, от нашего руководителя данным проектом стала поступать задача подключения

• офисных сотрудников к тестовому стенду
• Прописать им базы 1С 7.7 и 1С 8.3
• Создать учетные записи в необходимых базах

Напомню самому себе, что под тестовый стенд я создал на центральном маршрутизаторе отдельный VLAN 11, сделал заметку на этот счет себе:

• Сеть для подрядчиков посредством Mikrotik

В данной сети создал VM для SQL Server (Version: 13.0.5026.0) и VM для терминального сервера (srv-ts00-abc) и все это на базе Windows Server 2016 Std (SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.iso)

Ниже мой порядок предоставление доступа офисным сотрудникам к тестовому стенду:

Установка Veeam Backup and Replication Enterprise Plus on Server 2016 Standard

Хочу себе сделать пошаговую заметку по установке Veeam Backup & Replication Enterprise Plus 11.0.1.1261_20211005(712mbddr@).7z, cперва на виртуальную машину, а после как разберу все возникающие нюансы, вынесу ее на отдельную физическую систему не связанную с сетью компании, по аналогии, как сейчас работает система на Windows Server 2008 R2 Ent которая расположена в отдельном сегменте где собираются все бекапы сервисов: базы данных, бекапы сайтов, бекап сетевого оборудования и т.д.

Настройка Syncthing, как сервис в Windows

Сегодня я сделаю себе заметку целью которой будет организовать работу приложения Syncthing на Windows 10 Pro ([Version 10.0.19045.2728]), но не посредством ручного запуска exe файла, а чтобы сама операционная система, как сервис запускала приложение и обеспечивала меня функционалом обмена файлами с узлами или централизованным обеспечением содержимого с подконтрольными системами. Т.е главная система Ubuntu 22.04 Server с сервисом Syncthing (Доверительный обмен файлами через syncthing) только передает, а текущая система Windows 10 Pro только получает.

Как создать пользователя в 1С 7.7

Сейчас мне нужно понять, каким образом наш руководитель IT—отдела (по совместительству программист 1С) создает пользователей в 1С 7.7, т.к. на мой вопрос: «Вы создадите учетные записи для подрядчиков или Я», ответил, что Я. Но я этого никогда не делал, на вопрос: «А какие права», «да, ставь полные, ведь с генеральным директором все согласовано». Ну раз так, то приступаю, но как всегда все обкатываю на тестовой базе (беру бекап от 10.03.2023 на 15 часов дня) развернутой на сервере srv-db02-test (где не используется функционал "Гибкие блокировки").

• Hostname: srv-db02-test
• Folder: D:\DB\Base20231500_10032023
• Path: \\srv-db02-test\db$\Base20231500_10032023
• SQL: WorkBase20231500_10032023

Дополнение как сбросить grace period TS Windows Server 2016

Задача: Столкнулся что у меня на тестовом сервере для подрядчиков (пилят переход 1С 7.7 на 1С 8 или работу в паре) настал момент, когда Grace Period использования роли терминального сервера начал подходить к концу, оставалось около 9 дней бесплатного использования (из 120 дней полнофункционального использования).

• ISO образ из которого установлена система: SW_DVD9_Win_Server_STD_CORE_2016_64Bit_English_-4_DC_STD_MLF_X21-70526.ISO
• OS: Windows Server 2016 Std (Microsoft Windows [Version 10.0.14393])

Как всегда, сперва просили терминальный сервер для подрядчиков, а уже сейчас это сложная система с различными доступами в боевую сеть, хранилище конфигурации, доступы мобильных клиентов для отладки, но только я знаю, как оно устроено и что от чего зависит.

Для решения своей задачи я обратился к своего блогу: https://win.ekzorchik.ru где есть заметка "Как сбросить grace period TS Windows Server 2016"

но вот попытавшись на текущем месте работы проделать все по ней столкнулся:

Windows SSH Permissions for private key are too open

Хочу разобрать, а почему с Windows 10 Pro не могу подключиться к хосту Ubuntu 20.04 Server через встроенный консольный клиент ssh где вместо пароля использую ключ private key, а вот когда я использовал клиент putty то все успешно. Т.е. данная заметка альтернатива использованию "Доступ через SSH туннель с Windows в офис"

Текущая Windows 10 Pro система:

Доступ через SSH туннель с Windows в офис

Задача: Разобрать как на Windows системе безопасно подключаться извне к ресурсам компании, где в качестве точки подключения выступает "Внешняя система" с доступом только по SSH. Настроено правило на брандмауэре компании, что попасть на ресурсы компании можно только с "Внешней системы" с защитой по источнику.

