Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Fernwartung eines Windows Servers

Mitglied: aba101280
Hallo Zusammen,

hätte da mal eine Frage zur Fernsteuerung von einem Windows Server. Also dieser hängt hinter einem Router mit integrierter Firewall. Dieser ist unter einer statischen IP zu erreichen. Hebe nun Testweise mal den Port 3389 geöffnet und auf den Server geroutet. Der Fernzugriff funktioniert einwandfrei allerdings ist mir nicht ganz so wohl bei der Sache. Die Übertragung der Daten läuft ja bisher unverschlüsselt und im Prinzip kommt ja damit jeder der die feste IP kennt zumindest mal zum Anmeldefenster des Servers. Das dies allerdings ein sicherer Schutz ist bezweifle ich doch mal stark. Hat jemand eine Idde wie man A) die Daten der Übertragung verschlüsselt und B) die Anmeldung direkt etwas absichert. Habe auch mal gelesen das man den Port des Terminal Servers umstellen kann. Damit könnte zumindest mal nicht jeder Client (da ja der Port unbekannt ist) auf den Server..

Vielen Dank schon im Voraus

Gruß

Alex

Content-Key: 3397

Url: https://administrator.de/contentid/3397

Ausgedruckt am: 27.07.2021 um 23:07 Uhr

Mitglied: LarsJakubowski
LarsJakubowski 22.10.2004 um 08:22:31 Uhr
Goto Top
Hallo Alex,

Alternativ kannst Du zur Fernwartung auch pcAnywhere einsetzen. Hier kannst Du alles verschlüsseln. Auch die Windows Konten aus dem AD kannst Du benutzen.

Ja, man kann den Port umstellen. Gehört habe ich es zu mindest mal.
Aber ich denke wenn Du starke Passwörter verwendest, bist Du schon sehr sicher.
Ausserdem findest die eigentlich Übertragung der Daten mit dem Remotedesktop verschlüsselt statt. kannst Du dir ja mal ansehen und Terminal Dienste Konfiguration und dann unter RDP.

In der Regel ist dort CLientkompatiebel eingetragen.

Lars
Mitglied: GPO
GPO 22.10.2004 um 11:39:57 Uhr
Goto Top
Hallo,

ich administriere von zu Hause zwei Windows 2003 Server.
Zuhause habe ich eine dynamische IP.
Zudem habe ich auf einer Serverfarm einen "Internet-Server" mit fester IP.
Die Firmanerouter kann man per telnet konfigurieren.

Dafür habe ich mir folgendes überlegt;
-Die Firmenrouter lassen per NAT Anfragen vom Internet-Server durch.
-Auf dem Windows 2003 Servern habe ich einen Open-SSH-Server installiert.
-Zu Hause ermittle ich meine dynamische IP und starte putty, womit ich eine Verbindung zu meinem Internetserver herstelle.
-Vom Internetserver starte ich eine SSH-Verbindung zum Windows 2003 Server.
-Auf dem Windows 2003 Server starte ich eine Telnet Verbindung zum Router und trage in der NAT meine dynamische IP ein.
-Nun kann ich per Remotedesktopverbindung mit dem Windows 2003 Server arbeiten.

Ist sicherlich mühsam und nicht komfortabel, aber in meinen Augen das Sicherste, was ich umsetzen kann.
Ich habe dann nur noch im LAN die unsichere telnet Verbindung. Als Admin muß ich nur dafür Sorge tragen, daß kein Sniffer-Program im Netzwerk läuft.

Aber leider funktioniert das Ganze nicht, denn, wenn ich per SSH auf dem Windows 2003 Server bin und telnet eingebe passiert rein garnichts. So kann ich keine Verbindung zum Router aufbauen und daher auch nicht den Router konfigurieren.

Da ich zu Hause immer eine dynamische IP aus einem bestimmten Class B Netz bekomme, habe ich diese in die NAT eingetragen.
Dabei ist mir aber nicht sonderlich wohl.
Eines Tages werde ich noch eine Linuxkiste in den Netzwerken aufstellen, auf dem dann ein SSH-Server läuft, mit dem ich eine telnet Verbindung zum Router aufbauen kann.

GPO
Mitglied: LarsJakubowski
LarsJakubowski 22.10.2004 um 12:00:54 Uhr
Goto Top
Dasist natürlich die mega komplizierte varieante :-) face-smile
Das muss ich zu geben. Aber wenn es so läuft...... dann ist doch gut :-) face-smile

hat der Router bei Dir denn keine feste IP?

Lars
Mitglied: GPO
GPO 22.10.2004 um 13:32:37 Uhr
Goto Top
Hallo,

Dasist natürlich die mega komplizierte
varieante Das muss ich zu geben.
Kompliziert ist das eigentlich nicht, nur etwas mühsam, wie oben schon erwähnt.

>Aber wenn es so
läuft...... dann ist doch gut
Es läuft leider nicht, da ich auf der "Letzten Meile" die Verbindung vom Windows 2003 Server zum Router nicht hinbekomme. Da wie erwähnt, bei der Eingabe von Telnet innerhalb der SSH-Sitzung nichts passiert.


hat der Router bei Dir denn keine feste IP?
Die Router in den beiden LANs haben eine feste IP.
Nur zu Hause habe ich eine dynamische IP, die wie erwähnt, immer aus einem bestimmten Class-B Netz stammt.
So ist es mir möglich, die erlaubten Anfragen an den Router, auf einem bestimmten Adressbereich zu beschränken.


GPO
Mitglied: LarsJakubowski
LarsJakubowski 22.10.2004 um 13:38:53 Uhr
Goto Top
Hallo,

na so viel Mühe mache ich mir in der Regel nicht.
Schade das der Rest bei Dir nicht läuft. Hast Du schon eine Ahnung wo dran das liegt?

Lars
Mitglied: GPO
GPO 22.10.2004 um 13:52:38 Uhr
Goto Top
Hallo,

na so viel Mühe mache ich mir in der
Regel nicht.
Wenn es der Sicherheit dient und man wegen Paranoia sonst schlaflose Nächte hätte, lohnt sich die Mühe schon.

Schade das der Rest bei Dir nicht
läuft. Hast Du schon eine Ahnung wo
dran das liegt?
Leider nicht. Ich habe damals, als das Problem auftrat etwas gegoogelt und in den Internetforen nachgelesen, aber meine Problematik nicht gefunden. Bis jetzt habe ich es noch nicht geschaft, irgendwo das Problem zu posten.

Vielleicht kann jemand anders einmal auf einem Windows 2003 Server Open-SSH installieren und prüfen, ob er die gleichen Probleme hat.
D.H.
Einloggen mithilfe von Putty auf dem SSH-Server, dann versuchen telnet zu starten.

GPO
Mitglied: Samtpfote
Samtpfote 24.10.2004 um 12:23:07 Uhr
Goto Top
Hallo Alex!
Die Übertragung der Daten über RDP ist IMMER verschlüsselt; Dein Problem ist eher der Loginprompt wenn man auf den Terminal verbindet...
Du kannst einen anderen Port als 3389 einstellen (zB 3399)
das macht man mit dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\RDP-Tcp\Port Number
Reboot nicht vergessen. Im Remotedesktop des Clients einfach nach der IP-Adresse/Name einen Doppelpunkt und den neuen Port angeben. also ZB ts.meinedomain.com:meinPort
PS: es gibt übrigens (noch) kein Bruteforceattack Programm, das Passwörter für den Terminalzugriff ausprobiert...

Hope this helps
A.
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 16 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 9 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...