none
Remote desktop over http RRS feed

  • Domanda

  • Buongiorno a tutti,

    volevo sapere se fosse possibile utilizzare il protocollo RDP via HTTP. Mi spiego meglio:

    Molto spesso capita di andare da alcuni clienti dove la maggior parte delle volte le porte in uscita sono bloccate, esclusa solitamente la 80 appunto per concedere la navigazione internet. Mi capita spesso di dover magari connettermi in desktop remoto ad alcuni server fuori, a volte per necessità, a volte magari per mostrare qualcosa al cliente, ma ovviamente non mi è concesso appunto per le regole che il firewall impone sulla rete.

    C'è modo di impostare che i server che ho in remoto rispondano sulla 80?

    C'è qualche impostazione da modificare su IIS? Proxy?

    A livello di sicurezza quali rischi corro?

    Grazie in anticipo!

    martedì 13 agosto 2013 07:10

Risposte

Tutte le risposte

  • non c'è la possibilità di usare rdp over http perché rdp utilizza la porta dedicata 3389.

    per bypassare il problema puoi usare prodotti di terze parti come TeamViewer o Ammy Admin.

    A livello di sicurezza dipende molto dalla complessità della password che utilizzi e dal fatto che tu faccia spegnere il servizio in ascolto dopo l'utilizzo oppure lo lasci sempre attivo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 agosto 2013 07:43
    Moderatore
  • quindi non c'è nemmeno possibilità di dire a windows di fare forward del traffico della 3389 sull'80?

    o di cambiare la porta rdp di default?

    Grazie

    ciao

    martedì 13 agosto 2013 08:20
  • si, potresti fare entrambe le operazioni ma a quale scopo visto che i prodotti di terze parti sono gratuiti ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 agosto 2013 08:28
    Moderatore
  • Per avere una soluzione stabile e definitiva, in realtà Teamviewer non è gratis per scopi commerciali, e in ogni caso servirebbe il software aperto dall'altra parte, l'id e la password.


    martedì 13 agosto 2013 08:36
  • e in ogni caso servirebbe il software aperto dall'altra parte, l'id e la password.


    questo si ma i problemi di sicurezza sono i medesimi con qualsiasi software di amministrazione remota.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 agosto 2013 08:42
    Moderatore
  • e fare invece rdp over https? 

    è possibile?

    Di solito anche la 443 in uscita è aperta..

    Grazie

    martedì 13 agosto 2013 11:41
  • neanche questo è possibile.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 13 agosto 2013 11:58
    Moderatore
  • Ciao, volendo disquisire su quella che è la domanda inerente la sicurezza direi che lasciare la porta standard, a mio avviso, se hai un firewall perimetrale che sa fare bene il suo lavoro è la migliore soluzione. Per ogni cliente dovresti fare delle policy in ingresso sulla porta 80/443 ed applicare una regola di controllo RDP che non gli si addice. In genere i firewall per quel tipo di porte eseguono delle verifiche inerenti i protocolli per i quali sono normalmente utilizzati.

    Per quanto riguarda la fattibilità puoi intervenire sulla seguente chiave di registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber ed utilizzare sicuramente la porta 443 che ho già testato mentre per la 80 devi eseguire qualche test aggiuntivo.

    Comunque, visto che devi comunque mettere mani sulle configurazioni di n clienti tanto vale aprire e nattare l'RDP standard.

    Saluti
    Nino

    martedì 13 agosto 2013 13:29
    Moderatore
  • In alternativa potresti optare per l'implementazione di una VPN SSTP  (che non necessita di porte particolari per funzionare) lato server. Una volta stabilita la connessione VPN potrai poi aprire la connessione RDP vera e propria che passerà direttamente attraverso il tunnel.
    domenica 18 agosto 2013 17:56
    Moderatore
  • Remote Desktop Web Access Server lo schifi? :)

    Andrea Gallazzi
    www.windowserver.it - blog: andreagx.blogspot.com
    This posting is provided AS IS with no warranties, and confers no rights

    domenica 25 agosto 2013 15:39
  • abbastanza :)

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 26 agosto 2013 06:44
    Moderatore
  • Ciao a tutti, scusate ma ci sono state le ferie di mezzo :)

    Per Remote Desktop Web Access Server intendete quello integrato nell'interfaccia della remote app?

    Ho provato a utilizzare quello e funziona ma lancia comunque l'applicazione RDP del mio pc per connettersi.

    Quel che volevo capire e se in qualche modo posso visualizzare proprio il remote desktop incorporato nel browser.

    So che c'è questo componente aggiuntivo di chrome che lo permette, ma se si potesse fare in maniera integrata tramite windows server o comunque nativamente da parte di windows sarebbe meglio https://chrome.google.com/webstore/detail/chrome-remote-desktop/gbchcmhmhahfdphkhkmpfmihenigjmpp?hl=it

    Non ho nulla contro i software di terze parti, sono utilissimi e validissimi, ma vorrei capire nativamente il prodotto fino a che punto può arrivare.

    Grazie ancora per l'attenzione.


    • Modificato Drummer88 lunedì 2 settembre 2013 15:25
    lunedì 2 settembre 2013 14:01
  • Non mettiamo altra carne sul fuoco con ActiveX per fare l'embed del RD.

    Il presequisito perchè tu ti possa connettere in RD ai tuoi server è una VPN su porta 443/80  o un Gateway di Desktop Remoto.

    Il gateway di Desktop Remoto nasce esattamente per la tua esigenza fare RDP su HTTPS ! (https per  ragioni di sicurezza, ma nulla vieta  usare http ma a proprio rischio e pericolo!)

    "Gateway Desktop remoto utilizza Remote Desktop Protocol (RDP) su HTTPS per stabilire una connessione sicura e crittografata tra utenti remoti su Internet e le risorse di rete interne in cui vengono eseguite le applicazioni per la produttività." ref. Panoramica di Gateway Desktop remoto

    Ciao Gas

    ps: per il vpn segui il consiglio di Fabrizio oppure puoi sfruttare applicativi open source come openVPN (che si appoggia sulle porte http/https) . Ho fatto anche qualche prova con "Remote Desktop Web Access Server" (avevo qualche dubbio) non fa al caso tuo, senza il RD gateway, ti pemette la connessione all'unica sessione rdp nattata sulla 3389 ...  qui segue un link che chiarisce come funziona il  TS Web Access

    Con la soluzione di Nino mappi solo due pc interni alla tua rete uno sulla 80 e uno sulla 443, che ci siano router che fanno lo stesso lavoro del Gateway Desktop remoto?

    http://blogs.technet.com/b/nking/archive/2008/05/31/port-3389-remote-web-workplace-and-the-terminal-services-gateway.aspx

    http://blogs.msdn.com/b/saurabh_singh/archive/2008/08/30/troubleshooting-ts-gateway-connectivity-on-windows-2008-iis-7-0.aspx


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    lunedì 2 settembre 2013 16:25
    Moderatore
  • quindi non c'è nemmeno possibilità di dire a windows di fare forward del traffico della 3389 sull'80?


    Lo puoi far fare al tuo firewall, avendo la sola porta 80 a disposizione ti potrai connettere a un solo server della tua rete, due se fai il port forwarding usando anche la 443 (assumendo che i tuoi clienti abbiano la 80 e la 443 aperte)

    ciao


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 2 settembre 2013 16:39
    Moderatore