none
Fernzugriff auf Windows Server 2012 R2 Standart RRS feed

  • Frage

  • Hallo, 

    ich bin am verzweifeln! Ich habe einen kleinen Server für das (eher Hobbymäßige) Unternehmen meines Vaters eingerichtet. Solange wir alle lokal im Netzwerk sind funktioniert auch alles genau so, wie wir es wollen. 

    Leider sind wir aber zu 80% nicht in einem lokalen Netzwerk, so dass ich gerne mittels RDP auf den Server zugreifen würde, bzw. den Benutzern dies zur Verfügung stellen würde. 

    Die entsprechenden Lizenzen habe ich auch schon gekauft, allerdings komme ich einfach nicht weiter. 

    Hat hier jemand eine entsprechende (idiotensichere) Anleitung oder kann mit helfen? 

    Vielen Dank und liebe Grüße

    Leon Süs

    Sonntag, 12. Januar 2020 13:59

Alle Antworten

  • Um von außen einen Zugriff durchzuführen bedarf es einer statischen IP-Adresse am Eingangsrouter (häufig eine Fritzbox).

    Dies wäre mal zu prüfen, ob der Vertrag eine statische IP enthält.
    Ist dies nicht der Fall, kann man sich eine automatische Umleitung z.B. bei "spdns.de" einrichten.
    Dies entspricht dem DYNDNS, nur eben kostenlos.

    Die Fritzbox kann eine automatische Verbindung zu spdns.de aufbauen, so dass dein Netzwerk immer erreichbar ist.

    Bei spdns.de richtest du eine "Subdomäne" ein, wie z.B. "dieFirmaMeinesVaters", somit wäre dein Netzwerk per "dieFirmaMeinesVaters.spnds.de" erreichbar.

    Nun muss noch eine Portweiterleitung zum Server eingerichtet werden.
    RDP benutzt UDP/TCP 3389 als Verbindung.

    In der Fritzbox kann man dann den Port 3389 an die IP deines Servers durchrouten.

    Und schon kann man per "RDP dieFirmaMeinesVaters.spnds.de" eine Sitzung aufmachen.

    Zu beachten ist allerdings folgendes:
    "Die Tür mach auf die Tor mach weit"...

    M.a.W. dein Netzwerk wird da etwas anfälliger und du brauchst hier eine gute Firewall.

    Sonntag, 12. Januar 2020 14:10
  • Am 12.01.2020 schrieb LFS2001:

    Leider sind wir aber zu 80% nicht in einem lokalen Netzwerk, so dass ich gerne mittels RDP auf den Server zugreifen würde, bzw. den Benutzern dies zur Verfügung stellen würde. 

    Die entsprechenden Lizenzen habe ich auch schon gekauft, allerdings komme ich einfach nicht weiter. 

    Welche Lizenzen genau hast Du gekauft?

    Hat hier jemand eine entsprechende (idiotensichere) Anleitung oder kann mit helfen? 

    VPN ist das Zauberwort.
    https://de.wikipedia.org/wiki/Virtual_Private_Network Welche Hardware
    steht als Gateway ins Internet in der Firma?

    Einen DynDNS Account kann man grundsätzlich auch einrichten, aber ja
    keine Portweiterleitung vom Internetrouter an den Server machen.
    Schneller als Du guten Morgen sagen kannst, ist dein Server nicht mehr
    unter deiner Kontrolle. Lieber eine feste IP beantragen und eine
    vernünftige Firewall vor Ort anbringen. Wenn Du das selbst nicht
    kannst, beauftrage einen Dienstleister. Im Zug eines Workshops kann er
    das Teil einrichten und du lernst auch etwas dabei.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 12. Januar 2020 14:37
  • Mal sehen, welche Antwort da wieder nicht angezeigt wird;-).
    Sonntag, 12. Januar 2020 16:19
  • Für das VPN benötigst du aber ebenso entweder eine statische IP oder einen DynDNS/spdns-Eintrag.
    Die Gefahr des Eindringens habe ich bereits erwähnt. Wenn der Name der Subdomäne komplexer ist und man Benutzer und Kennwort des Servers ebenso den Sciherheitsstandards anpasst, ist die abgesicherte Port-Weiterleitung kein Problem.
    Ich betreibe auf diese Weise schon des längeren einen Web-Server zu Testzwecken und hatte (dank gutem Virenscanner) noch keine Angriffe zu verzeichnen.

    Für Mobilgeräte gibt es kaum kostenlose vernünftige VPN-Software, als Windows-Client nehme ich z.B. Shrew-Soft, das funktioniert auch mit Win10 und Fritz-VPN.

    Und zu guter letzt ließe sich der Port für RDP auch noch ändern.
    In der Fritz habe ich einen beliebigen Port auf einen speziellen Port bei der Weiterleitung gemappt.

