schlafmuetze
Goto Top

Externen Remote an Domänenrechner einrichten

Hallo,

ich habe wirklich dutzende Beiträge gelesen, aber keiner hat mich weiter gebracht.
Ich bin wie die Jungfrau zum Kinde zum Admin geworden. Das reine Administrieren ist auch kein Problem.

Nun zu meiner Frage:

Chef will von zu Hause auf unser Firmennetzwerk zugreifen. Das ist ein SBS2003 Serversystem als Domäne eingerichtet, mit einigen Clients. Im Router ist Port-Forwarding auf eine lokale Adresse 192.169.10.100 eingerichtet. Wir verfügen über eine feste IP-Adresse.

Ein Rechner (XP-Pro SP2) ist auf die obige IP konfiguriert und soll die von außen einwählenden RemotDesktop-User "verwalten".
Der Rechner ist als Domänenrechner eingerichtet.

Unter dem Punkt Remote versuche ich nun an diesem Client-Rechner einen Benutzer einzurichten, wobei mein erstes Problem auftritt. Ich kann nur Domänenbenutzer einrichten, will aber einen "freien" User einrichten, da mein Chef von zu Hause natürlich kein Domänenuser ist.

Ich habe auch vieles über DYNDNS gelesen. Brauche ich das bei einer festen IP-Adresse? Auf jeden Fall habe ich dort einen Host angelegt und aktiviert.

Was muss ich nun genau tun, um jemanden von außen auf den dafür vorgesehen Rechner, der einen Domänenrechner ist, zuzulassen?
Der Router ist wie gesagt dafür konfiguriert. Es handelt sich dabei um Business LAN R800+ Router von der Telekom. Die haben das Fort-Forwarding auch programmiert.

Die Hilfen im Internet haben mir allesamt nicht geholfen.

Weitere Fragen beantworte ich gerne.

Content-ID: 124144

Url: https://administrator.de/contentid/124144

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

FishersFritz
FishersFritz 03.09.2009 um 17:15:12 Uhr
Goto Top
Hallo Kollege,

das sind ja gleich drei Fragen auf einmal face-smile

1. Damit sich Dein Chef von außen einwählen kann, muss er ja eine Zieladresse in seinen RDP-Client eingeben.
Wenn Ihr keine feste IP-Adresse habt, dann musst Du auf den DynDNS-Dienst zurückgreifen. Dieser Dienst sorgt dafür, dass Euer Netz von außen immer unter der gleichen Adresse bzw. gleichem Namen erreichbar ist (bspw. firmenname.dyndns.org).

Damit das Ganze auch klappt, muss bei Euch im Netzwerk ein DynDNS-Client laufen, der Eure Internet-IP an den DynDNS-Anbieter meldet und diese somit in einen Namen umsetzt. Der Client ist im Optimalfall bereits in Euren Router integriert.

Du schreibst nicht, welche Ports Ihr forwarded. Für den Remotedesktop wird der Port 3389 benötigt. Besser ist aber, dass Dein Chef eine VPN-Verbindung in Eure Firma aufbaut und dann die interne IP bzw. den internen Namen des XP-Rechners in seinen RDP-Client eingibt. Der Unterschied ist, dass Dein Chef beim Portforwarding direkt die DynDNS-Adresse (firmenname.dyndns.org) in seinen RDP-Client eingibt und eine mehr oder weniger unverschlüsselte Verbindung hat. Bei VPN verbindet er sich zuerst mittels VPN-Client mit Eurem Netzwerk (hier wird dann im VPN-Client Eure DynDNS-Adresse eingetragen) und bewegt sich dann so, als ob sein Rechner direkt bei Euch im Netzwerk wäre. Eine Domänenanmeldung aus der Ferne ist so zwar auch denkbar, aber schwerer zu realisieren und wahrscheinlich kaum performant. Eine gute Anleitung zur VPN-Einrichtung findest Du unter www.gruppenrichtlinien.de.

Beim XP-Rechner hast Du einen Denkfehler. Dein Chef will beim Zugriff von außen ja bestimmt auf Daten in der Domäne zugreifen, ohne Domänenrechte wird's schwer. Die Lösung ist ganz einfach: Du gehst in die Benutzerverwaltung des XP-Rechners (Rechter Klick auf "Arbeitsplatz", "Verwalten" auswählen und dann bei den "Lokalen Benutzern und Gruppen" den Domänenbenutzer Deines Chefs der Gruppe "Remotedesktopbenutzer" hinzufügen. Er ist von außen also auch Mitglied der Domäne oder vereinfacht gesprochen, es ist so, als ob er von zu Hause seinen Bildschirm im Geschäft sieht.

