Externen Remote an Domänenrechner einrichten
Hallo,
ich habe wirklich dutzende Beiträge gelesen, aber keiner hat mich weiter gebracht.
Ich bin wie die Jungfrau zum Kinde zum Admin geworden. Das reine Administrieren ist auch kein Problem.
Nun zu meiner Frage:
Chef will von zu Hause auf unser Firmennetzwerk zugreifen. Das ist ein SBS2003 Serversystem als Domäne eingerichtet, mit einigen Clients. Im Router ist Port-Forwarding auf eine lokale Adresse 192.169.10.100 eingerichtet. Wir verfügen über eine feste IP-Adresse.
Ein Rechner (XP-Pro SP2) ist auf die obige IP konfiguriert und soll die von außen einwählenden RemotDesktop-User "verwalten".
Der Rechner ist als Domänenrechner eingerichtet.
Unter dem Punkt Remote versuche ich nun an diesem Client-Rechner einen Benutzer einzurichten, wobei mein erstes Problem auftritt. Ich kann nur Domänenbenutzer einrichten, will aber einen "freien" User einrichten, da mein Chef von zu Hause natürlich kein Domänenuser ist.
Ich habe auch vieles über DYNDNS gelesen. Brauche ich das bei einer festen IP-Adresse? Auf jeden Fall habe ich dort einen Host angelegt und aktiviert.
Was muss ich nun genau tun, um jemanden von außen auf den dafür vorgesehen Rechner, der einen Domänenrechner ist, zuzulassen?
Der Router ist wie gesagt dafür konfiguriert. Es handelt sich dabei um Business LAN R800+ Router von der Telekom. Die haben das Fort-Forwarding auch programmiert.
Die Hilfen im Internet haben mir allesamt nicht geholfen.
Weitere Fragen beantworte ich gerne.
ich habe wirklich dutzende Beiträge gelesen, aber keiner hat mich weiter gebracht.
Ich bin wie die Jungfrau zum Kinde zum Admin geworden. Das reine Administrieren ist auch kein Problem.
Nun zu meiner Frage:
Chef will von zu Hause auf unser Firmennetzwerk zugreifen. Das ist ein SBS2003 Serversystem als Domäne eingerichtet, mit einigen Clients. Im Router ist Port-Forwarding auf eine lokale Adresse 192.169.10.100 eingerichtet. Wir verfügen über eine feste IP-Adresse.
Ein Rechner (XP-Pro SP2) ist auf die obige IP konfiguriert und soll die von außen einwählenden RemotDesktop-User "verwalten".
Der Rechner ist als Domänenrechner eingerichtet.
Unter dem Punkt Remote versuche ich nun an diesem Client-Rechner einen Benutzer einzurichten, wobei mein erstes Problem auftritt. Ich kann nur Domänenbenutzer einrichten, will aber einen "freien" User einrichten, da mein Chef von zu Hause natürlich kein Domänenuser ist.
Ich habe auch vieles über DYNDNS gelesen. Brauche ich das bei einer festen IP-Adresse? Auf jeden Fall habe ich dort einen Host angelegt und aktiviert.
Was muss ich nun genau tun, um jemanden von außen auf den dafür vorgesehen Rechner, der einen Domänenrechner ist, zuzulassen?
Der Router ist wie gesagt dafür konfiguriert. Es handelt sich dabei um Business LAN R800+ Router von der Telekom. Die haben das Fort-Forwarding auch programmiert.
Die Hilfen im Internet haben mir allesamt nicht geholfen.
Weitere Fragen beantworte ich gerne.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124144
Url: https://administrator.de/contentid/124144
Ausgedruckt am: 06.11.2024 um 00:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo Kollege,
das sind ja gleich drei Fragen auf einmal
1. Damit sich Dein Chef von außen einwählen kann, muss er ja eine Zieladresse in seinen RDP-Client eingeben.
Wenn Ihr keine feste IP-Adresse habt, dann musst Du auf den DynDNS-Dienst zurückgreifen. Dieser Dienst sorgt dafür, dass Euer Netz von außen immer unter der gleichen Adresse bzw. gleichem Namen erreichbar ist (bspw. firmenname.dyndns.org).