    Beim Start von mstsc kann man den Port dann auch noch angeben:
    https://www.petri.com/use_rdp_client_to_connect_to_a_different_port

    Sonntag, 12. Januar 2020 16:35
  • Am 12.01.2020 schrieb Der Suchende:

    Für das VPN benötigst du aber ebenso entweder eine statische IP oder einen DynDNS/spdns-Eintrag.

    Eine statische IP ist sicherer als ein DynDNS Account.

    Die Gefahr des Eindringens habe ich bereits erwähnt. Wenn der Name der Subdomäne komplexer ist und man Benutzer und Kennwort des Servers ebenso den Sciherheitsstandards anpasst, ist die abgesicherte Port-Weiterleitung kein Problem.

    Ohne VPN ist das nicht verantwortbar. Niemand der halbwegs nach
    Sicherheit arbeitet, erstellt KEINE Portweiterleitung auf einer
    Fritzbox direkt im Internet.

    Ich betreibe auf diese Weise schon des längeren einen Web-Server zu Testzwecken und hatte (dank gutem Virenscanner) noch keine Angriffe zu verzeichnen.

    Du schreibst es richtig: zu Testzwecken.

    Für Mobilgeräte gibt es kaum kostenlose vernünftige VPN-Software, als Windows-Client nehme ich z.B. Shrew-Soft, das funktioniert auch mit Win10 und Fritz-VPN.

    Das ist eine Firma, die verdient Geld mit ihrer Arbeit, weshalb will
    alle Welt immer alles kostenlos haben, aber selbst nichts kostenlos
    anbieten? Nein, wenn man eine vernünftige und sichere Lösung haben
    möchte, muss man auch Geld dafür bezahlen. Ob viel oder wenig, liegt
    im Auge des Betrachters.

    Und zu guter letzt ließe sich der Port für RDP auch noch ändern.

    Ui, das hilft viel. Ich mache meine Augen zu und sag ich bin
    unsichtbar. Diese deine Vorschläge sind nicht tragbar im Jahr 2020.

    In der Fritz habe ich einen beliebigen Port auf einen speziellen Port bei der Weiterleitung gemappt.

    Kannst Du alles machen, für deine privaten Testzwecke, aber bitte
    nicht für eine Firma. Die müssen dann möglicherweise Konkurs anmelden,
    weil alles verschlüsselt wurde und es keine Datensicherung gibt.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 13. Januar 2020 21:18
  • Und wieder die Antwort nicht lesbar;-).
    Dienstag, 14. Januar 2020 07:50
  • Nun, alternativ kann man ja (auch mit der Fritz) eine DMZ einrichten, so dass die statische / Dyndns-Adresse gezielt an genau einen Server weitergeleitet wird. Das ist dann halt keine Portweiterleitung sondern eine "demilitarisierte Zone".
    Auch dies ist ein durchaus häufig angewandtes Verfahren.

    https://www.security-insider.de/was-ist-eine-dmz-demilitarized-zone-a-677267/

    Und mein Szenario beschreibt z.B. einen Web-Server, der i.d.R. nie per VPN erreichbar sein wird.
    Dienstag, 14. Januar 2020 07:54
  • Am 14.01.2020 schrieb Der Suchende:

    Und wieder die Antwort nicht lesbar;-).

    Beschwer dich bei MSFT, die schaffen es seit Jahren nicht die eigene
    Schnittstelle dauerthaft funktionstüchtig zu halten.
    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 16. Januar 2020 17:05
  • Am 14.01.2020 schrieb Der Suchende:

    Nun, alternativ kann man ja (auch mit der Fritz) eine DMZ einrichten, so dass die statische / Dyndns-Adresse gezielt an genau einen Server weitergeleitet wird. Das ist dann halt keine Portweiterleitung sondern eine "demilitarisierte Zone".
    Auch dies ist ein durchaus häufig angewandtes Verfahren.

    Häufig ist nicht gleichbedeutend mit richtig und sicher.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 16. Januar 2020 17:06
  • Demnach würdest du also auch keine Azure-Container verwenden, da man dort ja nicht per VPN sondern per Portmapping mit dynamischen Adressen einsteigt um sich dann anzumelden?
    Nun ja, Webserver sind ja eh alle einbruchsgefährdet, da ich ja nie mit irgendeinem VPN auf Web-Server zugreife.

    Also irgendwas verstehe ich da dann nun wirklch nicht;-).

    Da i.W. das gesamte WWW auf virtuellen Adressen, NAT und Portweiterleitungen basiert heißt dies nach dieser Prämisse: Lass man die Finger davon, das ist alles viel zu unsicher und das macht man ja nicht.

    Donnerstag, 16. Januar 2020 17:47