Aber wenn Du unbedingt einen "freien User" anlegen willst, dann kannst Du in der o.g. Benutzerverwaltung auch einen neuen lokalen Benutzer für den XP-Rechner anlegen und diesen Benutzer den Remotedesktopbenutzern hinzufügen. Für's Verständnis: Bei der Anmeldung per RDP (RemoteDesktop) kannst Du nämlich genauso wie im lokalen Netz auswählen, ob Du Dich mit Deinem Domänenkonto oder einem lokalen Konto am PC anmelden möchtest. Wenn Du die lokale Anmeldung (wie von Dir gewünscht) verwendest, dann muss Dein Chef sich nach der Anmeldung natürlich noch von Hand mit den Netzfreigaben verbinden, genauso, wie wenn er sich in der Firma am PC nur mit einem lokalen Benutzerkonto anmelden würde.

Hoffe, geholfen zu haben.
Schlafmuetze
Schlafmuetze 03.09.2009 um 17:58:46 Uhr
Goto Top
Okay,
ich habe jetzt erst einmal ein paar Trockenübungen gemacht, indem ich es zu Hause, dem einfachsten Fall ausprobiere.

Ich habe mir bei dyndns.org einen Host angelegt und ihn aktiviert. Dann den Client auf dem Hostrechner installiert, der sagt alles okay.
Dann im Router - eine Arcor Easybox 300 unter NAT bei Port Mapping den Port 3389 für die IP des Hostrechners freigegeben.
Einen Benutzer hinzugefügt (mit Passwort) und diesen Remotedesktopbenutzer definiert.

Nun habe einem Bekannten die dyndns-Adresse samt Benutzer und Passwort gegeben. Dieser kann sich aber nicht einwählen.
Mache ich noch etwas falsch oder habe ich etwas vergessen?

Die Firewall habe ich auch entsprechend konfiguriert.
staYde
staYde 03.09.2009 um 19:15:12 Uhr
Goto Top
Hallo,

ich will dich nur darauf hinweisen, dass es keine gute Idee ist den Remote Zugang über eine RDP Verbindung zu realisieren.

Du haste eine feste IP, du brauchst kein DynDns!

Du musst ganz einfach nur Port Forwarding auf die genannte IP-Adresse einrichten.
An dem Rechner selbst rechte Maustaste -> Arbeitsplatz -> Remote -> Remote Anmeldung zulassen -> Aktivieren.

Benutzer(Chef) für die Remote Anmeldung hinzufügen.

Nun muss dein Chef nur noch zu Hause von seinem Rechner -> Start -> Programme -> Remotedesktopverbindung -> Öffentliche IP eintragen -> Enter -> Anmelden mit seinem Domänen Konto.

Du kannst den Port 3389 ändern, solltest du auch machen wenn du schon so grusliges Einrichtest.

Gruß Christian
Pjordorf
Pjordorf 04.09.2009 um 18:19:10 Uhr
Goto Top
Hallo Schlafmuetze,

du machst deinem Nick alle Ehre.

Du hast einen SBS 2003 als Server. (SBS = Small Business Server). damit hast du alles was du brauchst zur Hand. Der SBS kann von Hause aus schon OWA, RWW, Outlook over HTTPS etc. (OWA = Outlook Web Access, RWW = Remote Web Workplace, Outlook over HTTPS = Outlook über das HTTPS verwenden)

Soll dein Chef nur Outlook benötigen, so reicht das OWA oder Outlook over HTTPS.
Will dein Chef aber seinen PC von zuhause (Fernbedienen), so nimmst da das RWW.

Für all diese netten sachen, brauchst du nur den Port 443 und 4125 (Nur für RWW) an deiner Firewall weiterleiten auf den SBS. Am SBS sleber, wird alles per Asisstenen eingerichtet. Der Zugriff von zuhause (Oder sonst wo) erfolg mittels Browser und aufruf per https://deindyndnsname/remote oder https://deindyndnsname/exchange.

