Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remotedesktopgateway auf anderem Port

Mitglied: jcvmaster

jcvmaster (Level 1) - Jetzt verbinden

25.06.2012, aktualisiert 22:11 Uhr, 6118 Aufrufe, 7 Kommentare

Ansprechen eines RDP-Gateways, wenn Port 443 (extern) belegt ist.

Hallo Zusammen,
ich habe eine Frage zur Konfiguration des Remotedesktopgateway.

Folgende Situation:
Mittelgroßes AD-Netz (alle Server W2K8R2) u.a. zwei Hyper-V Server.
Internetanbindung BK (100/5MBit, eine externe IP, leider nur dynamisch) an Securepoint UTM-Firewall.
Externe IP über intranet.firma.de erreichbar.

Es soll (zunächst nur zur Eprobungszwecken) der Remotedesktopgateway eingeführt werden.
Hierfür wurde ein virtueller W2K8R2 exklusiv zur Verfügung gestellt.

Mein erster Ansatz ist nun: Remotedesktopdienste und -Gateway installieren, durchkonfigurieren, und gut.
Die erste Frage anbei: Sitzunghost und Gateway auf gleichem Server möglich?
(Sicherheitsfrage ist bei der Erprobung erst noch sekundär)

Jetzt kommt aber das Problem:
Im Unternehmen wird bereits Exchange mit OWA, etc. eingesetzt.
Die Firewall leitet Port 443 hierfür an den Exchange weiter.
(https://intranet.firma.de/OWA funktioniert ganz normal)
Da nur eine externe IP verfügbar ist, ist demnach auch nur ein externer 443 verfügbar, der ist aber belegt.
Für diese Eprobung darf die aktuelle Konfiguration nicht geändert werden.
(RDP-Gateway mit auf dem Exchange oder ein ISA davor der per Header weiterleitet ist also nicht möglich)
Der RDP-Gateway muss also irgendwie "extern" von 443 runter.

Meine Überlegungen wären
A: Das gesamte RDP-Gateway-System auf einen anderen, freien Port legen.
B: Nur extern einen anderen Port nehmen und intern durch die Firewall auf 443 des neuen Servers umleiten lassen.

Hat hier jemand Erfahrungen oder Tipps?
(Man müsste ja mindestens den Port im RDP-Client eintragen - geht das?)


Vielen Dank und schöne Grüße,
Jan

P.S.: Was ich bisher gegoogelt habe deutet darauf hin, dass zumindest A nicht geht, direkt einen anderen Port für RDP-Gateway einstellen soll wohl erst in Server 8 kommen
Mitglied: maretz
25.06.2012 um 23:09 Uhr
wie wäre es mit nem einfachen VPN-Zugriff?
Bitte warten ..
Mitglied: jcvmaster
26.06.2012 um 00:51 Uhr
VPN-Zugriff wäre natürlich möglich, aber mit Abstand die zweite Wahl.
Auf dem RDP-Server sollen später zwei Apps laufen, auf die verschiedene "Externe" zugreifen sollen.
Ein VPN-Client soll also vermieden werden (wäre ein zweites Programm in der externen IT (Installationsprobleme, Firewallprobleme) und ein zweiter Anwahlschritt (DAUs).
Genau deshalb kam ja die Idee mit dem RDP-Gateway...
Bitte warten ..
Mitglied: maretz
26.06.2012 um 06:04 Uhr
Naja - dann gibts ja nur die möglichkeit des zweiten Ports... Da hast du natürlich den Spass das du jedem erklären musst wie er sich daran verbindet - und dazu noch die ganzen Script-Kiddys...

Was spricht denn gegen nen VPN? Das Externe darauf zugreiffen sollen ist ja nix ungewöhnliches für VPN (lass mich kurz nachdenken - ich würde fast soweit gehen und sagen dass das genau der SINN eines VPN ist!). Wenn du es Firewalltechnisch jetzt noch etwas klug anstellst - dann darfst du aus dem VPN nur genau einen Server erreichen (dein RDP).

