none
Problema de Conexión al Terminal Service en Win 2003 RRS feed

  • Pregunta

  • Hola tenga un buen día todos.

    Primeramente dejenme decirles que soy un novato en este mundo del Windows Server 2003. Y segundo mi problema es el siguiente; Tengo una PC HP Slimline s1036la con el Windows Server 2003  Enterprise Edition  SP2, mas 3 maquinas HP del mismo modelo con el Windows Vista Home Edition, de las cuales una está en otra red totalmente independiente de la LAN en la que se encuentra el Servidor. El asunto es, ¡¿Qué debo hacer para conectarme desde internet al Servidor?; tambien debo mencionarles que ya instale el Terminal Service, el cual funciona correctamente en la LAN, he configurado los usuarios de Acceso Remoto, he habilitado el puerto 3389 tanto en el router como en el Firewall, hice la verificacion y el resultado que me dio fue: Dir IP 0.0.0.0:3389, Dir.Remota 0.0.0.0, Estado Listening, PId: 3060. No se si esta correcto o algo anda mal.

    Ahora en la maquina con windows vista he habilitado la conexion Remota, en el Firewall esta habilitado el puerto UDP 3389. El mensaje que me sale cuando intento conectarme con la IP Pública, dice: "Este equipo no se puede conectar con el equipo remoto. Intente conectarse de nuevo. Si el problema continua pongase en contacto con el propietario del equipo remoto o con el admin.......".

    Como les comento no se aque se debe este problema, o que he pasado por alto o que hice mal; Agradecería obtener una solución.

     

    Gracias.

     

    miércoles, 2 de junio de 2010 23:17

Respuestas

  • Hola de nuevo,

    creo que el scan de puertos que recomende no verifica el puerto 3389 por eso no aparece listado pero lo importante es que hemos verificado la IP publica.

    No acabo de entender que esquema de red tienes montado cuando te refieres a una maquina que esta en otra red, ya que el tracert solo realiza un salto entre su red y la IP publica por lo que entiendo que esa red utiliza el mismo router como gateway.

    Intenta describirnos un poco mas tu topologia de red, es decir

    RED1:

    Rango IP local :

    Mascara de Subred

    Gateway :

    RED2:

    Rango IP local :

    Mascara de Subred

    Gateway :

    Servidor TS:

    IP:

    Mascara de Subred:

    Gateway:

    Estan unidas ambas redes de alguna manera?   

    Y describenos tambien la red exterior desde donde haces pruebas para conectarte al Servidor TS, es decir, es una conexion independiente de la de la compañia? de que tipo es la conexion?

    A ver si con toda esta informacion podemos hacer un esquema mental y detectar donde esta el fallo.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 4 de junio de 2010 18:23
    Moderador
  • Hola de nuevo,

    entiendo como lo teneis organizado, no obstante hay una cosa que no me encaja.

    Si desde la RED1 ejecutas el tracert 190.41.XXX.XX (IP Publica del router de RED2) y solo se realiza un salto y ademas de solo 2 milisegundos, no me encaja en absoluto. Aunque ambas conexiones sean del mismo ISP para saltar de una a otra almenos deberias salir por el router de RED1-->llegar a un router del ISP--> y saltar de nuevo al router de RED2, en el mejor de los casos creo que habria 3 saltos como minimo, por eso no entiendo que solo haya un salto, eso significa que ese equipo de la RED1 tiene conexion directa con el router 190.41.XXX.XX (de la RED2) por lo tanto algo estamos haciendo mal ya que tu afirmas que ambas redes son independientes, entonces o realmente no lo son, o es que ese router no es el de la RED2 sino que es el de la RED1.

    Supongo que lo tienes mas que comprobado, pero podrias verificar de nuevo que la IP publica a la que intentas conectarte 190.41.XXX.XX es la del router de RED2?  es decir con el PC cliente conectado en RED2, puedes verificar la IP Publica con la web que te puse antes para el scan de puertos? puedes entrar en el router usando la IP que tienes como gateway y verificar que es en ese router donde has realizado la entrada NAT?   es que tengo la sospecha de que quizas hay una confusion con los routers y el que crees que es el de RED1 es el de RED2 y viceversa, de ahi que internamente puedas conectarte pero externamente no.

    Verifica si puedes esto que te comento y el lunes retomamos el tema.

    Buen fin de semana!!

     

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    sábado, 5 de junio de 2010 0:12
    Moderador

Todas las respuestas

  • Hola,

    una puntualizacion. En el router has creado la entrada NAT correspondiente? Debes entrar en la configuracion del router y crear una regla para que las peticiones que lleguen al puerto externo del router 3389 TCP/UDP (ojo, no solo UDP como tu comentas) se redirijan al mismo puerto de la IP local del servidor Terminal Server. De la misma manera, en los firewalls que puedas tener en medio ( router, TS, etc... ) debes permitir ese puerto para ambos protocolos TCP y UDP. Pruebalo porque por lo que comentas, si ya te funciona en LAN, estas muy cerca de conseguirlo.

    Saludos!!


    MCTS: Windows Server 2008 Active Directory, Configuring
    jueves, 3 de junio de 2010 7:23
    Moderador
  • Buen día amigo Pep.

    Te cuento que si he configurado lo puertos TCP/UPD, tanto en el router que es de la marca Huawei y en el Firewall del sistema operativo del servidor y de la maquina cliente. Y ahora actualmente ya no puedo conectarme a través de la LAN

     

    jueves, 3 de junio de 2010 15:16
  • Hola,

    en las estaciones, a menos que tengas activado por directiva que se prohiban todas las salidas, no se suele configurar el firewall cuando se trata de conexiones salientes, ya que estas siempre estan permitidas. En el Servidor en cambio, si que hay que configurar el firewall para que permita solo las conexiones entrantes para el puerto que necesites, en este caso el 3389.