Peter
Schlafmuetze
Schlafmuetze 05.09.2009 um 09:30:20 Uhr
Goto Top
@Pjordorf

wenn jeder Deine Schlauheit besäße bräuchten wir das Forum hier sicherlich nicht mehr. Auf so geistreiche Eingangskommentare kann ich dankend verzichten. Ich wiederhole es aber gerne noch einmal expliziet für Dich:

ICH BIN KEIN GELERNTER ADMIN, SONDERN MACHE DAS NEBENBEI, DAS KLAPPT AUCH GUT. JETZT KOMMT ABER EIN THEMA, DAS EINFACH NEULAND FÜR MICH IST.

Ich dachte immer, ein Forum ist zum Fragen da? Stell es Dir so vor, Du bist unter Medizinern und die unterhalten sich. Rudimentär verstehst Du so manches, weil Du immer in entsprechenden Fachzeitschriften blätterst. Vieles aber bleibt Dir ohne eine Erklärung verschlossen.

@Christian: Innerhalb des Netzwerkes funktioniert das Remoten auch bestens, nur von außerhalb eben nicht. Ich dachte auch, mit einer festen IP brauche ich kein DynDns, sondern die Eingabe der IP und eines eingerichteten Benutzers der Domäne reicht hier aus. Es scheint sich also um die Routereinstellung zu handeln. Dieser wird jedoch von T-Systems verwaltet. Ich hatte es so auch mit denen besprochen, ein Port Forwarding auf den dafür bereitgestellten Rechner mit einer bestimmten IP einzurichten. Da scheint es noch zu haken, ich werde die rosa Jungs noch einmal kontakten.

Danke bis hierher für die Tipps.
Pjordorf
Pjordorf 05.09.2009 um 15:01:11 Uhr
Goto Top
Hallo Schlafmuetze,

deinen Nickname hast du dir selber ausgesucht, sorry.

ICH BIN KEIN GELERNTER ADMIN, SONDERN MACHE DAS NEBENBEI, DAS KLAPPT
AUCH GUT. JETZT KOMMT ABER EIN THEMA, DAS EINFACH NEULAND FÜR
MICH IST.
Deswegen ja auch die hinweise auf SBS, OWA, RWW und das du scomit alles hast um dein Vorhaben mit Boardmitteln umzusetzen. Das du neu bist, ist kein problem. das du noch vieles lernen musst, ist dir sicherlich selber klar.

Ich dachte immer, ein Forum ist zum Fragen da?
Stimmt

ich habe wirklich dutzende Beiträge gelesen, aber keiner hat mich weiter gebracht.
Anscheinend nicht so viele wie von dir angegeben, oder diese dann nicht verstanden.

Ich bin wie die Jungfrau zum Kinde zum Admin geworden.
Das ist nichts schlimmes.

Das reine Administrieren ist auch kein Problem
Dann sollten wir doch davon ausgehen , das du schon einiges an Fachwissen, Fachbegriffe und Grundlagen beherschts Oder?

Stell es Dir so vor,
Du bist unter Medizinern und die unterhalten sich. Rudimentär
verstehst Du so manches, weil Du immer in entsprechenden
Fachzeitschriften blätterst. Vieles aber bleibt Dir ohne eine
Erklärung verschlossen.
Das ist richtig. Und deswegen würde keiner von uns eine Operation am Offenen Herzen vornehmen. Noch nicht einmal Verbandswechsel.

@Christian: Innerhalb des Netzwerkes funktioniert das Remoten auch
bestens,
Das ist ja auch nicht dein problem. Das ist schon Klar. Falls du mit ''Remoten'' das RDP (RDP = Remote Desktop Protokoll) meinst, da brauchst du ja nur den Port 3389.

Weiter ausholende Erklärungsversuche für dich.
Du setzt einen SBS (SBS=Small Business Server) 2003 ein. das dieser SBS schon eine Reihe vorgefertigter Scripst, Gruppenrichtlinien und vieles mehr enthält, was ein Server 2003 nicht alles miutbringt, ist dir bestimmt doch klar und bewusst
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) einschaltet.
Es wird z.b. eine Gruppenrichtlinie beim SBS eingerichtet welche auf alle XP / VISTA Clients in der Domäne die Firewall (der Clients) für im Netzwerk benötigte Ports öffnet.
Es gibt z.b. eine Gruppenrichtlinie beim SBS welche auf alle XP /VISTA Clients in der Domäne den Remote Desktop auf den Clients aktiviert, benutzer hinzufügt und in der Firewall (der Clients) den Port 3389 öffnet.

