Remote connection,Remote control

[emiko]

В последнее время возникла необходимость иметь подключение к серверу удаленное,так как очень часто в не рабочие часы некоторые сотрудники компании бывают на работе и изредка но возникают проблемы и чтобы не приезжать на работу,хотелось бы настроить удаленный доступ к серверу.Наверняка кто-нибудь сам настраивал.Мне нужны Ваши советы и небольшая помощь.Значит так.Сервер 2к3 на винде.Имеется роутер через который получают интернет абсолютно все юзеры.Где это нужно настраивать и как?

[musrusm]

Radmin не помогает? Пробовал?
Честно говоря, не заню что такое - Сервер 2к3 на винде.

[leviathan]

[quote name='emiko' post='3949017' date='Dec 4 2008, 10:21 ']В последнее время возникла необходимость иметь подключение к серверу удаленное,так как очень часто в не рабочие часы некоторые сотрудники компании бывают на работе и изредка но возникают проблемы и чтобы не приезжать на работу,хотелось бы настроить удаленный доступ к серверу.Наверняка кто-нибудь сам настраивал.Мне нужны Ваши советы и небольшая помощь.Значит так.Сервер 2к3 на винде.Имеется роутер через который получают интернет абсолютно все юзеры.Где это нужно настраивать и как?[/quote]
Если хотите подключаться удалённо к серваку, вам нужен или статический IP-адрес, или DyN DNS.

Что касается используемой программы, то советую VNC.

[Mazdayka]

[quote name='leviathan' post='3949163' date='Dec 4 2008, 10:39 ']Если хотите подключаться удалённо к серваку, вам нужен или [b]статический IP-адрес[/b], или [b]DyN DNS[/b].

Что касается используемой программы, то советую VNC.[/quote]
Ему не нужно будет ни то ни другое если пользоваться Teamviewer. Никаких настроек маршрутизатора никакой проблемы с секьюрити. Установил сервер-TW на сервак. Получит статический ID который привязан к железу и меняется только при смене оного и задал пароль по заковырестее.
Все за сим дело в шляпе. С любого компа мира имеющего выхода в инет можно будет подключаться через TW-клиент по уже известному ID и пароля. Сервис можно сделать сколь угодно не видимым, поставить запрет на изменение настроек без пароля и поставить запрет на убивание процесса. Сам процесс при этом сажается в автозагрузку.

[Mazdayka]

Как известно все гениальное просто, а лучшее враг хорошего. Чем более доморощенная программа тем больше дыр в ней будет. И тем уязвимее становится система.

[emiko]

[quote name='musrusm' post='3949122' date='Dec 4 2008, 10:35 ']Radmin не помогает? Пробовал?
Честно говоря, не заню что такое - Сервер 2к3 на винде.[/quote]

Radmin это другое.Он работает в локальной сети.Мне нужно чтобы с любой точки мира я набирал свой IP указывал порт и попадал на рабочий стол сервака.

Сервер 2к3=Windows Server 2003

[quote name='leviathan' post='3949163' date='Dec 4 2008, 10:39 ']Если хотите подключаться удалённо к серваку, вам нужен или статический IP-адрес, или DyN DNS.

Что касается используемой программы, то советую VNC.[/quote]

Статический IP имееться.Насколько мне известно программа не используется,для этого достаточно настроить роутинг и ремот аксес в самой винде.

[Максимо]

Эмико мой вам совет.....www.logmein.com очень помогает. Лично пользуюсь и доволен.

надо клиент загрузит с сайта просто. вот и все.

[leviathan]

[quote name='Mazdayka' post='3949259' date='Dec 4 2008, 10:50 ']Ему не нужно будет ни то ни другое если пользоваться Teamviewer. Никаких настроек маршрутизатора никакой проблемы с секьюрити. Установил сервер-TW на сервак. Получит статический ID который привязан к железу и меняется только при смене оного и задал пароль по заковырестее.
Все за сим дело в шляпе. С любого компа мира имеющего выхода в инет можно будет подключаться через TW-клиент по уже известному ID и пароля. Сервис можно сделать сколь угодно не видимым, поставить запрет на изменение настроек без пароля и поставить запрет на убивание процесса. Сам процесс при этом сажается в автозагрузку.[/quote]
А разве в teamviewer ID или пароль (не помню точно) не меняется каждый раз ?