    Vamos a intentar diagnosticar primero el problema que impide la conexion desde la LAN ok? luego verificaremos el router.

    Has probado a desactivar temporalmente el firewall del servidor y tratar de conectar desde la LAN para verificar si se trata de un problema de configuracion del firewall? el mensaje sigue siendo el mismo o ha cambiado?

    Ejecuta el siguiente comando en el servidor, en una venta de comandos, y peganos aqui la salida 

    netstat

    Espero tus respuestas

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    jueves, 3 de junio de 2010 15:35
    Moderador
  • Permiso, Pep.

    Mejor que ejecute un "netstat -noa", que le mostrará el PID del proceso que abre cada puerto, y te ayudará a saber qué programa hace qué.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    jueves, 3 de junio de 2010 15:55
    Moderador
  • Hola, que tipo de ip publica usas? Contrataste algun servicio que te la proporcione? Es fija o dinamica? Por el error que te da, me inclino a que tu problema es porque no resuelve tu peticion desde internet a la ip publica que le apuntas. Para conectarte usas el escritorio remoto de windows?

    Saludos.


    Emanuel Weber IT Support
    jueves, 3 de junio de 2010 15:55
  • Hola amigos, tengan Uds. muy buenas tardes.

    Amigo Pep, ya solucione el problema de la conexión LAN, el asunto que el administrador de redes me cambio de red(PC cliente), por lo del servidor no tengo problema al conectarme con o sin en Firewall habilitado, Así que lo deje activado. Según tu recomendación dejo los resultados de ejecutar el comando "netstat" y el "netstat -noa" sugerido por el amigo Marc.

    Te comento que aun no puedo conectarme desde la WAN al servidor.

    C:\Documents and Settings\Administrador>netstat -noa

    Conexiones activas

      Proto  Dirección local          Dirección remota        Estado           PID
      TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1300
      TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       736
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       476
      TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1300
      TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       1776
      TCP    0.0.0.0:1583           0.0.0.0:0              LISTENING       1396
      TCP    0.0.0.0:3351           0.0.0.0:0              LISTENING       1396
      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       2220
      TCP    0.0.0.0:4474           0.0.0.0:0              LISTENING       864
      TCP    127.0.0.1:1028         0.0.0.0:0              LISTENING       2324
      TCP    192.168.1.89:135       192.168.1.89:1030      ESTABLISHED     736
      TCP    192.168.1.89:139       0.0.0.0:0              LISTENING       4
      TCP    192.168.1.89:1030      192.168.1.89:135       ESTABLISHED     2832
      UDP    0.0.0.0:161            *:*                                    1444
      UDP    0.0.0.0:445            *:*                                    4
      UDP    0.0.0.0:500            *:*                                    476
      UDP    0.0.0.0:3456           *:*                                    1300
      UDP    0.0.0.0:4500           *:*                                    476
      UDP    127.0.0.1:123          *:*                                    848
      UDP    127.0.0.1:3456         *:*                                    1300
      UDP    192.168.1.89:123       *:*                                    848
      UDP    192.168.1.89:137       *:*                                    4
      UDP    192.168.1.89:138       *:*                                    4

    C:\Documents and Settings\Administrador>
    C:\Documents and Settings\Administrador>netstat

    Conexiones activas

      Proto  Dirección local        Dirección remota       Estado
      TCP    serversig:epmap        serversig:1030         ESTABLISHED
      TCP    serversig:1030         serversig:epmap        ESTABLISHED

     

    Ahora respondiendo al amigo Emanuel.

    La ip que tiene la red LAN actual no es pública, es una IP dinámica; pero tengo entendido que hay otra linea con IP pública o Fija ya que tiene un Speedy Business, está no es la red que usa el servidor. Y para conectarme al Servidor desde la LAN uso la "Conexión a Escritorio Remoto" de Windows Vista.

    Ahora estuve leyendo por la nube que hay que hacer una configuración de DNS, no sé si es parte del problema de conexión. Estare muy atento a sus respuestas, y de antemano agradecer su colaboración y desprendimiento de información. me siento muy bien al obtener respuestas. Gracias.

    Saludos. 

    jueves, 3 de junio de 2010 17:58
  • Hola,

    netstat -noa es mejor como bien comenta Marc ya que proporciona mas informacion. Lo importante era obtener esta linea

    TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       2220

    que nos confirma que el equipo esta escuchando en el puerto 3389, si desde la LAN te funciona correctamente entonces tiene que ser un problema en el router o en el modus operandi del proceso de conexion.

    En el Router, has realizado la entrada en la tabla NAT, puedes copiar y pegarla tambien?

    El router, tiene algun tipo de firewall integrado? en caso afirmativo, has creado una regla que permita el trafico TCP por el puerto 3389? puedes pegarla aqui tambien?

    La conexion desde el exterior la realizas especificando la IP publica o introduces un nombre de equipo?

    Para resolver tu problema de conexion desde el exterior, de momento utiliza solo la IP publica hasta que consigamos que conectes con el servidor asi que verifica la IP publica (WAN) que tiene el router donde has configurado la entrada NAT.

    Para poder utilizar un nombre DNS desde el exterior cuando la IP publica es dinamica ( cambia periodicamente, normalmente cuando se reinicia el router ) debes recurrir a un servicio del estilo http://www.dyndns.com/  que se encargaran de tener un registro DNS publico actualizado con la IP de tu router. Muchos routers incorporan esa funcionalidad de manera que esta caracteristica se puede configurar en ellos directamente y son ellos los que se encargan de actualizar la IP  en el servicio DNS publico cuando esta cambia.

    Saludos!!


