none
accesso remoto via internet RRS feed

  • Discussione generale

  • Buongiorno,

    Chiedo cortesemente due chiarimenti:

    1) sto installando un dominio Windows 2012 r2 e ho configurato "accesso remoto via web", da internet all'indirizzo xxxxx.remotewebaccess.com se lo faccio come amministratore mi fa vedere i dispositivi, oltre le cartelle condivise ecc.  a cui connettermi, se invece provo il collegamento con un client non amministratore (che all'interno della rete si collega in TS) mi fa vedere solo le cartelle condivise e non i dispositivi.Se invece sempre da internet creo una connessione vpn mi permette il collegamento anche con il client non amministratore.

    2) la macchina con il dominio devo installarla presso il mio cliente, dove ha diverso ip pubblico con router uguale,  per far riconoscere xxxxx.remotewebaccess.com oltre ad aprire le stesse porte sul router  probabilmente devo cambiare l'ip statico, potreste indicarmi dove cambiarlo.

    Ringrazio anticipatamente

      

    • Tipo modificato Anca Popa martedì 11 febbraio 2014 12:28 discussione in corso
    mercoledì 5 febbraio 2014 10:26

Tutte le risposte

  • Ciao,

    1) Il remote web access scinde i permessi della rete lan-vpn rispetto a quello che hai via internet per una questione di sicurezza, se vuoi abilitare i dispositivi anche da fuori devi cambiare le policy dell'applicazione. Ti sconsiglio vivamente di farlo...passa sempre per una VPN piuttosto.

    2) è un dns dinamico in pratica quindi quando lo agganci dall'altra parte si aggiorna da solo senza che tu faccia nulla, non esiste quindi un "posto" dove andare a cambiare l'ip.

    Ciao!

    A.

    mercoledì 5 febbraio 2014 12:46
    Moderatore
  • ringrazio per la risposta,

    capisco che è meglio aprire una VPN ma quando sei fuori e non con il tuo pc non è sempre possibile, invece da web sicuramente è più semplice, inoltre se riesco come amministratore a connettermi in rds con il server o altri dispositivi della rete perché non posso fare lo stesso come client.

    giovedì 6 febbraio 2014 10:50
  • Sono d'accordo con Alessandro: fare una cosa del genere è molto rischioso per la sicurezza della tua rete (è quasi come lasciare dei desktop remoti aperti pubblicati su internet). Se proprio non puoi aprire una VPN (anche se con una VPN SSL solitamente non hai problemi perché utilizza solo la porta HTTPS), allora forse è meglio utilizzare direttamente dei software di controllo remoto di terze parti (ad esempio TeamViewer) che instaurano automaticamente una VPN senza la necessità di avere privilegi particolari.

    PS: E se utilizzi la VPN possibilmente isola il server in modo da impedire connessioni al di fuori della VPN.
    giovedì 6 febbraio 2014 11:05
    Moderatore
  •  inoltre se riesco come amministratore a connettermi in rds con il server o altri dispositivi della rete perché non posso fare lo stesso come client.

    be' molto banalmente perchè l'admin ha accesso a tutto senza controlli, di qui poi nasce il problema per cui chi ha delle password easy sugli admin si fa bucare i server...il discorso "non è sempre possibile" non lo capisco, la vpn è sempre possibile tranne quando usi un pc in un internet cafè...e quando sei in un internet cafè usare le remote app della tua azienda non è che sia il top...

    Aggiungo: il fatto che alcune cose si possano fare non vuol dire che di debbano fare...noi qui ci atteniamo alle best practise di sicurezza per le reti ed i sistemi, non diamo workaround che espongono le strutture a criticità anche sono sono fattibili...

    Ciao.

    A.

    giovedì 6 febbraio 2014 12:05
    Moderatore
  • mi accodo per esprimere alcuni mie perplessità.

    1) cosa intendi con i termini "un client non amministratore" ? intendi forse un account utente che non è membro dei Domain Admin ?