Damit das Ganze auch klappt, muss bei Euch im Netzwerk ein DynDNS-Client laufen, der Eure Internet-IP an den DynDNS-Anbieter meldet und diese somit in einen Namen umsetzt. Der Client ist im Optimalfall bereits in Euren Router integriert.
Du schreibst nicht, welche Ports Ihr forwarded. Für den Remotedesktop wird der Port 3389 benötigt. Besser ist aber, dass Dein Chef eine VPN-Verbindung in Eure Firma aufbaut und dann die interne IP bzw. den internen Namen des XP-Rechners in seinen RDP-Client eingibt. Der Unterschied ist, dass Dein Chef beim Portforwarding direkt die DynDNS-Adresse (firmenname.dyndns.org) in seinen RDP-Client eingibt und eine mehr oder weniger unverschlüsselte Verbindung hat. Bei VPN verbindet er sich zuerst mittels VPN-Client mit Eurem Netzwerk (hier wird dann im VPN-Client Eure DynDNS-Adresse eingetragen) und bewegt sich dann so, als ob sein Rechner direkt bei Euch im Netzwerk wäre. Eine Domänenanmeldung aus der Ferne ist so zwar auch denkbar, aber schwerer zu realisieren und wahrscheinlich kaum performant. Eine gute Anleitung zur VPN-Einrichtung findest Du unter www.gruppenrichtlinien.de.
Beim XP-Rechner hast Du einen Denkfehler. Dein Chef will beim Zugriff von außen ja bestimmt auf Daten in der Domäne zugreifen, ohne Domänenrechte wird's schwer. Die Lösung ist ganz einfach: Du gehst in die Benutzerverwaltung des XP-Rechners (Rechter Klick auf "Arbeitsplatz", "Verwalten" auswählen und dann bei den "Lokalen Benutzern und Gruppen" den Domänenbenutzer Deines Chefs der Gruppe "Remotedesktopbenutzer" hinzufügen. Er ist von außen also auch Mitglied der Domäne oder vereinfacht gesprochen, es ist so, als ob er von zu Hause seinen Bildschirm im Geschäft sieht.
Aber wenn Du unbedingt einen "freien User" anlegen willst, dann kannst Du in der o.g. Benutzerverwaltung auch einen neuen lokalen Benutzer für den XP-Rechner anlegen und diesen Benutzer den Remotedesktopbenutzern hinzufügen. Für's Verständnis: Bei der Anmeldung per RDP (RemoteDesktop) kannst Du nämlich genauso wie im lokalen Netz auswählen, ob Du Dich mit Deinem Domänenkonto oder einem lokalen Konto am PC anmelden möchtest. Wenn Du die lokale Anmeldung (wie von Dir gewünscht) verwendest, dann muss Dein Chef sich nach der Anmeldung natürlich noch von Hand mit den Netzfreigaben verbinden, genauso, wie wenn er sich in der Firma am PC nur mit einem lokalen Benutzerkonto anmelden würde.
Hoffe, geholfen zu haben.
das sind ja gleich drei Fragen auf einmal
1. Damit sich Dein Chef von außen einwählen kann, muss er ja eine Zieladresse in seinen RDP-Client eingeben.
Wenn Ihr keine feste IP-Adresse habt, dann musst Du auf den DynDNS-Dienst zurückgreifen. Dieser Dienst sorgt dafür, dass Euer Netz von außen immer unter der gleichen Adresse bzw. gleichem Namen erreichbar ist (bspw. firmenname.dyndns.org).
Damit das Ganze auch klappt, muss bei Euch im Netzwerk ein DynDNS-Client laufen, der Eure Internet-IP an den DynDNS-Anbieter meldet und diese somit in einen Namen umsetzt. Der Client ist im Optimalfall bereits in Euren Router integriert.