    MCTS: Windows Server 2008 Active Directory, Configuring
    jueves, 3 de junio de 2010 18:15
    Moderador
  • Hola,

    En el router, hice la siguiente configuración, en la tabla NAT.

     Virtual Server Listing

    Rule Application Protocol Start Port End Port Local IP Address Start Port(Local) End Port(Local)
    1 teletranfer TCP 3389 3389 192.168.1.89 3389 3389
    2 TELNET TCP 23 23 192.168.1.121 23 23
    3 test ALL 4490 4490 192.168.1.151 4490 4490
    4 TELNET TCP 20 20 192.168.1.121 20 20
    5 TELNET TCP 21 21 192.168.1.121 21 21
    6 TELNET UDP 20 20 192.168.1.121 20 20
    7 TELNET UDP 21 21 192.168.1.121 21 21
    8 teletransfer2 UDP 3389 3389 192.168.1.89 3389 3389
    9 TELNET UDP 23 23 192.168.1.121 23 23
    10 - TCP 1723 1723 192.168.1.121 1723 1723
    11 - UDP 47 47 192.168.1.121 47 47
    12 - ALL 7547 7547 192.168.1.1 7547 7547

     

    Ahora en el firewall del router, te cuento que esta deshabilitado. Tambien redireccione el NAT-DMZ a la direccón IP (LAN) del servidor.

    La conexión intento hacerla desde la WAN a través de la dirección pública que la obtuve en la web http://www.midireccionip.com/, ya que la dirección es dinámica. Y no hay conexión me sale el mensaje "Intente conectarse nuevamente".

    Saludos.

    jueves, 3 de junio de 2010 20:49
  • Hola,

    La tabla NAT parece que esta correcta en cuanto a la redireccion del puerto 3389, supongo que no tienes pendiente guardar ningun cambio o aplicar los cambios para que se hagan efectivos en el router,verdad?.

    Por si acaso, entra en el router y verifica la IP asignada por el ISP en el enlace WAN, no te fies al 100% de esas paginas que te muestran tu IP porque tu ISP puede estar haciendote pasar por un Proxy y la direccion mostrada seria incorrecta, verificalo dentro del router y comprueba si es la misma.

    En las propiedades de la conexion a escritorio remoto, en el equipo cliente,  asegurate de introducir el usuario en formato  DOMINIO\Usuario y que ese usuario pertenezca al grupo Usuarios de Escritorio remoto del servidor.

    Prueba y nos comentas

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    jueves, 3 de junio de 2010 21:20
    Moderador
  • Hola,

    En el router no hay dirección fija especifica como podras darte cuenta en la información adjunta de la WAN Setting, obtiene la direccion de forma dinámica. y el IGMP proxy esta deshabilitado.

    IP Address

    Default Route <input checked="checked" name="wan_DefaultRoute" type="radio" value="YES" />Enable <input name="wan_DefaultRoute" type="radio" value="No" />Disable
    NAT <input checked="checked" name="wan_NAT" type="radio" value="YES" />Enable <input name="wan_NAT" type="radio" value="No" />Disable

    <input onclick="function onclick() { doWANIPAddr(this.form); }" checked="checked" name="wan_DynIP" type="radio" value="DynamicIP" />Obtain an IP  Address

     Automatically

    <input onclick="function onclick() { doWANIPAddr(this.form); }" name="wan_DynIP" type="radio" value="StaticIP" />Static IP Address
    IP Address <input class="tableinputvalue" disabled="disabled" maxlength="15" name="wan_StaticIP" size="15" type="text" value="0.0.0.0" />
    Subnet Mask <input class="tableinputvalue" disabled="disabled" maxlength="15" name="wan_SubnetMask" size="15" type="text" value="0.0.0.0" />
    Gateway <input class="tableinputvalue" disabled="disabled" maxlength="15" name="wan_Gateway" size="15" type="text" value="0.0.0.0" />
    Connection
    <input onclick="function onclick() { WANChkIdleTime(this.form); }" checked="checked" name="wan_ConnectSel" type="radio" value="Conn_on_Demand" />Connect on Demand: Max Idle Timeout <input class="tableinputvalue" maxlength="5" name="wan_IdleTime" size="5" type="text" value="60" />Minutes
    <input onclick="function onclick() { WANChkIdleTime(this.form); }" name="wan_ConnectSel" type="radio" value="Conn_Keep_Alive" />Nailed-Up Connection
    <input onclick="function onclick() { WANChkIdleTime(this.form); }" name="wan_ConnectSel" type="radio" value="ConnectManually" />Connect Manually
    TCP MSS Option
    TCP MSS(0 means use default) <input class="tableinputvalue" maxlength="5" name="wan_TcpMSS" size="5" type="text" value="1400" />bytes
    MTU Option
    MTU(0 means use default) <input class="tableinputvalue" maxlength="4" name="wan_TCPMTU" size="5" type="text" value="0" />bytes
    RIP
    RIP <input onclick="function onclick() { doRIPEnable(this.form); }" name="wan_RipEnable" type="radio" value="YES" />Enable <input onclick="function onclick() { doRIPEnable(this.form); }" checked="checked" name="wan_RipEnable" type="radio" value="No" />Disable
    RIP Version <select disabled="disabled" multiple="0" name="WAN_RipVer_Sel" size="1"><option selected="selected" value="00000000">RIP-1</option><option value="00000001">RIP-2B</option><option value="00000002">RIP-2M</option></select>
    RIP Direction <select disabled="disabled" multiple="0" name="WAN_RipDir_Sel" size="1"><option selected="selected" value="00000000">BOTH</option><option value="00000001">IN ONLY</option><option value="00000002">OUT ONLY</option></select>
    Multicast
    IGMP proxy <input name="wan_MulticastEnable" type="radio" value="YES" />Enable <input checked="checked" name="wan_MulticastEnable" type="radio" value="No" />Disable
    <input onclick="function onclick() { doSubmit(0); }" name="wan_Save" type="button" value="Submit" />    <input onclick="function onclick() { doSubmit(1); }" name="wan_DelNode" type="button" value="Delete" />    <input name="DeleteFlag" type="hidden" value="0" /><input name="HG520CH_SPECIAL_Flag" type="hidden" value="0" /><input name="EnableConfigFlag" type="hidden" value="1" />

    He probado conectarme desde internet y no hay conexón, Dime una cosa amigo Pep, tambien debe estar habilitado el puerto 3389 desde el router que estoy haciendo la conexión hacia el Servidor?