Aufgrund der letzgenannten Gruppenrichtlinie kannst da also in einem SBS Netzt (Nochmals: NUR BEIM SBS) davon ausgehen, das deine Clients ihre Firewall eingeschaltet eingeschaltet haben und die benötigten Ports offen sind. Deshalb geht bei dir intern im Netz das Remoten, sprich RDP auf den Clients.

nur von außerhalb eben nicht.
Stimmt. ist auch Richtig. Und stell dir vor, hier greifen nicht nur die Gruppenrichtlinien am Domänencontroller (Dein SBS 2003 ist der Domänencontroller) sondern es kommen noch die Scripte der Asisstenten hinzu, welche ebenfalls nur beim SBS existieren. Auch hier werden wieder Firewalls gesetzt (Der SBS hat Standardmäßig diese eingeschaltet) sowie evtl. Routing und RRAS (bei 2 Netzwerkkarten) eingerichtet. USW USW USW.

Ich dachte auch, mit
einer festen IP brauche ich kein DynDns, sondern die Eingabe der IP
Stimmt. das kann funtionieren, wenn der entsprechende Port korrekt auf den Server / Client weitergeleitet wurde.

und eines eingerichteten Benutzers der Domäne reicht hier aus.
Nun, hier sprichst du von einen Domänen User. Zuerst solte das aber auf eine nicht Domänen User angewendet werden. Was denn nun?

scheint sich also um die Routereinstellung zu handeln.
Möglich, aber nicht zwingend.

Dieser wird
jedoch von T-Systems verwaltet. Ich hatte es so auch mit denen
besprochen, ein Port Forwarding auf den dafür bereitgestellten
Rechner mit einer bestimmten IP einzurichten. Da scheint es noch zu
haken, ich werde die rosa Jungs noch einmal kontakten.
Ich weiss nicht was du mit denen besprochen oder in Auftrag gegeben hast, aber hier hast du uns deine wünsche noch nicht genannt.
(Ich kann nichts dafür das die IT so mit Fachbegriffen und Details gespickt ist). Welcher Port soll den auf die IP 192.168.10.100 (Der rechner deines Chefs) weitergeleitet werden? 3389?

Falls das der Fall ist, hast du soeben eine Operation am Offenen Herzen vorgenommen. Keine sorge, der Patient stirbt nocht.
Du hast genügend hinweise hier bekommen, aber sicherlich auch in den dutzenden beiträge welche du schon gelesen hast, das das Selbstmord ist.

Deshalb nochmal mein hinweiss. Du hast einen SBS. Der bringt alles mit, um ohne großen Aufwand und Technisches Knowhow, einen einigermaßen Sicheren Zugang für das Arbeiten von zuhause zu ermöglichen.

Definiere WAS dein Chef von zuhause aus machen will. Nur zugriff auf Outlook, oder auch seinen Rechner Fernsteueren (bei dir Remoten genannt. Mache Ihn auf die gefahren aufmerksam. dann entscheidet euch für das Verfahren und setzt es um.

Nur Outlook nutzen: Entweder OWA (per Browser) oder Outlook over HTTPS (Outlook 2003 / 2007 zuhause) nutzen.
Alle Anwendungen am PC Bedienen: RWW (per Browser) über Port 443 mit SSL und bei Verbindung den Port 4125
Alle anwendungen am PC Bedienen: VPN (Virtual Private Network). Wenn der Client mit Windows Boardmitteln Arbeiten soll, PPTP. Sonst IPSec und oder L2TP.

Peter

PS. Was war den der Fehler bei deiner Trockenübung? Wo lag da die Schwierigkeit?
Schlafmuetze
Schlafmuetze 05.09.2009 um 18:49:47 Uhr
Goto Top
Ich sehe schon, alles muss kommentiert werden. Es ist mir zu doof, mich für Unwissenheit ständig rechtfertigen zu müssen. Ich habe bedeutend besseres zu tun, als das mir jemand oberlehrerhaft jeden meiner Sätze auf die Goldwage zu setzen. Mag ja vielleicht lustig oder auch nicht bös gemeint sein, aber sorry, ganz schlechter Stil. Trotzdem vielen Dank für alle guten Hinweise.

Falls es interessiert, der Router war nicht korrekt konfiguriert, alles was ich vorher aus gelesenem Wissen gemacht habe, war richtig!