[kopcap]

Лично я использовал бы хамачи

[Mazdayka]

[quote name='leviathan' post='3949343' date='Dec 4 2008, 10:57 ']А разве в teamviewer ID или пароль (не помню точно) не меняется каждый раз ?[/quote]
ID привязан к аппаратной части ПК и не меняется. Пароль же можно сделать так же статическим и на свой выбор, Для этого запустить TW не в режиме Run а в режиме Install, т.е. сделать установку в систему.

[leviathan]

[quote name='emiko' post='3949314' date='Dec 4 2008, 10:55 ']Radmin это другое.Он работает в локальной сети.Мне нужно чтобы с любой точки мира я набирал свой IP указывал порт и попадал на рабочий стол сервака.

Сервер 2к3=Windows Server 2003
Статический IP имееться.Насколько мне известно программа не используется,для этого достаточно настроить роутинг и ремот аксес в самой винде.[/quote]
Радмином извне тоже можно подключиться

Раз есть статический АйПи адрес, то ставьте Real VNC. А в файерволе, если надо, перенаправьте порт (5900) на сервер.

[quote name='Максимо' post='3949323' date='Dec 4 2008, 10:55 ']Эмико мой вам совет.....www.logmein.com очень помогает. Лично пользуюсь и доволен.[/quote]
Тоже неплохой вариант. Использовал. Работает через обычный интернет-браузер.

[leviathan]

[quote name='Mazdayka' post='3949355' date='Dec 4 2008, 10:59 ']ID привязан к аппаратной части ПК и не меняется. Пароль же можно сделать так же статическим и на свой выбор, [b]Для этого запустить TW не в режиме Run а в режиме Install, т.е. сделать установку в систему[/b].[/quote]
Ага, во-во. То-то же я помню...

[kopcap]

Нсколько я понял нужен безопасный удаленный доступ. Можно ведь ремоут десктоп через hamachi подрубить (еще раз говорю). Удобно и просто и относительно безопасно.

[Mazdayka]

[quote name='leviathan' post='3949366' date='Dec 4 2008, 11:00 ']А в файерволе, если надо, перенаправьте порт (5900) на сервер.[/quote]
Всякие дополнительные правила переадресации портов повышают нагрузку на маршрутизатор, а я не думаю что там стоит какой то забубенный роутер ака Cisco. Вообще у них в Плазе с этим дело как то странно обстоит. У них там по сути свой маленький провайдер (представительство Uninet) и он им обеспечивает выход в сеть. Так что я думаю дело не обойдется только лишь настройкой свеого внутреннего роутера.

[leviathan]

[quote name='kopcap' post='3949394' date='Dec 4 2008, 11:03 ']Нсколько я понял нужен безопасный удаленный доступ. Можно ведь ремоут десктоп через hamachi подрубить (еще раз говорю). Удобно и просто и относительно безопасно.[/quote]
Все варианты безопасны. Тот же VNC поддерживает шифрование и очень сложные пароли. ЛогМеИн тоже довольно безопасен.

[Somebody Else]

Ребята, Вы что предлагаете так прямо открыть доступ для портов RDC, Radmina и VNC?
ИСА есть? По VPN-у надо подключаться к офису из дома, а уже дальше юзать выешуказанные программы удаленных рабочих столов.

[emiko]

ISA Server не стоит.Я видел как человек использует простой эксплорер,вводит туда свой IP и все....все настраиваеться через Remote Desktop Connection...

Давайте пока не будем рассматривать различные 3-rd party applications.

[Somebody Else]

[quote name='emiko' post='3950320' date='Dec 4 2008, 12:51 ']Давайте пока не будем рассматривать различные 3-rd party applications.[/quote]
Microsoft ISA Server - это 3-rd party application? ну-ну.

[Jaykay]

Сам уже давно успешно подлючаюсь к своей локалке в офисе из дома. Архитектура проста. Поднимается VPN на вашем 2003 сервере, настраивается соответсвующим способом и вуаля. Разумеется наличествует статический IP. Правда читал в нете, что подобная схема довольно уязвима. Решаю проблему аппаратным файрволлом.

[SystemTools]

www.logmein.com cупер вещь. Лучше на данный момент нет.

[emiko]

[quote name='Somebody Else' post='3950468' date='Dec 4 2008, 13:09 ']Microsoft ISA Server - это 3-rd party application? ну-ну.[/quote]
я не ИСУ имел ввиду....все остальное и есть сторонние производители....