Du schreibst nicht, welche Ports Ihr forwarded. Für den Remotedesktop wird der Port 3389 benötigt. Besser ist aber, dass Dein Chef eine VPN-Verbindung in Eure Firma aufbaut und dann die interne IP bzw. den internen Namen des XP-Rechners in seinen RDP-Client eingibt. Der Unterschied ist, dass Dein Chef beim Portforwarding direkt die DynDNS-Adresse (firmenname.dyndns.org) in seinen RDP-Client eingibt und eine mehr oder weniger unverschlüsselte Verbindung hat. Bei VPN verbindet er sich zuerst mittels VPN-Client mit Eurem Netzwerk (hier wird dann im VPN-Client Eure DynDNS-Adresse eingetragen) und bewegt sich dann so, als ob sein Rechner direkt bei Euch im Netzwerk wäre. Eine Domänenanmeldung aus der Ferne ist so zwar auch denkbar, aber schwerer zu realisieren und wahrscheinlich kaum performant. Eine gute Anleitung zur VPN-Einrichtung findest Du unter www.gruppenrichtlinien.de.
Beim XP-Rechner hast Du einen Denkfehler. Dein Chef will beim Zugriff von außen ja bestimmt auf Daten in der Domäne zugreifen, ohne Domänenrechte wird's schwer. Die Lösung ist ganz einfach: Du gehst in die Benutzerverwaltung des XP-Rechners (Rechter Klick auf "Arbeitsplatz", "Verwalten" auswählen und dann bei den "Lokalen Benutzern und Gruppen" den Domänenbenutzer Deines Chefs der Gruppe "Remotedesktopbenutzer" hinzufügen. Er ist von außen also auch Mitglied der Domäne oder vereinfacht gesprochen, es ist so, als ob er von zu Hause seinen Bildschirm im Geschäft sieht.
Aber wenn Du unbedingt einen "freien User" anlegen willst, dann kannst Du in der o.g. Benutzerverwaltung auch einen neuen lokalen Benutzer für den XP-Rechner anlegen und diesen Benutzer den Remotedesktopbenutzern hinzufügen. Für's Verständnis: Bei der Anmeldung per RDP (RemoteDesktop) kannst Du nämlich genauso wie im lokalen Netz auswählen, ob Du Dich mit Deinem Domänenkonto oder einem lokalen Konto am PC anmelden möchtest. Wenn Du die lokale Anmeldung (wie von Dir gewünscht) verwendest, dann muss Dein Chef sich nach der Anmeldung natürlich noch von Hand mit den Netzfreigaben verbinden, genauso, wie wenn er sich in der Firma am PC nur mit einem lokalen Benutzerkonto anmelden würde.
Hoffe, geholfen zu haben.
Hallo,
ich will dich nur darauf hinweisen, dass es keine gute Idee ist den Remote Zugang über eine RDP Verbindung zu realisieren.
Du haste eine feste IP, du brauchst kein DynDns!
Du musst ganz einfach nur Port Forwarding auf die genannte IP-Adresse einrichten.
An dem Rechner selbst rechte Maustaste -> Arbeitsplatz -> Remote -> Remote Anmeldung zulassen -> Aktivieren.
Benutzer(Chef) für die Remote Anmeldung hinzufügen.
Nun muss dein Chef nur noch zu Hause von seinem Rechner -> Start -> Programme -> Remotedesktopverbindung -> Öffentliche IP eintragen -> Enter -> Anmelden mit seinem Domänen Konto.
Du kannst den Port 3389 ändern, solltest du auch machen wenn du schon so grusliges Einrichtest.
Gruß Christian
ich will dich nur darauf hinweisen, dass es keine gute Idee ist den Remote Zugang über eine RDP Verbindung zu realisieren.
Du haste eine feste IP, du brauchst kein DynDns!
Du musst ganz einfach nur Port Forwarding auf die genannte IP-Adresse einrichten.
An dem Rechner selbst rechte Maustaste -> Arbeitsplatz -> Remote -> Remote Anmeldung zulassen -> Aktivieren.
Benutzer(Chef) für die Remote Anmeldung hinzufügen.