Схема работы удаленного подключения будет такой:

• Пользователь (Windows) -> Внешняя система в интернете - шлюз до работы - Инфраструктура работы
• На Шлюзе компании правило проброс порта, что с внешней системы подключение по RDP на рабочую станцию сотрудника или терминальный сервер

Выглядит эта схема, так:

Доступ из вне через L2TP при использовании RADIUS

Один из моих читателей моего блога обратился ко мне с просьбой помочь ему настроить возможность подключение к Mikrotik(у) задейстовав VPN подключение, но чтобы не для каждого создавать связку логин и пароль, а аутентификация велась бы через RADIUS+Active Directory (система Windows Server 2012 R2 Standard). Раз я делал и практически внедрял для управления микротиками RADIUS, то я согласился помочь на безвоздмезной основе, да и задача интересная. Результат я предоставил тому человеку на следующий день и после благодаря моим подсказкам и наводкам где у него не получалось у него все заработало. Рад был помочь, плюс для себя подчерпнул что-то новое.

Дополнение к переносу базы без функционала Гибкие блокировки

Предыстория, если, ранее опираясь на составленную пошаговую заметку я проделывал операции по создании копии боевой базы 1С 7.7 (Folder + SQL) для нужд программистов с целью проверки той или иной задумки, то вот сегодня как я думал обычной задачи я столкнулся, что нет прав на изменение констант:

Просто не подключается клиент 1С 7.7 к базе

Тут такое дело. В компанию снова взяли программиста 1С, ну посмотрим на долго ли он и не сбежит ли, может все что в компании для него станет в тягость и не сможет вытянуть нагрузку.

Клиент 1С 7.7 (7.70.025) установлен через GPO и подключения к базам также через GPO. Но пока программист 1С входит в курс дела ему нужны тестовые базы: "Перенос базы без функционала Гибкие блокировки на другой сервер"

Подключил я значит ему тестовую базу

Программист 1С с рабочего стола запускает ярлык 1С 7.7, выбирает подключение к базе "Добавить"

• В режиме: 1С:Предприятие
• Название: test
• Путь: \\srv-db02-test\db$\Base20221200_26092022\

нажимаем ОК, ОК и у него клиент даже не запускается, ошибок на рабочей станции нет, на сервере также нет.

Я же под собой нормально подключаюсь

Принудительный доступ через IE к регистратору LTV RNE-322 02

Получилось так, позвонил начальник СБ и попросил помочь охраннику на удаленной площадке, у него почему-то перестали в браузере отображаться камеры с регистратора. Позвонил ему на мобильный и он показал, что при запуске браузер Internet Explorer (Windows 10 Pro), открытии URL ссылки на доступ к регистратору LTV RNE-322 02 он получает ошибку:

Аудит изменения состава группы Domain Admins

В рамках общей безопасности решил разобрать, как получать уведомления на почту если кто-либо каким-либо образом повысив свои права в домене добавляет другую учетную запись в группу Domain Admins или же удаляет учетную запись.

По аналогии можно сделать и для других доменных групп.

Что понадобится, для осуществления данной задачи:

• Домен (polygon.com) контроллер на базе Windows Server 2012 R2 Std (можно и выше)
• Почтовый сервер в компании, у меня пока Exchange 2010 (14.03.0248.002)
• Заметка: "Настройка исходящей почты в 1C через Exchange 2010"

На заметку: В основе данной заметки лежит заметка "Уведомление о блокировке учетной записи на почту". Вот так имея одну наработку все последующее настраивается на предыдущее, очень удобно.

Работа 1С 7.7 c FTP на внешней системе

У меня очень жесткая политика по части предоставления доступа, права только те что нужно и ни какого полный доступ. Лучше посидеть поразбирать, как что настроить чем сделать все лишь бы как. На этот раз я принялся переделывать правила на нашем шлюзе "Как обновить свежеустановленный TMG 2010", где TMG (Version 7.0.9193.575).

Но в процессе столкнулся что те кто работает с программой 1С 7.7 с обработками взаимодействующими с FTP перестали работать.

Узнаем кто в 1С 7.7 подключен в монопольном режиме

Сегодня я узнал чуть более чем вчера (как объяснить пользователю почему при подключении к базе в 1С 7.7 он получает ошибку:

«Ошибка блокировки данных.

Возможно, данные используются другой задачей.»

Начну с предыстории, у нас в конце ноября образовались подрядчики, которые часть функционала из 1С 7.7 переносят в 1С 8.3 (Управление торговлей). Для них я развернул отдельный VLAN, сеть 192.168.12.0/24. Памятка "Сеть для подрядчиков посредством Mikrotik" как я это реализовал есть на моем ресурсе. Внутри ESXi 7.0 развернул две виртуальный машины:

На заметку: обе системы не в домене, доступ к машине с ролью терминального сервера идет только с явно прописанных адресов и через "Подключение к удаленному рабочему столу" это в рамках локальной сети, а извне также, но не с дефолтным портом (3389/tcp) и с предопределенных адресов подрядчиков.