Вопрос такой.Я подключаюсь в сети через Remote Desktop Connection.То же самое как настроить в домашних условиях.Насколько мне известно для этого VPN не нужен...также думаеться мне можно обойтись и без ISA сервера....

[emiko]

Попытался создать удаленное соединение с компьютером который введен в домен.Соединение осуществляю с домен контроллера,то бишь сервера....Короче на пользовательский компьютер под локальным администратором захожу без проблем.А вот на юзера в домене не получается.Пишет следующее

" The local policy of this system does not permit you to logon interactively"

[rusatom]

[quote name='emiko' post='3952295' date='Dec 4 2008, 16:14 ']Попытался создать удаленное соединение с компьютером который введен в домен.Соединение осуществляю с домен контроллера,то бишь сервера....Короче на пользовательский компьютер под локальным администратором захожу без проблем.А вот на юзера в домене не получается.Пишет следующее

" The local policy of this system does not permit you to logon interactively"[/quote]

Простой юзер доменный не может подключится к удалённому компу, если он только не в ходит в группу ремот десктоп юзер на удалённом компе или используйте домен админа.

[emiko]

[quote name='rusatom' post='3953168' date='Dec 4 2008, 17:38 ']Простой юзер доменный не может подключится к удалённому компу, если он только не в ходит в группу ремот десктоп юзер на удалённом компе или используйте домен админа.[/quote]

Спасибо за разъяснение...

[emiko]

[quote name='emiko' post='3953281' date='Dec 4 2008, 17:50 ']Спасибо за разъяснение...[/quote]

Добавил...но ведь он ругаеться на локальную политику....

[rusatom]

[quote name='emiko' post='3953519' date='Dec 4 2008, 18:25 ']Добавил...но ведь он ругаеться на локальную политику....[/quote]

Так и есть, именно эта ошибка в этом случае и выходит. Смотрит в группу ремот десктоп юзерс на компе к которому хочет подключится, не находит себя и выдаёт данную ошибку. Если необходимо разрешить, Вы просто заходите на удалённый комп под локальным админом и добавляете необходимых доменных пользователей в локальную группу ремот десктоп юзерс.

[Somebody Else]

[quote name='emiko' post='3952295' date='Dec 4 2008, 16:14 ']Попытался создать удаленное соединение с компьютером который введен в домен.Соединение осуществляю с домен контроллера,то бишь сервера....Короче на пользовательский компьютер под локальным администратором захожу без проблем.А вот на юзера в домене не получается.Пишет следующее

" The local policy of this system does not permit you to logon interactively"[/quote]
[url="http://support.microsoft.com/kb/289289"]http://support.microsoft.com/kb/289289[/url]

[emiko]

[quote name='rusatom' post='3953894' date='Dec 4 2008, 19:56 ']Так и есть, именно эта ошибка в этом случае и выходит. Смотрит в группу ремот десктоп юзерс на компе к которому хочет подключится, не находит себя и выдаёт данную ошибку. Если необходимо разрешить, Вы просто заходите на удалённый комп под локальным админом и добавляете необходимых доменных пользователей в локальную группу ремот десктоп юзерс.[/quote]

Так и сделал.Все заработало.Еще один момент.Все это в сети происходит.А если я из дома захочу подключиться через Remote Desktop Connection к своему серверу,тогда как? Я вбиваю внешний IP но ничего не получаеться.
[quote name='Somebody Else' post='3953946' date='Dec 4 2008, 20:09 '][url="http://support.microsoft.com/kb/289289"]http://support.microsoft.com/kb/289289[/url][/quote]

Спасибо за ссылку.Почитаю обязательно.

[Somebody Else]

[quote name='emiko' post='3955586' date='Dec 5 2008, 09:08 ']Если я из дома захочу подключиться через Remote Desktop Connection к своему серверу,тогда как? Я вбиваю внешний IP но ничего не получаеться.
Спасибо за ссылку.Почитаю обязательно.[/quote]
А внешний IP адрес смотрит на модем или он в режиме моста передает айпи-адрес компьютеру?

И, опять-таки, хочу напомнить, что открытый порт 3389 - не безопасное решение.

[emiko]

[quote name='Somebody Else' post='3955628' date='Dec 5 2008, 09:24 ']А внешний IP адрес смотрит на модем или он в режиме моста передает айпи-адрес компьютеру?

