» Terminal Server доступ из внешней сети

Здравствуйте.
Появилась такая задача.
Есть terminal server Win2003. На нем установленны две сетевые карты. Одна смотрит в LAN другая во внешную сеть через прокси. Можно ли организовать подключение к Terminal Server'у из внешней сети, что бы пользователь заходил в сессию на терминальном сервере, логинился в домене и работал в сети?

mstsc и вбивай ип карті что смотрит во внешнюю сеть
если прокси, смотри какие порты открыты

Цитата:

Terminal Server

Microsoft's Terminal Server is a special version of WinNT Server that allows remote GUI access. It is essentially Microsoft's version of X Windows, but since the Win32 API isn't geared toward remote viewing, its bandwith requirements are higher. Clients are available for WinCE devices allow NC-style access.

3389     RDP client
1494     Citrix (ICA) client
636     Secure LDAP over SSL
1503     T.120 teleconferencing protocol
1720     H.323 call setup
1731     Audio call control
    Dynamically assigned ports for call control and RTP transport of the data.

Нужно ли настривать на терминальном сервере. что бы пакеты с одного сетевого интерфейса переходили на другой. Или же это будет происходить автоматом

Если тебе нужно чтобы пользователь работал в сети - нет, единственное что нужно это веншний "белый" IP. Он же статический IP, либо запись в DNS провайдера.

iartem

Цитата:

mstsc и вбивай ип карті что смотрит во внешнюю сеть
если прокси, смотри какие порты открыты

Подними NAT (+ открой порты для клиента в файре) и будет тебе счастье.

Ну если честно то терминал в инет выставлять не рекомендуеться
Мне кажеться лучше всего поднять vpn сервер...и после установки соеденения пускать на терминал...
хотя если у клиента белый ip то в фаере открыть доступ на этот адрес порт 3389...а в настройках rdp чтобы слушал все интерфейсы

ps а если нужно чтобы он конектился к терминалу внутри сети....то поднимать nat и делать публикацию портов

Спасибо за ответы.
Т.е. в вариант с VPN будет безопаснее чем в вариант с Terminal Server?
А позволяет ли VPN работать именно в домене или просто в сегменте сети, это является определяющим фактором в данном случае

Цитата:

Т.е. в вариант с VPN будет безопаснее чем в вариант с Terminal Server?

более безопасно...и более правильно


Цитата:

А позволяет ли VPN работать именно в домене или просто в сегменте сети

Позволяет работать как в домене ...так и в сегменте сети.

Настроил сетевые интерфейсы. В инет смотрит напрямую (пока просто нет файровола, решил так попробовать). В Windows Xp набираю mstsc и забиваю IP внешнего интерфеса. Пишет что нельзя подключиться? что может быть, где в Windows 2003 открыть порт 3389?

Цитата:

В Windows Xp набираю mstsc и забиваю IP внешнего интерфеса

Находишься внутри своей сети...или с инета?
В свойствах RDP указал слушать 2 подключения?
telnet "IP" 3389?

Включил второй сетевой интерфейс через маршрутизатор (он же файрвол) D-link DI-808HV. Открыл на нем порт 3389 для ip адреса терминального сервера.
Но все равно при подключении выдается ошибка.
Что можеть быть?

telnet IP 3389 - тишина, но такая же тишина из локальногоесли делать из локальной стеи, хотя подключение есть. В настройка RDP - стоит All network adapter configured with this protocol

Вот все пишут напрямую RDP через нет небезопастно (я тоже так считаю ), ну а реально можно ли увидеть програмку которая расшифрует траф RDP 5.2 с настройкой Encryption Level: High
Моменты что видно через RDP - какая ОС и домен - не учитываем как опаснтные.

Master_Alex
Тут опасность не столько в трафике, сколько в атаке самой службы RDP.

FreemanRU
т.е. DoS или недоверие МС и подозрение на существование 0 day сплойта?

Master_Alex
Именно. Хотя дыр вроде давно нет, но даже DoS опасен... т.к. если задосят ВПН-сервер, то бог с ним... а вот если терминалку, до станет работа всей сети.

Вообщем так и сделал.
Настроил VPN канал, по которому можно соединяться из дома с сегментом сети в котором находиться только терминальный сервер, а уже зайдя на него можно попасть в основную сеть. т.е. терминальный сервер имеет два интерфеса, один соединен по vpn с домашним компьютером, а другой с сетью.
Вот такая схема, насколько безопасная?

У нас на работе выход в инет строго через прокси.
Мне нужно подключится к терминал-серверу в инете.
Что нужно забить в mstsc (или где-то ещё) чтоб я мог подключится?

mstsc не умеет ходить через прокси. Нужен TS-gateway или NAT.

В твоем случае нужно использовать туннелирование до нужного терминального сервера или какого-либо роутера в интернет.

Или, как вариант, есть еще Http(s)-варианты доступа терминальным серверам...

JcVai

в новом mtssc есть такая возможность:

A Terminal Services Gateway (TS Gateway) server is a type of gateway that enables authorized users to connect to remote computers on a corporate network from any computer with an Internet connection. TS Gateway uses Remote Desktop Protocol (RDP) along with HTTPS to help create a more secure, encrypted connection.