    Saludos.

    jueves, 3 de junio de 2010 22:29
  • Hola,

    soy incapaz de ver correctamente la informacion que has pegado, no obstante te comento. Todos los routers tienen una IP WAN, sea fija o sea dinamica cuando se registran con el ISP obtienen esa configuracion por lo que quizas en ese router debas buscar en algun otro apartado para encontrarla, puedes ver si tiene un apartado de Status o de Log donde quede registrada la IP que recibe al conectarse, si no lo encuentras deberemos confiar en que es la que te muestra la web que comentas pero estoy seguro que se puede visualizar en algun apartado. Si nos comentas el modelo y marca de router podemos intentar buscar un manual donde nos indique. Tambien podrias proporcionarnos los 2 primeros grupos de la IP ( no pongas los 4 para preservar tu privacidad)  para que verifiquemos que se trata de una IP del rango publico.

    Si el router desde el que te conectas no tiene creada algun tipo de regla que explicitamente bloquee las conexiones salientes no deberias cambiar nada ya que por defecto los routers suelen permitir todas las conexiones salientes sea al puerto que sea y solo protegen por defecto ante conexiones entrantes, no obstante revisa ese router en busca de alguna regla que pueda bloquear algun puerto o algun firewall que pueda estar activado de alguna manera restrictiva pero no haria falta crear una entrada NAT ya que desde ese router trabajas como cliente y no como servidor.

    Vamos a hacer dos pruebas mas,

    desde un ordenador interno que utilice como salida a internet el mismo router que utiliza el servidor TS, navega hasta esta pagina web http://www.upseros.com/portscan.php  y deja que realize un scan de puertos, en el resultado verifica 3 cosas:

    1.- Si la IP que te muestra en la parte superior del resultado es la misma que la pagina que tu comentas.

    2.- Si te hace mencion ( debajo de la IP) a la deteccion de una conexion directa o a traves de un Proxy-cache.

    3- Si el puerto 3389 este abierto publicamente.

    Desde el puesto cliente exterior ( el que utilizas para conectarte a la IP publica), realiza la siguiente prueba, en una ventana de comandos ejecuta el siguiente comando y copia aqui el resultado.

    tracert  IP_Publica

    Saludos!!

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 4 de junio de 2010 10:54
    Moderador
  • Hola sigo pensando que el problema lo tenes en tu ip publica con la cual te queres conectar desde afuera. Te recomendaria que trates de tenes una ip publica, si no la puedes contratar hay varios sitios que te proporcionan un nombrede dominio el cual usas siempre para conectarte. Eso de estar mirando la ip que te proporciona tu ISP mo me parece comodo, y mas si es dinamico. Como te dice Pep tampoco te fies de esa informacion que te aparece un 100%.