И, опять-таки, хочу напомнить, что открытый порт 3389 - не безопасное решение.[/quote]

Внешний IP адрес смотрит на модем...у самого сервера другой адрес .Думаю надо настроить портмеппинг то есть переадресацию с внешнего IP на внутренний,только не знаю как сделать это на роутере D-Link 2640 U

и еще...почему Вы считаете не безопасным использование порта 3389? Чем это чревато?

[Somebody Else]

[quote name='emiko' post='3956121' date='Dec 5 2008, 10:48 ']Внешний IP адрес смотрит на модем...у самого сервера другой адрес .Думаю надо настроить портмеппинг то есть переадресацию с внешнего IP на внутренний,только не знаю как сделать это на роутере D-Link 2640 U [/quote]
Вот мануал. [url="ftp://ftp.dlinktech.co.za/support/dsl2640u/dsl-2640u_manual.pdf"]ftp://ftp.dlinktech.co.za/support/dsl2640...640u_manual.pdf[/url] Страница 48.

[quote]и еще...почему Вы считаете не безопасным использование порта 3389? Чем это чревато?[/quote]
ну например, вот [url="http://msmvps.com/blogs/bradley/archive/2008/06/23/unfettered-access-to-port-3389.aspx"]этим[/url]
Если уж коннектитесь без файрвола, то лучше в реестре изменить порт 3389 на что-нибудь другое. HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP-TCP

[Farkhadus]

а mstsc не вариант. если уж провайдер даёт вам постоянный айпишник, разрешите на сервере Remote Des. Con. и радуйтесь жизни...

[emiko]

[quote name='Somebody Else' post='3956329' date='Dec 5 2008, 11:18 ']Вот мануал. [url="ftp://ftp.dlinktech.co.za/support/dsl2640u/dsl-2640u_manual.pdf"]ftp://ftp.dlinktech.co.za/support/dsl2640...640u_manual.pdf[/url] Страница 48.
ну например, вот [url="http://msmvps.com/blogs/bradley/archive/2008/06/23/unfettered-access-to-port-3389.aspx"]этим[/url]
Если уж коннектитесь без файрвола, то лучше в реестре изменить порт 3389 на что-нибудь другое. HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP-TCP[/quote]

НУ спасибо.....пошел качать....почитаю посмотрю какие вопросы возникнут еще

Можно в принципе настроить и файрвол соответственно.Простой файрвол а не ИСА....настроить и закрыть на нем доступы ко всем портам,а оставить только нужные...
[quote name='Farkhadus' post='3957271' date='Dec 5 2008, 13:01 ']а mstsc не вариант. если уж провайдер даёт вам постоянный айпишник, разрешите на сервере Remote Des. Con. и радуйтесь жизни...[/quote]

У меня статический IP .Все дело в том что без соответствующей настройки портов и форвардинга IP в роутере,ничего не выйдет...

[emiko]

Кто-нибудь знает где скачать инструкцию по настройке порт форвардинга? Та что дали выше не скачиваеться....

[AzimasteR]

[quote name='emiko' post='4001545' date='Dec 14 2008, 13:21 ']Кто-нибудь знает где скачать инструкцию по настройке порт форвардинга? Та что дали выше не скачиваеться....[/quote]
[url="http://portforward.com/english/routers/port_forwarding/Dlink/DSL-2640U/Remote_Desktop.htm"]http://portforward.com/english/routers/por...ote_Desktop.htm[/url]
zdes shaq po shaqu obyasnyayut kaq mojno nastroit remote desktop

[AzimasteR]

Esli budet kakoy nibud problem skaji

__________________
[b]10% транслит. ознакомьтесь с правилами, прежде чем постить.[/b]

[emiko]

Azerimaster,

Спасибо за ссылки,я в принципе так и делал....Не могли бы обьяснить мне что это за операция? Что именно мы форвардируем и куда?

[emiko]

Все же я не совсем понял какую опасность представляет открытый порт 3389? Ведь по нему соединиться и войти не зная пароля нельзя будет....

[devel-oper]

Теоретически можно будет. Сбрутить пасс например. Но есть еще другие методы

[AzimasteR]

[quote name='emiko' post='4032105' date='Dec 19 2008, 16:35 ']Azerimaster,

Спасибо за ссылки,я в принципе так и делал....Не могли бы обьяснить мне что это за операция? Что именно мы форвардируем и куда?[/quote]
в порт форвардинге твой адсл роутер прослушивает тот порт который ты отметил и форвардирует все полученние пакеты на IP который ты отметил