none
je mozne sdileni souboru/slozek jen pro uzivatele prihlasene pres TS?

    Dotaz

  • Zdravim,

    mam Windows Server 2008 fungujici jako terminal server na ktery se pripojuji klienti a pracuji na svych plochach s firemnim IS.

    Server je umisteny na paterni siti v datacentru server housingu s verejnou ip, neni tedy v zadne nasi siti ani za fw atd.

    V ramci trochu lepsiho zabezpeceni jsem zmenil umisteni v siti z "privatni"

    na "verejne", cimz se zastavily sluzby jako sdileni souboru atd - to je vsechno spravne. Problem je, ze vzhledem k tomu jak se microsoft

    predvedl se zalohovanim v serveru2008, musim zalohovat pouze pres nasdilenou slozku - pokud chci zalohovat do souboru a ne

    necitelneho disku zformatovaneho jako zalohovaci (coz nechci). Nicmene toto samozrejme ted prestalo fungovat, takze dotaz zni:

    - je mozne nejak jednoduse udelat sdilenou slozku, ale nevystavovat nic do celeho sveta? aby kdyz si nekdo zada \\ip_serveru zvenku aby se to ignorovalo,

    ale kdyz uzivatel TS zada \\server_name\sdilena_slozka aby to fungovalo? Nebo se tohle resi zakazovanim portu zvenku a povolenim

    celeho sdileni souboru a tiskaren?

     

    diky za napady

    pondělí 31. ledna 2011 12:42

Odpovědi

  • Ahoj,

    proč nezálohuješ tak, že se připojíš na VPN třeba k vám do firmy a pak nezálohuješ přes tu VPN ten server na normální sdílenou složku? Jinak sdílední souborů můžeš poměrně dobře zabezpečit už jenom tím, že přistup k portu nastavíš jen z určité IP adresy...a samozřejmě pak omezení uživatelů na tu sdílenou služku...

    pondělí 31. ledna 2011 12:46
  • klikaci vec je eye candy. admin pouzije wbadmin jak jsme jiz psali :)

    pokud pouzivas jen CIFS pak pro JEHO ZAKAZ STACI ZAKAZAT 445. Pokud pouzivas i SMB pres NetBIOS musis zakazat i http://support.microsoft.com/kb/204279

    MP

     

    • Označen jako odpověď xtas úterý 1. února 2011 8:37
    pondělí 31. ledna 2011 15:54
    Vlastník

Všechny reakce

  • Ahoj,

    proč nezálohuješ tak, že se připojíš na VPN třeba k vám do firmy a pak nezálohuješ přes tu VPN ten server na normální sdílenou složku? Jinak sdílední souborů můžeš poměrně dobře zabezpečit už jenom tím, že přistup k portu nastavíš jen z určité IP adresy...a samozřejmě pak omezení uživatelů na tu sdílenou služku...

    pondělí 31. ledna 2011 12:46
  • Pripadne pouzij IPSEC, presne od toho tam je a diky tomu ze CIFS uz nepotreuje UDP ale jen 445/TCP je to velmi snadne (alespon pokud pouzijes PSK)

    Necitelny disk? Jak zalohujes? Pres klikaciho wizarda nebo standardne pres wbadmin.exe?

    Zalohovanim pres CIFS se take zbavis moznosti inkrementalnich zaloh.

    MP

    pondělí 31. ledna 2011 14:17
    Vlastník
  • to je dost komplikovane reseni, rotuje mi 5 kompletnich zaloh (kazdy pracovni den) a kazda ma ~80GB, to je dost nerealny to tahat kazdy den do firmy.

    Ty zalohy mi rotuji na dalsim disku na serveru, a jednou za cas si tu kompletni zalohu stahnu do firmy - spis pro jistotu aby nebyly vsechny jenom

    na tom disku v serveru. Pristup z ip adresy nepotrebuju, kdyz to chci stahnout tak si rozjedu zabezpecene ftp a pres to si to pohodlne stahnu treba pres noc nebo vikend.

    pondělí 31. ledna 2011 15:26
  • ja bych to sdileni chtel zvenku uplne zakazat, neni zadnej duvod proc ho nechat funkcni - i kdyby bylo zabezpeceny. Proste idealne aby fungovalo jenom pro TS resp. mistni prihlaseny klienty.

    To zalohovani jsme uz resili myslim dokonce i spolu, potrebuju aby to byl soubor/slozka ktery muzu jednou za cas vzit a stahnout do firmy, disk ktery mi to zformatuje jako "backup disk" a je pro me tim padem necitelny - to je pro me nepouzitelne, pak by nebyla zadna zaloha mimo server. Mam to naskriptovany pres wbadmin prave proto ze to GUI nepodporuje zalohu do souboru. Inkrementalni zalohy moc nechci, ty kompletni mi vyhovuji vice - i kdyz vezmu v uvahu jejich nevyhody.

    pondělí 31. ledna 2011 15:34
  • A zkusil jsi zalohovani ze scriptu pomoci WBADMIN.EXE? Pak by zalohy mely byt normalne citelne

    MP

    pondělí 31. ledna 2011 15:39
    Vlastník
  • Ale ty zalohy se delaji do normalniho vhd souboru. Ten disk neni nijak zvlastne zformatovany...normalne mu zkus priradit pismenko a bezproblemu se na nej dostanes..

    aha.. kdyz jsem ty zalohy puvodne nastavoval tak jsem ten disk prestal videt, a jeste k tomu ta klikaci vec neumela rotovat zalohy tak jsem si to naskriptoval rucne coz je pro me uplne nejjednodussi. Ale jeste zpet k puvodnimu dotazu - takze povolit sdileni souboru a ve firewallu zakazat port 445 bude stacit? Ono to fungovalo uplne krasne, jenom se mi proste nelibi otevreny port 445..
    pondělí 31. ledna 2011 15:50
  • A zkusil jsi zalohovani ze scriptu pomoci WBADMIN.EXE? Pak by zalohy mely byt normalne citelne

    MP


    tak to mam ted udelane, akorat se mi nikdy nepodarilo do -backuptarget napsat jakoukoliv mistni cestu, vzalo mi to pouze UNC cestu s nazvem serveru, tedy \\server_name\nasdilena_slozka_pro_backup\zaloha1 atd, coz ale nevylucuje ze to nejde. Kdyby tam slo nejak nacpat treba g:\zaloha1 bylo by to uplne idealni a mohl bych zakazat veskere sdileni
    pondělí 31. ledna 2011 15:53
  • klikaci vec je eye candy. admin pouzije wbadmin jak jsme jiz psali :)

    pokud pouzivas jen CIFS pak pro JEHO ZAKAZ STACI ZAKAZAT 445. Pokud pouzivas i SMB pres NetBIOS musis zakazat i http://support.microsoft.com/kb/204279

    MP

     

    • Označen jako odpověď xtas úterý 1. února 2011 8:37
    pondělí 31. ledna 2011 15:54
    Vlastník
  • klikaci vec je eye candy. admin pouzije wbadmin jak jsme jiz psali :)

    pokud pouzivas jen CIFS pak pro JEHO ZAKAZ STACI ZAKAZAT 445. Pokud pouzivas i SMB pres NetBIOS musis zakazat i http://support.microsoft.com/kb/204279

    MP

     


    super. Tak jsem sdileni povolil, ve fw jsem zvenku zakazal 445 a 137-9 a jede to tak jak ma. dekuju
    úterý 1. února 2011 8:37