    Saludos


    Emanuel Weber IT Support
    viernes, 4 de junio de 2010 11:41
  • Hola amigo Pep.Ya hice el scan, y la dirección IP que muestra es la misma que me muestra la pagina y la que encontre en el Router(Huawei EcholLife HG520b) Status/Service Information/WAN Interface/IP Adress: 190.41.XXX.XX.Tambien debo mencionarte que el puerto 3389 no aparece por ningún lado.
     Scan de: 190.41.XXX.XX [190.41.XXX.XX]
    << Hemos detectado que tu conexión web a Internet es directa y sin ningún proxy-caché delante >>
     Resultados del Scanner de Puertos
      Puerto Servicio - Estado Observaciones
       20  FTP Data    CERRADO  Utilizado por FTP para la transmisión de datos en modo pasivo.
       21  FTP    CERRADO  Los servidores FTP tienen muchas vulnerabilidades de seguridad conocidas. Un servidor FTP mal configurado puede permitir a un atacante transferir ficheros, troyanos, programas, etc...
       22  SSH    CERRADO  Secure Shell, un sistema de telnet encriptado. Si no está bien configurado puede permitir ataques por fuerza bruta a la cuenta de administrador de tu sistema.
       23  Telnet    CERRADO  Telnet proporciona una ventana de comandos para el control remoto de un sistema. Cualquier sistema que aparente tener una conexión Telnet atraerá sin duda la atención de cualquier intruso.
       25  SMTP    CERRADO  Los servidores SMTP (Simple Mail Transfer Protocol) tienen una larga trayectoria de vulnerabilidades. Cualquier intruso examinará detenidamente este puerto en tu máquina.
       53  DNS    CERRADO  Servicio para traducir los nombres de servidores en direcciones IP.
       59  DCC    CERRADO  Utilizado principalmente en programas de comunicación para transferir ficheros.
       79  Finger    CERRADO  El servicio Finger es una antigua fuente de información en Internet. Se usa frecuentemente como un punto de comienzo para un ataque, dado que un Finger algunas veces proporciona al atacante nombres para adivinar contraseñas.
       80  HTTP    INVISIBLE  Cada día se descubren nuevos fallos de seguridad en los servidores web. Si no usas este servicio en tu máquina es aconsejable que lo desactives.
       110  POP3    CERRADO  Este puerto corresponde al servicio de correo POP3. Como cualquier otro puerto abierto supone un riesgo, sobre todo si se usa un servidor POP inseguro.
       113  IDENT    CERRADO  Servicio de Identificación/Autorización - Los servidores de Internet como POP, IMAP, SMTP e IRC consultan este puerto en respuesta a conexiones de clientes. Nunca debe estar abierto dado que es una fuente tremenda de escape de información. Los cortafuegos tradicionales lo mostrarán cerrado; sólo los más nuevos y sofisticados son capaces de camuflar este puerto contra escaneos aleatorios a la vez que lo muestran cerrado a las peticiones de los servidores válidos.
       135  RPC    INVISIBLE  Remote Procedure Call. Este puerto imposible de cerrar aparece en la mayoría de los sistemas Windows. Dado que muchos servicios inseguros de Microsoft utilizan este puerto, nunca debe permanecer abierto al exterior. Dado que es imposible cerrarlo, necesitarás un cortafuegos para bloquearlo de los accesos externos.
       139  NetBIOS    CERRADO  NetBIOS se utiliza para compartir ficheros a través de tu entorno de red. Si estás conectado a Internet con este puerto abierto, es probable que estés compartiendo los datos de todo tu disco duro con todo el mundo. Ciérralo cuanto antes.
       143  IMAP    CERRADO  El IMAP (Internet Message Access Protocol) es probablemente el puerto más escaneado después del 139 (NetBIOS). IMAP es un sistema relativamente nuevo, y dado que sus servidores no han tenido tiempo para madurar, este puerto abierto en tu sistema acapara gran atención para los intrusos.
       443  HTTPS    CERRADO  La presencia de este puerto de web segura en tu sistema implica que tu sistema establece conexiones seguras con los navegadores web. Este puerto no debería estar abierto a menos que realmente lo estés utilizando para comercio seguro via web.
       445  MSFT DS    INVISIBLE  Server Message Block. En Windows 2000, Microsoft añadió la posibilidad de ejecutar SMB directamente sobre TCP/IP sin la capa extra de NBT.
       1080  Socks    INVISIBLE  Servicio de proxy.
       5000  UPnP    INVISIBLE  El Universal Plug'n'Play es un protocolo de Microsoft para permitir a los PC's descubrir y controlar automáticamente un amplio rango de periféricos. Microsoft ha activado este protocolo por defecto (incluso si tu sistema no lo necesita) y tu sistema está expuesto a múltiples vulnerabilidades y ataques remotos. Es muy aconsejable que lo desactives.
       8080  WebProxy    INVISIBLE  Este puerto abierto puede permitir a otras personas utilizar tu ordenador para ocultar su IP real a los servidores web.

     

    Desde la maquina que esta en otra red, aplicando el comando sugerido el resultado es el siguiente:

    C:\Users\admin>tracert 190.41.XXX.XX

    Traza a 190.41.XXX.XX sobre caminos de 30 saltos como máximo.

      1     2 ms     2 ms     1 ms  190.41.XXX.XX

    Traza completa.

    C:\Users\admin> 

    Estando en la red LAN del Servidor, también puedo conectarme al colocar la Dirección IP Pública: 190.41.XXX.XX

    Saludos.

    viernes, 4 de junio de 2010 15:47
  • Hola de nuevo,

    creo que el scan de puertos que recomende no verifica el puerto 3389 por eso no aparece listado pero lo importante es que hemos verificado la IP publica.

    No acabo de entender que esquema de red tienes montado cuando te refieres a una maquina que esta en otra red, ya que el tracert solo realiza un salto entre su red y la IP publica por lo que entiendo que esa red utiliza el mismo router como gateway.

    Intenta describirnos un poco mas tu topologia de red, es decir

    RED1:

    Rango IP local :

    Mascara de Subred

    Gateway :

    RED2:

    Rango IP local :

    Mascara de Subred

    Gateway :

    Servidor TS:

    IP:

    Mascara de Subred:

    Gateway:

    Estan unidas ambas redes de alguna manera?   

    Y describenos tambien la red exterior desde donde haces pruebas para conectarte al Servidor TS, es decir, es una conexion independiente de la de la compañia? de que tipo es la conexion?

    A ver si con toda esta informacion podemos hacer un esquema mental y detectar donde esta el fallo.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 4 de junio de 2010 18:23
    Moderador
  • Hola Pep,

    Te cuento que hay 2 servicios contratados, cada uno tiene su línea telefónica, modem, router y sus respectvos switch, la Red 1 es una Servicio Speedy Business con IP fija, y la Red 2 es una speedy Comercial de 600 Kbps, con IP dinámica, ambas redes son totalmente independientes uno de la otra.

    Ahora el Server TS está en la Red 2 junto con las maquinas clientes, donde el rango de IP locales son 192.168.1.1/255, la mascara de sub red: 255.255.255.0

    Lo mismo es en el caso de la RED 1, con la diferencia que esa si tiene una IP Fija.

    Yo al conectarme al router de la RED 1  es como estar en cualquier otro sitio conectado a INTERNET, ya que son totalmente independientes, no tiene ningun tipo de conexión; digo al conectarme, por que voy al área informática, desconecto el cable de la RED 2 que va a la PC cliente y lo conecto a la RED 1, y viceversa; para hacer las pruebas de conexión al servidor desde internet. ya que, como te mensione anteriormene la RED 1 y RED 2 son independientes

    De ahí que es el problema de conectarnos al servidor a través de internet o desde otra red que puede estar en otra ciudad, desde luego usando una conexión a internet.

    Dejame agradecer tus alternativas de solución.