In earlier versions of Remote Desktop Connection, people could not connect to remote computers across firewalls and network address translators because port 3389—the port used for Remote Desktop connections—is typically blocked to enhance network security. However, a TS Gateway server uses port 443, which transmits data through a Secure Sockets Layer (SSL) tunnel.


Добавлено:
ксати, такой вопрсо по терминальной работе:

тpебуется: пpи подключении по rdp к компу дpугому over inet, использовать свой пpинтеp для печати. компьютеp к котоpому подкючаются - w2k3serv_ent_r2. в настpойках служб теpминалов галка "отменить сопоставление пpинтеpов" убpана.
на клиентском компе, в настpойках подключения к удаленному pабочему столу стоит: галка на "использавть пpинтеp на pемоут сессион". но в итоге пpи подключении к сеpвеpу, пpинтеpа нет.
Вообще возможно такое, чтобы использовать свой пpинтеp пpи подключении на дpугой комп?

Цитата:

ксати, такой вопрсо по терминальной работе:

тpебуется: пpи подключении по rdp к компу дpугому over inet, использовать свой пpинтеp для печати. компьютеp к котоpому подкючаются - w2k3serv_ent_r2. в настpойках служб теpминалов галка "отменить сопоставление пpинтеpов" убpана.
на клиентском компе, в настpойках подключения к удаленному pабочему столу стоит: галка на "использавть пpинтеp на pемоут сессион". но в итоге пpи подключении к сеpвеpу, пpинтеpа нет.
Вообще возможно такое, чтобы использовать свой пpинтеp пpи подключении на дpугой комп?

нужно настроить правильно учётную запись клиента, при подключении клиента через терминал в свойствах подключения поставить галку относящуюся к принтеру и насколько я знаю надо этот принтер установить на терминальном серваке (не локально есесено) а вообще цитрикс форева, столько проблем сразу снимается

SHRIKE74


получается что все таки надо на сервер этот принтер все равно добавлять? а зачем тогда служит галка на клиенте - типа сопоставление принтеров? просто на сервер сложногсть добавить этот принтер, т.к. клиентский комп подколючается через инет, и в инет у него принтер не расшарен.. или я не правильно понял?

Уважаемый.....в настройках "Настройка служб терминалов-Подключение-RDP TCP-Параметры клиента....галка ставится на Подключение дисков....принтеров...и по умолчанию принтер клиента. Внизу по сопоставлению оставляешь галки только на сопоставление LPT портов, сопоставление COM портов, сопоставление звука, остальные галки снимаешь. Работает даже с USB принтерами.

Oracle1968

Ясно. просто я думал это глобально на том уровне, что вобщ всем будет поджключать.. а оказывается должна стоять и там и у клиента галка. чтобы все работало

По поводу подключения принтеров в терминале -
1) установить драйвера своего принтера на сервер терминалов.
2) Включить NetBIOS через TCP/IP
Еще вариант поставить Screwdrivers - через него любые принтера работают. Можно и на своем и на любом подключеном к серверу принтеру печатать.


Подскажите pls
Можно ли из-за прокси ходить на терминал?
В частности стоит UG 2.8 на машине с двумя сетевыми картами одна смотрит в инет вторая в локалку. Машины из локалки в инет через прокси ходят, но достучатся до терминала не могут.

K999

можно через переназначение портов в ug эо сделать. т.е.:

слушать порт 3389 по ip той машины которой надо подключаться на терминал
перенаправлять: порт 3389 и айпи той тачки, где стоит сервер терминалов.

а соотсветсвенно клиентская тачка из локалка должна в рдп коннектится на сервер с ug

Я и ставлю:
Слушающий порт -
ip машины на которой висит прокси-сервер
порт 9001 (любой свободный и не закрытый)

назначение
Хост назначения ip машины к которой нужно получить доступ на рабочий стол
порт 3389

авторизация
IP машины которая получает доступ на рабочий стол.

Чего то я запутался...

K999

все верно. теперь подключайся с тачки из локалки на ip тачки с юзергейтом

Добавлено:
тока на порт 9001 нало коннектится

Все сделал Просто ступил, видать с недосыпу не тот адрес ставил. Замапил на 9100 порт, все едино почты там не будет.

еще вопрос по принтерам:

на сервере терминалов установил драйвер: hp 1022n. тачка из локалки по rdp (используется NAT на сервере локалки) по инету коннектится с терминальный сервером. на тачке из локаки стои hp 1022n, точнго такие же дрова я поставил и на терминальный сервер. дык не подключаются принтеры и все тут =( ошибок в событиях от TermServDevices нету
если подклбчатсья через инет не из компа в локалке, а прямо с сервера, то принтеры добавляются.. =) странно как-то. куда копать? или подземный стук? =)

Цитата:

2) Включить NetBIOS через TCP/IP

включен? Точно такой же принтер у меня работает прекрасно. Ну или действительно попробуй поставить
Цитата:

Screwdrivers

эта штука все что угодно подключает (триал полнофункциональный 30 дней)