Nun muss dein Chef nur noch zu Hause von seinem Rechner -> Start -> Programme -> Remotedesktopverbindung -> Öffentliche IP eintragen -> Enter -> Anmelden mit seinem Domänen Konto.
Du kannst den Port 3389 ändern, solltest du auch machen wenn du schon so grusliges Einrichtest.
Gruß Christian
Hallo Schlafmuetze,
du machst deinem Nick alle Ehre.
Du hast einen SBS 2003 als Server. (SBS = Small Business Server). damit hast du alles was du brauchst zur Hand. Der SBS kann von Hause aus schon OWA, RWW, Outlook over HTTPS etc. (OWA = Outlook Web Access, RWW = Remote Web Workplace, Outlook over HTTPS = Outlook über das HTTPS verwenden)
Soll dein Chef nur Outlook benötigen, so reicht das OWA oder Outlook over HTTPS.
Will dein Chef aber seinen PC von zuhause (Fernbedienen), so nimmst da das RWW.
Für all diese netten sachen, brauchst du nur den Port 443 und 4125 (Nur für RWW) an deiner Firewall weiterleiten auf den SBS. Am SBS sleber, wird alles per Asisstenen eingerichtet. Der Zugriff von zuhause (Oder sonst wo) erfolg mittels Browser und aufruf per https://deindyndnsname/remote oder https://deindyndnsname/exchange.
Peter
du machst deinem Nick alle Ehre.
Du hast einen SBS 2003 als Server. (SBS = Small Business Server). damit hast du alles was du brauchst zur Hand. Der SBS kann von Hause aus schon OWA, RWW, Outlook over HTTPS etc. (OWA = Outlook Web Access, RWW = Remote Web Workplace, Outlook over HTTPS = Outlook über das HTTPS verwenden)
Soll dein Chef nur Outlook benötigen, so reicht das OWA oder Outlook over HTTPS.
Will dein Chef aber seinen PC von zuhause (Fernbedienen), so nimmst da das RWW.
Für all diese netten sachen, brauchst du nur den Port 443 und 4125 (Nur für RWW) an deiner Firewall weiterleiten auf den SBS. Am SBS sleber, wird alles per Asisstenen eingerichtet. Der Zugriff von zuhause (Oder sonst wo) erfolg mittels Browser und aufruf per https://deindyndnsname/remote oder https://deindyndnsname/exchange.
Peter
Hallo Schlafmuetze,
deinen Nickname hast du dir selber ausgesucht, sorry.
Das ist ja auch nicht dein problem. Das ist schon Klar. Falls du mit ''Remoten'' das RDP (RDP = Remote Desktop Protokoll) meinst, da brauchst du ja nur den Port 3389.
Weiter ausholende Erklärungsversuche für dich.
Du setzt einen SBS (SBS=Small Business Server) 2003 ein. das dieser SBS schon eine Reihe vorgefertigter Scripst, Gruppenrichtlinien und vieles mehr enthält, was ein Server 2003 nicht alles miutbringt, ist dir bestimmt doch klar und bewusst
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) einschaltet.
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) für im Netzwerk benötigte Ports öffnet.
Es gibt z.b. eine Gruppenrichtlinie beim SBS welche auf alle XP /VISTA Clients in der Domäne den Remote Desktop auf den Clients aktiviert, benutzer hinzufügt und in der Firewall (der Clients) den Port 3389 öffnet.
Aufgrund der letzgenannten Gruppenrichtlinie kannst da also in einem SBS Netzt (Nochmals: NUR BEIM SBS) davon ausgehen, das deine Clients ihre Firewall eingeschaltet eingeschaltet haben und die benötigten Ports offen sind. Deshalb geht bei dir intern im Netz das Remoten, sprich RDP auf den Clients.
(Ich kann nichts dafür das die IT so mit Fachbegriffen und Details gespickt ist). Welcher Port soll den auf die IP 192.168.10.100 (Der rechner deines Chefs) weitergeleitet werden? 3389?
Falls das der Fall ist, hast du soeben eine Operation am Offenen Herzen vorgenommen. Keine sorge, der Patient stirbt nocht.