    Saludos

     

    viernes, 4 de junio de 2010 20:43
  • Hola de nuevo,

    entiendo como lo teneis organizado, no obstante hay una cosa que no me encaja.

    Si desde la RED1 ejecutas el tracert 190.41.XXX.XX (IP Publica del router de RED2) y solo se realiza un salto y ademas de solo 2 milisegundos, no me encaja en absoluto. Aunque ambas conexiones sean del mismo ISP para saltar de una a otra almenos deberias salir por el router de RED1-->llegar a un router del ISP--> y saltar de nuevo al router de RED2, en el mejor de los casos creo que habria 3 saltos como minimo, por eso no entiendo que solo haya un salto, eso significa que ese equipo de la RED1 tiene conexion directa con el router 190.41.XXX.XX (de la RED2) por lo tanto algo estamos haciendo mal ya que tu afirmas que ambas redes son independientes, entonces o realmente no lo son, o es que ese router no es el de la RED2 sino que es el de la RED1.

    Supongo que lo tienes mas que comprobado, pero podrias verificar de nuevo que la IP publica a la que intentas conectarte 190.41.XXX.XX es la del router de RED2?  es decir con el PC cliente conectado en RED2, puedes verificar la IP Publica con la web que te puse antes para el scan de puertos? puedes entrar en el router usando la IP que tienes como gateway y verificar que es en ese router donde has realizado la entrada NAT?   es que tengo la sospecha de que quizas hay una confusion con los routers y el que crees que es el de RED1 es el de RED2 y viceversa, de ahi que internamente puedas conectarte pero externamente no.

    Verifica si puedes esto que te comento y el lunes retomamos el tema.

    Buen fin de semana!!

     

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    sábado, 5 de junio de 2010 0:12
    Moderador
  • Hola amigo Pep, que tengas buen día.

    He estado verificando los puntos que me has expuesto, y  todo esta conectado correctamente, yo tambien pensaba los mismo; pero no, esta OK. 

    /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    Ahora haciendo el tracert 190.41.xxx.xx IP pública de la RED 2(IP Dinámica), desde la RED 1(Con IP 200.121.xx.xxx) tengo el siguiente resultado

    C:\Users\admin>tracert 190.41.XXX.XX

    Traza a 190.41.XXX.XX sobre caminos de 30 saltos como máximo.

      1    <1 ms    <1 ms    <1 ms  192.168.1.1
      2     *        *        *     Tiempo de espera agotado para esta solicitud.
      3     *        *        *     Tiempo de espera agotado para esta solicitud.
      4     *        *        *     Tiempo de espera agotado para esta solicitud.
      5     *        *        *     Tiempo de espera agotado para esta solicitud.
      6     *        *        *     Tiempo de espera agotado para esta solicitud.
      7     *        *        *     Tiempo de espera agotado para esta solicitud.
      8     *        *        *     Tiempo de espera agotado para esta solicitud.
      9     *        *        *     Tiempo de espera agotado para esta solicitud.
     10     *        *        *     Tiempo de espera agotado para esta solicitud.
     11     *        *        *     Tiempo de espera agotado para esta solicitud.
     12     *        *        *     Tiempo de espera agotado para esta solicitud.
     13     *        *        *     Tiempo de espera agotado para esta solicitud.
     14     *        *        *     Tiempo de espera agotado para esta solicitud.
     15     *        *        *     Tiempo de espera agotado para esta solicitud.
     16     *        *        *     Tiempo de espera agotado para esta solicitud.
     17     *        *        *     Tiempo de espera agotado para esta solicitud.
     18     *        *        *     Tiempo de espera agotado para esta solicitud.
     19     *        *        *     Tiempo de espera agotado para esta solicitud.
     20     *        *        *     Tiempo de espera agotado para esta solicitud.
     21     *        *        *     Tiempo de espera agotado para esta solicitud.
     22     *        *        *     Tiempo de espera agotado para esta solicitud.
     23     *        *        *     Tiempo de espera agotado para esta solicitud.
     24     *        *        *     Tiempo de espera agotado para esta solicitud.
     25     *        *        *     Tiempo de espera agotado para esta solicitud.
     26     *        *        *     Tiempo de espera agotado para esta solicitud.
     27     *        *        *     Tiempo de espera agotado para esta solicitud.
     28     *        *        *     Tiempo de espera agotado para esta solicitud.
     29     *        *        *     Tiempo de espera agotado para esta solicitud.
     30     *        *        *     Tiempo de espera agotado para esta solicitud.

    Traza completa.

    ///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    Y haciendo el tracert 200.121.xx.xxx IP pública de la RED 1(IP Fija), desde la RED 2(Con IP 190.41.XXX.XX) tengo el siguiente resultado

    C:\Documents and Settings\Administrador>traCERt 200.121.XXX.XXX

    Traza a la dirección mail.abcd.xyz.pe [200.121.XXX.XXX]
    sobre un máximo de 30 saltos:

      1    <1 ms    <1 ms    <1 ms  192.168.1.1
      2     *        *        *     Tiempo de espera agotado para esta solicitud.
      3     *       22 ms    19 ms  mail.abcd.xyz.pe [200.121.XXX.XXX]

    Traza completa.

    C:\Documents and Settings\Administrador>

     

    Debo mencionarte que no puede haber tal confusión porque no tengo acceso al router de la RED-1.

    Que tengas un buen día.

     

    lunes, 7 de junio de 2010 15:54
  • Hola OEF_UJCM, por casualidad alguien no habra cambiado el puerto por el que escucha el servicio de TS en el registro del servidor? Se que lo que te estoy preguntando se va un poco del contexto por donde estan mirando Pep y vos, pero quizas....

    Saludos!


