none
Přístup ke sdíleným adresářům z internetu a bez použití VPN

    Dotaz

  • Ahoj, potřeboval bych několika stovkám vybraných uživatelů zpřístupnit síťová sdílení i z internetu (stačí jen jednoduchý download a upload souborů). V lokální síti mají uživatelé na serveru (Windows Std. 2008R2) několik adresářů, které se na koncových stanicích automaticky (GPO v AD) mapují na síťové disky. Potřeboval bych k těmto sdílením vytvořit přístup i z internetu přes nějaký zabezpečený protokol (tzn. v žádném případě SMB) tak, aby se brala v potaz všechna NTFS oprávnění a ověřování uživatelů fungovalo oproti Active Directory. Co bych k tomuto účelu měl použít? WebDAV, FTP server s SSL nebo něco jiného?

    5. srpna 2012 16:12

Odpovědi

  • To Vatulak: ještě bych doplnil, že i klasický FTP, či FTPS ve windows se umí ověřovat v rámci Active Directory a má klasický FTP webové rozhraní s možností všech typů ověřování

    zde naleznete článek pro FTP user isolation, popisující i možnost Active Directory http://technet.microsoft.com/en-us/library/hh831729.aspx

    není to z tohoto článku úplně jasné a na internetu není mnoho návodů pro User Domain Isolation, takže Vám doporučuji velmi pěkně postavený screencast pana Michala Valáška, který naleznete na MSTV http://www.mstv.cz/ , nepopisuje v něm User Domain Isolation, ale izolaci pro LocalUser, neboť v hostingových řešení obvykle stačí klasická Lokální ověřování v IIS, nicméně princip je stejný


    12. srpna 2012 9:19
  • Ahoj,

    pro většinu lidí je naprosto nejjednodušší používat FTP. FTPS by pro ně neměl být nepřekonatelný problém, ale musíš počítat s tím, že třeba do takového Total Commanderu je nutné dohrát OpenSSL knihovny.

    Není možné použít např. Vzdálenou plochu?

    PS: proč nechceš využívat VPN?


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    5. srpna 2012 18:59
  • WebDAV ma neco do sebe, ale zda se mi, ze jeho nativni podpora byla funkcni naposled ve WinXP :(

    ftp mi prijde prilis velke riziko, i kdyz MS ftp server s klientem umeji sifrovany prenos hesla.

    MP


    5. srpna 2012 19:50
    Moderátor

Všechny reakce

  • Ahoj,

    pro většinu lidí je naprosto nejjednodušší používat FTP. FTPS by pro ně neměl být nepřekonatelný problém, ale musíš počítat s tím, že třeba do takového Total Commanderu je nutné dohrát OpenSSL knihovny.

    Není možné použít např. Vzdálenou plochu?

    PS: proč nechceš využívat VPN?


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Solututions Associate: Windows Server 2008
    MCP transcript, contact information, list of all Certifications

    5. srpna 2012 18:59
  • WebDAV ma neco do sebe, ale zda se mi, ze jeho nativni podpora byla funkcni naposled ve WinXP :(

    ftp mi prijde prilis velke riziko, i kdyz MS ftp server s klientem umeji sifrovany prenos hesla.

    MP


    5. srpna 2012 19:50
    Moderátor
  • 1. Pro WebDAV je schudna cesta pres plugin do Total Commanderu (uzivatele si nestezovali :-)   ):

    http://www.ghisler.com/plugins.htm

    2. A kdyz uz se odchylujeme of MS technologie, je cesta pres SSH a WinSCP na klientech. (To se da pouzit i zprikazove radky a tudiz z davky jako skript.)

    3. FTP v kabatku FileZilla se take nabizi http://filezilla-project.org/download.php?type=server

    M.

    5. srpna 2012 20:01
    Moderátor
  • Přenos obrazu u vzdálené plochy je zbytečná zátěž na linku navíc, kromě toho RDP trpí nebo trpělo značnými bezpečnostními chybami. VPN nechci protože je to zbytečné a pro uživatele hlavně příliš složité.
    5. srpna 2012 23:01
  • SFTP v SSH uzamčené do nějakého adresáře by bylo asi vůbec nejlepším řešením. Existuje SSH server, který by to uměl v kombinaci s AD autentizací?
    5. srpna 2012 23:07
  • zkus treba ICW OpenSSH

    MP

    6. srpna 2012 5:57
    Moderátor
  • webdav funguje nativně i pro Windows 7, před nedávnem jsem zkoušel, protože jsem ho potřeboval. Napadá mě Direct Access od Microsoftu by byla nejpohodlnější cesta



    8. srpna 2012 15:08
  • RDP:

    1. Window 7 a Windows 2008 R2 maji dve urovne zabezpeceni.

    2. U starsich operacnich systemu byla moznost dalsiho zabezpeceni prenosu, viz clanky od Russela Smitha ve Windows IT Pro (SSH,SSL)

    DirectAccess (DA):

    V puvodni otazce neni uvedeny operacni system klientu. DA bude mozne nasadit, pokud jsou klienti s operacnim systemem Windows 7.

    M.

    PS: SBS 2011 ma peknou fukcionalitu, ktera umoznuje vzdaleny pristup pres webove rozhrani, ovsem s omezenim 2GB (Remote Web Access File Sharing )

    12. srpna 2012 7:07
    Moderátor
  • To Vatulak: ještě bych doplnil, že i klasický FTP, či FTPS ve windows se umí ověřovat v rámci Active Directory a má klasický FTP webové rozhraní s možností všech typů ověřování

    zde naleznete článek pro FTP user isolation, popisující i možnost Active Directory http://technet.microsoft.com/en-us/library/hh831729.aspx

    není to z tohoto článku úplně jasné a na internetu není mnoho návodů pro User Domain Isolation, takže Vám doporučuji velmi pěkně postavený screencast pana Michala Valáška, který naleznete na MSTV http://www.mstv.cz/ , nepopisuje v něm User Domain Isolation, ale izolaci pro LocalUser, neboť v hostingových řešení obvykle stačí klasická Lokální ověřování v IIS, nicméně princip je stejný


    12. srpna 2012 9:19
  • Vůbec jsem neměl tu čest se setkat s SBS 2011, ale od SBS 2008 RWA, vidím velké zlepšení. Toto vidím jako komplexní řešení http://www.youtube.com/watch?v=dUAva3ukzlI

    12. srpna 2012 9:32