Das mit dem zweiten Programm ist auch falsch - jedes normale System bringt eine VPN-Software mit (sei es MS Windows, Apple iPhone/iPad, Linux, Mac,...). Jetzt brauchst du also nur noch die Verbindung einrichten - und ich denke das nen zweiter Klick (falls du Benutzername/PW speichern lässt) auch für nen DAU verständlich. Und sollte euer externer Dienstleister es nicht schaffen - nun, dann würde ich sagen ist es der falsche Dienstleister.

Für mich führt an einem VPN nix vorbei wenn man interne Server auch externen zugänglich machen soll.. Diverse Angriffe haben gezeigt das es zu oft vorkommt das doch noch ne Lücke da war und schon ist der Server weg...
Bitte warten ..
Mitglied: Chris-75
26.06.2012 um 07:47 Uhr
Wir haben RD Gateway & Sitzungshost auf der gleichen Maschine laufen, kein Problem.
Und ob man nun Gateway oder VPN in Verbindung mit Name & Kennwort für die Einwahl benutzt ist sichherheitstechnisch gleichzustellen. VPN in Verbindung mit Zertifikaten wäre noch optimaler.
Bitte warten ..
Mitglied: Murzel
27.06.2012, aktualisiert um 23:39 Uhr
port fuer die dienste in der fw auf 40000+ legen und mit nat umleiten.
danach mit nem nmap scan oder deinem scanner der wall ;) ueberpruefen
am besten in der fw nur die externe- hoffentlich feste ip- freigeben

durch das nat brauchst du keine internen ports aendern

der rdp port kann in der registry fuer den server angepasst werden.
und als client kann man auch einen anderen port angeben.

-nachtrag
wieos port 443? rdp ist normalerweise tcp port 3389
443 ist https...hat nix mit rdp zu tun
Bitte warten ..
Mitglied: jcvmaster
27.06.2012 um 23:50 Uhr
Ja - so habe ich mir das auch schon gedacht (ist ja Ansatz B).
Es geht hier aber nicht um normales RDP sondern über den RDP-GATEWAY,
der verbindet mit TLS über 443 (HTTPS bzw. SSL-verschlüsselt).

Daher auch die Frage, ob das schon jemand gemacht hat:
- Den RDP-Gateway extern auf Port XXXXX legen
- Kann deser Port im Cient eingegeben werden (bei Verbindung über Gateway herstellen)

Im Zweifel werde ich das selber mal testen, wäre nur gut gewesen, wenn jemand direkt schon gewusst hätte obs geht
Bitte warten ..
Mitglied: Murzel
28.06.2012 um 00:13 Uhr
leg doch den internen port fuer das rdp gateway auf port xxxx
und dann denn externen port auf yyyy
dann ein portnat von yyyy auf xxxx
alles gut!
und wenn du den rdp port im was auch immer ein rdp gateway sein soll, nicht aendern kannst, steig auf linux um

da gät datt
Bitte warten ..
Ähnliche Inhalte
Mac OS X
Mac ports -f activate port
Frage von AlchimedesMac OS X

Hallo, Ich nutze unter MacOs ports. Nachdem Sierra ,Xcode und Commandline-Tools Updates wurden ports deactiviert. Die bisherige bekannte Vorgangsweise ...

Firewall
2x Port forwarding auf Port 80
gelöst Frage von letstryandfindoutFirewall7 Kommentare

Hallo zusammen, ich habe eine m0n0wall am laufen bei der ich HTTP und HTTPS auf eine IP durchgeschleift habte. ...

Switche und Hubs
Was ist ein Access-Port?
gelöst Frage von teret4242Switche und Hubs5 Kommentare

Moin, was versteht man unter einem Access-Port bei Switchen? Konnte leider nichts brauchbares bei Google finden Gruß

E-Mail

EMails über Port 587 versenden oder Port 25

Frage von staybbE-Mail1 Kommentar

Hallo, wenn ich angenommen einen eigenen Postfix Mailserver betreibe und voll konfigurieren kann, ist es aufjedenfall schon fast vorgeschrieben ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 StundeErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 3 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 3 StundenMicrosoft3 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1025 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...