    Emanuel Weber IT Support
    lunes, 7 de junio de 2010 16:12
  • Que tal Emnanuel, explicame un poco mas del Registro del Servidor del Servicios del TS, Si te refieres al Firewall los permisos estan habilitados tanto como UDP/TCP, si hay otro lugar donde tengo que configurar, estaré muy atento a tu respuesta.

    Gracias y Saludos.

     

    lunes, 7 de junio de 2010 16:40
  • Que tal, lo que te digo del registro es que quizas alguien lo haya cambiado antes al valor del puerto por donde escucha TS. Por defecto este valor viene con el puerto 3389 pero es posible cambiarlo entrando a esta clave de registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    Ahi dentro busca la subclave PortNumber y ahi te va a aparecer un valor en hexadecimal, ponele el tilde en decimal y te va a aparecr el numero del puerto por el cual escucha el TS. Si es distinto al numero del puerto que configuraste en tu lista NAT y en el firewall no podras ingresar.
    Para mas info de esto entra aca: http://support.microsoft.com/kb/187623/es
    Chequea esto y comentame.
    Saludos.

    Emanuel Weber IT Support
    lunes, 7 de junio de 2010 17:00
  • Hola,

    Bueno te cuento que el  puerto no se ha cambiado para nada, ya que el SO no tiene ni 2 meses de instalado y solo hay dos persona que tienen acceso al Server del las cuales. una de ellas soy yo. Por lo que mensionas todo esta conforme.

    Gracias y Saludos cordiales.

    lunes, 7 de junio de 2010 17:27
  • Podrias confirmarme esto? cuando intestas iniciar seeion remota lo haces poniendo la direccion ip publica de tu TS y marcandole el puero tb? Por ejemplo ippublicaTS:3389..

    Saludos.


    Emanuel Weber IT Support
    lunes, 7 de junio de 2010 17:36
  • No, solo coloco la IP Pública, el dominio y Usuario a conectarse.

    Saludos.

     

    lunes, 7 de junio de 2010 17:50
  • Probando con la IP pública, tampoco hay conexión: es como el siguiente ejemplo.

    190.41.xxx.xx:3389

    server\usuario01

    Saludos.

    lunes, 7 de junio de 2010 17:54
  • Esta raro el asunto, pero me inclino mas por el lado de la ip publica del TS, ya que por el resultado que te dio la traza no hay conexion a esa ip. Ahora, no entendi si la ip publica de tu TS es fija o dinamica. Te la habia preguntado mas arriba pero creo que no contestaste o no lo entendi. Como sabes que la ip publica de tu TS es la correcta?

    Saludos.


    Emanuel Weber IT Support
    lunes, 7 de junio de 2010 18:11
  • Hola de nuevo,

    no entiendo una cosa. Los dos tracert a 190.41.xxx.xx(Red2) los has hecho desde RED1 y son resultados diferentes. Si los routers no estan intercambiados... entonces has revisado que cuando el equipo cliente lo conectas a RED1 estas realmente conectado a RED1 ? es que si verificas el post en el que dices:

    //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    Desde la maquina que esta en otra red, aplicando el comando sugerido el resultado es el siguiente:

    C:\Users\admin>tracert 190.41.XXX.XX

    Traza a 190.41.XXX.XX sobre caminos de 30 saltos como máximo.

      1     2 ms     2 ms     1 ms  190.41.XXX.XX

    Traza completa.

    //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    y luego dices :

    //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    Ahora haciendo el tracert 190.41.xxx.xx IP pública de la RED 2(IP Dinámica), desde la RED 1(Con IP 200.121.xx.xxx) tengo el siguiente resultado

    C:\Users\admin>tracert 190.41.XXX.XX

    Traza a 190.41.XXX.XX sobre caminos de 30 saltos como máximo.

      1    <1 ms    <1 ms    <1 ms  192.168.1.1
      2     *        *        *     Tiempo de espera agotado para esta solicitud.
      3     *        *        *     Tiempo de espera agotado para esta solicitud.
    .......

    30     *        *        *     Tiempo de espera agotado para esta solicitud.

    Traza completa.

    //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

    Supuestamente ambos tracert son desde RED1 y dan resultados diferentes, por eso te pregunto si estas seguro de hacer las pruebas "exteriores" desde la red correcta.

    Por otro lado, te has planteado la posibilidad de hacer una prueba desde el exterior completamente?, es decir desde un servicio DSL de casa o de algun sitio de confianza o incluso con una conexion Dial-Up por modem que seria suficiente para probar la conexion al TS mediante la IP publica? 

    Saludos


    MCTS: Windows Server 2008 Active Directory, Configuring
    lunes, 7 de junio de 2010 20:50
    Moderador
  • Hola Pep,

    El segundo es el correcto, porque hice la verificación deacuerdo a lo que me dijiste. Voy a intentar conectarme desde otra lugar y te doy mi respuesta Gracias.

    Saludos.

     

    Ahora contestando al amigo Emanuel; la IP del SERVER es una IP dinámica(No tiene ip fija), la obtuve del Router en la parte que dice WAN Interface/IP Address y es  la misma que la obtuve a través de la siguiente web http://www.upseros.com/portscan.php. Gracias

    Saludos.

    lunes, 7 de junio de 2010 21:42
  • Hola,

    intenta realizar la conexion desde una linea independiente, mas que nada porque a estas alturas yo lo haria de cara a descartar un problema de configuracion interno desde la RED1.

    Por otro lado, dices que no tienes acceso para configurar el router de RED1, yo te pregunto, tienes o puedes tener la certeza de que ese router no tiene un firewall activado o una regla de filtrado que bloquee activamente la salida por el puerto 3389?  con la prueba desde otra linea externa tendremos claro si las cosas pueden venir por esto que te comento...

    Ya nos comentaras los resultados!!