Du hast genügend hinweise hier bekommen, aber sicherlich auch in den dutzenden beiträge welche du schon gelesen hast, das das Selbstmord ist.
Deshalb nochmal mein hinweiss. Du hast einen SBS. Der bringt alles mit, um ohne großen Aufwand und Technisches Knowhow, einen einigermaßen Sicheren Zugang für das Arbeiten von zuhause zu ermöglichen.
Definiere WAS dein Chef von zuhause aus machen will. Nur zugriff auf Outlook, oder auch seinen Rechner Fernsteueren (bei dir Remoten genannt. Mache Ihn auf die gefahren aufmerksam. dann entscheidet euch für das Verfahren und setzt es um.
Nur Outlook nutzen: Entweder OWA (per Browser) oder Outlook over HTTPS (Outlook 2003 / 2007 zuhause) nutzen.
Alle Anwendungen am PC Bedienen: RWW (per Browser) über Port 443 mit SSL und bei Verbindung den Port 4125
Alle anwendungen am PC Bedienen: VPN (Virtual Private Network). Wenn der Client mit Windows Boardmitteln Arbeiten soll, PPTP. Sonst IPSec und oder L2TP.
Peter
PS. Was war den der Fehler bei deiner Trockenübung? Wo lag da die Schwierigkeit?
deinen Nickname hast du dir selber ausgesucht, sorry.
ICH BIN KEIN GELERNTER ADMIN, SONDERN MACHE DAS NEBENBEI, DAS KLAPPT
AUCH GUT. JETZT KOMMT ABER EIN THEMA, DAS EINFACH NEULAND FÜR
MICH IST.
Deswegen ja auch die hinweise auf SBS, OWA, RWW und das du scomit alles hast um dein Vorhaben mit Boardmitteln umzusetzen. Das du neu bist, ist kein problem. das du noch vieles lernen musst, ist dir sicherlich selber klar.AUCH GUT. JETZT KOMMT ABER EIN THEMA, DAS EINFACH NEULAND FÜR
MICH IST.
Ich dachte immer, ein Forum ist zum Fragen da?
Stimmtich habe wirklich dutzende Beiträge gelesen, aber keiner hat mich weiter gebracht.
Anscheinend nicht so viele wie von dir angegeben, oder diese dann nicht verstanden.Ich bin wie die Jungfrau zum Kinde zum Admin geworden.
Das ist nichts schlimmes.Das reine Administrieren ist auch kein Problem
Dann sollten wir doch davon ausgehen , das du schon einiges an Fachwissen, Fachbegriffe und Grundlagen beherschts Oder?Stell es Dir so vor,
Du bist unter Medizinern und die unterhalten sich. Rudimentär
verstehst Du so manches, weil Du immer in entsprechenden
Fachzeitschriften blätterst. Vieles aber bleibt Dir ohne eine
Erklärung verschlossen.
Das ist richtig. Und deswegen würde keiner von uns eine Operation am Offenen Herzen vornehmen. Noch nicht einmal Verbandswechsel.Du bist unter Medizinern und die unterhalten sich. Rudimentär
verstehst Du so manches, weil Du immer in entsprechenden
Fachzeitschriften blätterst. Vieles aber bleibt Dir ohne eine
Erklärung verschlossen.
Das ist ja auch nicht dein problem. Das ist schon Klar. Falls du mit ''Remoten'' das RDP (RDP = Remote Desktop Protokoll) meinst, da brauchst du ja nur den Port 3389.
Weiter ausholende Erklärungsversuche für dich.
Du setzt einen SBS (SBS=Small Business Server) 2003 ein. das dieser SBS schon eine Reihe vorgefertigter Scripst, Gruppenrichtlinien und vieles mehr enthält, was ein Server 2003 nicht alles miutbringt, ist dir bestimmt doch klar und bewusst
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) einschaltet.
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) für im Netzwerk benötigte Ports öffnet.
Es gibt z.b. eine Gruppenrichtlinie beim SBS welche auf alle XP /VISTA Clients in der Domäne den Remote Desktop auf den Clients aktiviert, benutzer hinzufügt und in der Firewall (der Clients) den Port 3389 öffnet.
