Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remotedesktopgateway auf anderem Port

Frage Microsoft Windows Server

Mitglied: jcvmaster

jcvmaster (Level 1) - Jetzt verbinden

25.06.2012, aktualisiert 22:11 Uhr, 5729 Aufrufe, 7 Kommentare

Ansprechen eines RDP-Gateways, wenn Port 443 (extern) belegt ist.

Hallo Zusammen,
ich habe eine Frage zur Konfiguration des Remotedesktopgateway.

Folgende Situation:
Mittelgroßes AD-Netz (alle Server W2K8R2) u.a. zwei Hyper-V Server.
Internetanbindung BK (100/5MBit, eine externe IP, leider nur dynamisch) an Securepoint UTM-Firewall.
Externe IP über intranet.firma.de erreichbar.

Es soll (zunächst nur zur Eprobungszwecken) der Remotedesktopgateway eingeführt werden.
Hierfür wurde ein virtueller W2K8R2 exklusiv zur Verfügung gestellt.

Mein erster Ansatz ist nun: Remotedesktopdienste und -Gateway installieren, durchkonfigurieren, und gut.
Die erste Frage anbei: Sitzunghost und Gateway auf gleichem Server möglich?
(Sicherheitsfrage ist bei der Erprobung erst noch sekundär)

Jetzt kommt aber das Problem:
Im Unternehmen wird bereits Exchange mit OWA, etc. eingesetzt.
Die Firewall leitet Port 443 hierfür an den Exchange weiter.
(https://intranet.firma.de/OWA funktioniert ganz normal)
Da nur eine externe IP verfügbar ist, ist demnach auch nur ein externer 443 verfügbar, der ist aber belegt.
Für diese Eprobung darf die aktuelle Konfiguration nicht geändert werden.
(RDP-Gateway mit auf dem Exchange oder ein ISA davor der per Header weiterleitet ist also nicht möglich)
Der RDP-Gateway muss also irgendwie "extern" von 443 runter.

Meine Überlegungen wären
A: Das gesamte RDP-Gateway-System auf einen anderen, freien Port legen.
B: Nur extern einen anderen Port nehmen und intern durch die Firewall auf 443 des neuen Servers umleiten lassen.

Hat hier jemand Erfahrungen oder Tipps?
(Man müsste ja mindestens den Port im RDP-Client eintragen - geht das?)


Vielen Dank und schöne Grüße,
Jan

P.S.: Was ich bisher gegoogelt habe deutet darauf hin, dass zumindest A nicht geht, direkt einen anderen Port für RDP-Gateway einstellen soll wohl erst in Server 8 kommen
Mitglied: maretz
25.06.2012 um 23:09 Uhr
wie wäre es mit nem einfachen VPN-Zugriff?
Bitte warten ..
Mitglied: jcvmaster
26.06.2012 um 00:51 Uhr
VPN-Zugriff wäre natürlich möglich, aber mit Abstand die zweite Wahl.
Auf dem RDP-Server sollen später zwei Apps laufen, auf die verschiedene "Externe" zugreifen sollen.
Ein VPN-Client soll also vermieden werden (wäre ein zweites Programm in der externen IT (Installationsprobleme, Firewallprobleme) und ein zweiter Anwahlschritt (DAUs).
Genau deshalb kam ja die Idee mit dem RDP-Gateway...
Bitte warten ..
Mitglied: maretz
26.06.2012 um 06:04 Uhr
Naja - dann gibts ja nur die möglichkeit des zweiten Ports... Da hast du natürlich den Spass das du jedem erklären musst wie er sich daran verbindet - und dazu noch die ganzen Script-Kiddys...

Was spricht denn gegen nen VPN? Das Externe darauf zugreiffen sollen ist ja nix ungewöhnliches für VPN (lass mich kurz nachdenken - ich würde fast soweit gehen und sagen dass das genau der SINN eines VPN ist!). Wenn du es Firewalltechnisch jetzt noch etwas klug anstellst - dann darfst du aus dem VPN nur genau einen Server erreichen (dein RDP).

Das mit dem zweiten Programm ist auch falsch - jedes normale System bringt eine VPN-Software mit (sei es MS Windows, Apple iPhone/iPad, Linux, Mac,...). Jetzt brauchst du also nur noch die Verbindung einrichten - und ich denke das nen zweiter Klick (falls du Benutzername/PW speichern lässt) auch für nen DAU verständlich. Und sollte euer externer Dienstleister es nicht schaffen - nun, dann würde ich sagen ist es der falsche Dienstleister.

Für mich führt an einem VPN nix vorbei wenn man interne Server auch externen zugänglich machen soll.. Diverse Angriffe haben gezeigt das es zu oft vorkommt das doch noch ne Lücke da war und schon ist der Server weg...
Bitte warten ..
Mitglied: Chris-75
26.06.2012 um 07:47 Uhr
Wir haben RD Gateway & Sitzungshost auf der gleichen Maschine laufen, kein Problem.
Und ob man nun Gateway oder VPN in Verbindung mit Name & Kennwort für die Einwahl benutzt ist sichherheitstechnisch gleichzustellen. VPN in Verbindung mit Zertifikaten wäre noch optimaler.
Bitte warten ..
Mitglied: Murzel
27.06.2012, aktualisiert um 23:39 Uhr
port fuer die dienste in der fw auf 40000+ legen und mit nat umleiten.
danach mit nem nmap scan oder deinem scanner der wall ;) ueberpruefen
am besten in der fw nur die externe- hoffentlich feste ip- freigeben

durch das nat brauchst du keine internen ports aendern

der rdp port kann in der registry fuer den server angepasst werden.
und als client kann man auch einen anderen port angeben.

-nachtrag
wieos port 443? rdp ist normalerweise tcp port 3389
443 ist https...hat nix mit rdp zu tun
Bitte warten ..
Mitglied: jcvmaster
27.06.2012 um 23:50 Uhr
Ja - so habe ich mir das auch schon gedacht (ist ja Ansatz B).
Es geht hier aber nicht um normales RDP sondern über den RDP-GATEWAY,
der verbindet mit TLS über 443 (HTTPS bzw. SSL-verschlüsselt).

Daher auch die Frage, ob das schon jemand gemacht hat:
- Den RDP-Gateway extern auf Port XXXXX legen
- Kann deser Port im Cient eingegeben werden (bei Verbindung über Gateway herstellen)

Im Zweifel werde ich das selber mal testen, wäre nur gut gewesen, wenn jemand direkt schon gewusst hätte obs geht
Bitte warten ..
Mitglied: Murzel
28.06.2012 um 00:13 Uhr
leg doch den internen port fuer das rdp gateway auf port xxxx
und dann denn externen port auf yyyy
dann ein portnat von yyyy auf xxxx
alles gut!
und wenn du den rdp port im was auch immer ein rdp gateway sein soll, nicht aendern kannst, steig auf linux um

da gät datt
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...