     


    MCTS: Windows Server 2008 Active Directory, Configuring MCTS: Windows Server 2008 Network Infrastructure, Configuring
    lunes, 7 de junio de 2010 21:58
    Moderador
  • Hola Pep.

    Ya hice la prueba, le pedí a un amigo que se conecte desde otra ciudad con la IP Pública(190.41.xxx.xx), el dominio y el usaurio; Y no hay conexíon.

     

    Saludos

    lunes, 7 de junio de 2010 22:52
  • Hola Pep, este es un tracert aplicado desde el lugar donde se intento hacer la conexión:

     

     

    C:\>tracert 192.41.xxx.xx

     

    Traza a 192.41.xxx.xx sobre caminos de 30 saltos como máximo.

     

      1    <1 ms    <1 ms    <1 ms  192.168.1.1

      2     *        *        *     Tiempo de espera agotado para esta solicitud.

      3     *        *        *     Tiempo de espera agotado para esta solicitud.

      4     *        *        *     Tiempo de espera agotado para esta solicitud.

      5     *       23 ms    22 ms  10.xxx.x.xx

      6     *        *        *     Tiempo de espera agotado para esta solicitud.

      7     *        *        *     Tiempo de espera agotado para esta solicitud.

      8     *        *        *     Tiempo de espera agotado para esta solicitud.

      9     *        *        *     Tiempo de espera agotado para esta solicitud.

     10     *        *        *     Tiempo de espera agotado para esta solicitud.

     11     *        *        *     Tiempo de espera agotado para esta solicitud.

     12     *        *        *     Tiempo de espera agotado para esta solicitud.

     13     *        *        *     Tiempo de espera agotado para esta solicitud.

     14     *        *        *     Tiempo de espera agotado para esta solicitud.

     15     *        *        *     Tiempo de espera agotado para esta solicitud.

     16     *        *        *     Tiempo de espera agotado para esta solicitud.

     17     *        *        *     Tiempo de espera agotado para esta solicitud.

     18     *        *        *     Tiempo de espera agotado para esta solicitud.

     19     *        *        *     Tiempo de espera agotado para esta solicitud.

     20     *        *        *     Tiempo de espera agotado para esta solicitud.

     21     *        *        *     Tiempo de espera agotado para esta solicitud.

     22     *        *        *     Tiempo de espera agotado para esta solicitud.

     23     *        *        *     Tiempo de espera agotado para esta solicitud.

     24     *        *        *     Tiempo de espera agotado para esta solicitud.

     25     *        *        *     Tiempo de espera agotado para esta solicitud.

     26     *        *        *     Tiempo de espera agotado para esta solicitud.

     27     *        *        *     Tiempo de espera agotado para esta solicitud.

     28     *        *        *     Tiempo de espera agotado para esta solicitud.

     29     *        *        *     Tiempo de espera agotado para esta solicitud.

     30     *        *        *     Tiempo de espera agotado para esta solicitud.

     

    Traza completa.

     

    C:\>

    lunes, 7 de junio de 2010 23:42
  • Hola de nuevo,

    una pregunta mas. El firewall del TS, la regla para el puerto 3389 lo hiciste en el Perfil Dominio y tambien en el Privado o solo en el Dominio?. No tengo claro que el problema pueda venir por aqui pero no cuesta nada probarlo. La prueba con tu amigo la hiciste con el firewall del TS desactivado momentaneamente?

    Los tracert que pones indican perdida total de paquetes entre tu equipo y el destino no obstante yo no soy muy partidario de creer ciegamente que existe una perdida real ya que en muchas ocasiones los nodos por los que pasan los paquetes estan configurados para no permitir los paquetes del tracert y eso no implica que el resto de servicios funcionen, aunque es cierto que pudiera ser que hubiera algun problema con las rutas que tiene tu ISP para llegar hasta esa IP, dado que la IP es dinamica, has probado a renovarla ( reiniciando el router deberia ser suficiente ) y realizar las pruebas con la nueva IP?

    Cada vez quedan menos cosas que probar...

     


    MCTS: Windows Server 2008 Active Directory, Configuring MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 8 de junio de 2010 7:24
    Moderador
  • Hola Pep,

    Explicame un poco mas sobre el Perfil Dominio y el Perfil Privado, para implementar la regla par el puerto 3389.

     

    Saludos.

    martes, 8 de junio de 2010 14:26
  • Hola,

    el firewall del Server 2008 se ha ampliado respecto a las versiones anteriores y tiene muchas mas opciones configurables, por un lado esto es bueno y positivo pero por otro lado lo convierte en mas complejo de manejar. Aqui encontraras mucha informacion sobre el mismo y como configurarlo http://technet.microsoft.com/en-us/network/bb545423.aspx  pero basicamente te respondo a lo que preguntas que si te fijas cuando accedes al "Firewall de windows con seguridad avanzada" que es la consola desde donde se administra de manera avanzada el firewall de windows, veras que las reglas del firewall se pueden configurar para que afecten a diferentes perfiles, Dominio, Publico o Privado y obviamente dependiendo de las conexiones que tenga ese equipo y el origen de las conexiones que reciba aplicara las reglas de un perfil o de otro, por ejemplo en el perfil Privado todas la conexiones entrantes estan bloqueadas por defecto, no asi en el de Dominio que ya incorpora por defecto todas las reglas necesarias para que la conectividad Cliente-Servidor se realice sin problemas. La prueba facil la tienes desactivando momentaneamente el firewall y realizando la prueba desde el exterior "de verdad" y desde una conexion que sepas que no tiene bloqueo activo alguno sobre el puerto de TS.

    Has probado a renovar la IP dinamica del router de RED2?

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 8 de junio de 2010 17:48
    Moderador