Aufgrund der letzgenannten Gruppenrichtlinie kannst da also in einem SBS Netzt (Nochmals: NUR BEIM SBS) davon ausgehen, das deine Clients ihre Firewall eingeschaltet eingeschaltet haben und die benötigten Ports offen sind. Deshalb geht bei dir intern im Netz das Remoten, sprich RDP auf den Clients.
nur von außerhalb eben nicht.
Stimmt. ist auch Richtig. Und stell dir vor, hier greifen nicht nur die Gruppenrichtlinien am Domänencontroller (Dein SBS 2003 ist der Domänencontroller) sondern es kommen noch die Scripte der Asisstenten hinzu, welche ebenfalls nur beim SBS existieren. Auch hier werden wieder Firewalls gesetzt (Der SBS hat Standardmäßig diese eingeschaltet) sowie evtl. Routing und RRAS (bei 2 Netzwerkkarten) eingerichtet. USW USW USW. Ich dachte auch, mit
einer festen IP brauche ich kein DynDns, sondern die Eingabe der IP
Stimmt. das kann funtionieren, wenn der entsprechende Port korrekt auf den Server / Client weitergeleitet wurde.einer festen IP brauche ich kein DynDns, sondern die Eingabe der IP
und eines eingerichteten Benutzers der Domäne reicht hier aus.
Nun, hier sprichst du von einen Domänen User. Zuerst solte das aber auf eine nicht Domänen User angewendet werden. Was denn nun?scheint sich also um die Routereinstellung zu handeln.
Möglich, aber nicht zwingend.Dieser wird
jedoch von T-Systems verwaltet. Ich hatte es so auch mit denen
besprochen, ein Port Forwarding auf den dafür bereitgestellten
Rechner mit einer bestimmten IP einzurichten. Da scheint es noch zu
haken, ich werde die rosa Jungs noch einmal kontakten.
Ich weiss nicht was du mit denen besprochen oder in Auftrag gegeben hast, aber hier hast du uns deine wünsche noch nicht genannt.jedoch von T-Systems verwaltet. Ich hatte es so auch mit denen
besprochen, ein Port Forwarding auf den dafür bereitgestellten
Rechner mit einer bestimmten IP einzurichten. Da scheint es noch zu
haken, ich werde die rosa Jungs noch einmal kontakten.
(Ich kann nichts dafür das die IT so mit Fachbegriffen und Details gespickt ist). Welcher Port soll den auf die IP 192.168.10.100 (Der rechner deines Chefs) weitergeleitet werden? 3389?
Falls das der Fall ist, hast du soeben eine Operation am Offenen Herzen vorgenommen. Keine sorge, der Patient stirbt nocht.
Du hast genügend hinweise hier bekommen, aber sicherlich auch in den dutzenden beiträge welche du schon gelesen hast, das das Selbstmord ist.
Deshalb nochmal mein hinweiss. Du hast einen SBS. Der bringt alles mit, um ohne großen Aufwand und Technisches Knowhow, einen einigermaßen Sicheren Zugang für das Arbeiten von zuhause zu ermöglichen.
Definiere WAS dein Chef von zuhause aus machen will. Nur zugriff auf Outlook, oder auch seinen Rechner Fernsteueren (bei dir Remoten genannt. Mache Ihn auf die gefahren aufmerksam. dann entscheidet euch für das Verfahren und setzt es um.
Nur Outlook nutzen: Entweder OWA (per Browser) oder Outlook over HTTPS (Outlook 2003 / 2007 zuhause) nutzen.
Alle Anwendungen am PC Bedienen: RWW (per Browser) über Port 443 mit SSL und bei Verbindung den Port 4125
Alle anwendungen am PC Bedienen: VPN (Virtual Private Network). Wenn der Client mit Windows Boardmitteln Arbeiten soll, PPTP. Sonst IPSec und oder L2TP.
Peter
PS. Was war den der Fehler bei deiner Trockenübung? Wo lag da die Schwierigkeit?