    2) la logica di non tirare su una vpn per un "accesso remoto via web" c'è tutta. a cosa mi serve una accesso remoto via web se poi devo attivare una vpn ? la cosa può essere letta anche in questo modo: una volta tirata su una connessione vpn posso tranquillamente usare una connessione rdp classica da client rdp e non ho bisogno dell'accesso remoto via web.

    3) il problema è solo una questione di permessi legati ad iis, visto che in lan anche i normali users si connettono.

    4) se usi strong passwords e protezione per gli attacchi brute force, la sicurezza reggerà qualunque sia il servizio che esponi (salvo bugs del servizio stesso) altrimenti (password deboli) comunque non sarà garantita la sicurezza.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 6 febbraio 2014 14:44
    Moderatore
  • 2) la logica di non tirare su una vpn per un "accesso remoto via web" c'è tutta. a cosa mi serve una accesso remoto via web se poi devo attivare una vpn ? la cosa può essere letta anche in questo modo: una volta tirata su una connessione vpn posso tranquillamente usare una connessione rdp classica da client rdp e non ho bisogno dell'accesso remoto via web.

    4) se usi strong passwords e protezione per gli attacchi brute force, la sicurezza reggerà qualunque sia il servizio che esponi (salvo bugs del servizio stesso) altrimenti (password deboli) comunque non sarà garantita la sicurezza.

    A mio parere alcuni vantaggi di accesso remoto via web vengono mantenuti anche in presenza di VPN in quanto permette di usufruire dei servizi anche al di fuori dal classico client RDP, risultando quindi meno ostica per gli utenti.

    Non che non mi fidi di accesso remoto via web, ma per pubblicarlo direttamente su internet secondo me bisognerebbe prendere una serie di precauzioni aggiuntive per la sicurezza che possono essere evitate (almeno in parte) con una VPN SSL. Senza contare che a mio parere con una VPN di quel tipo si avrebbe comunque un livello complessivo di sicurezza migliore. Ovviamente in entrambi i casi l'utilizzo di criteri appropriati per le password e per il blocco account è determinante.

    giovedì 6 febbraio 2014 15:28
    Moderatore
  • Ringrazio per la risposta,

    1) intendo proprio un user membro di Domain User e non membro dei Domain Admin,

    2) il cliente ha chiesto di potersi connettere dall'esterno con accesso remoto via web con un user  di quelli che si connettono all'interno della rete  rds e che quando è fuori sede si vuole collegare senza possibilmente creare una vpn. 

    3)per i permessi con iis potresti darmi qualche indicazione dove andare

    4)per le password utilizzo strong passwords con 15 caratteri, oltre all'antivirus installato

    giovedì 6 febbraio 2014 15:32
  • tieni sotto mano questo thread

    http://social.technet.microsoft.com/Forums/windowsserver/en-US/f02bd61f-d6fd-4c05-b17a-deffcc61a4e9/how-to-set-default-logon-domain-rd-gateway-andor-rd-web?forum=winserverTS

    e magari dacci un'occhiata.

    nel frattempo dimmi quale errore compare ai domain users che tentano di collegarsi in Remote Desktop Web dall'esterno e cosa viene registrato sul server su cui è pubblicato il servizio.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 10 febbraio 2014 10:14
    Moderatore
  • Quel problema l'ho risolto, ho aggiunto l'utente al gruppo "WseAllowDashboardAccess" e adesso riesco ad effettuare il collegamento da remoto.

    Sempre da remoto all'accesso a parte le cartelle condivise vedo una cartella utenti che non vorrei che si vedesse, avevo provato a togliere la condivisione a questa cartella ma non mi funziona più l'accesso via web, probabilmente non è possibile eliminarla, pensavo di agire da iis nella sito rdweb ma non riesco a localizzare la pagina per effettuare le modifiche.

    lunedì 10 febbraio 2014 10:33
  • puoi postare l'immagine di ciò che vorresti non venisse visto ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 10 febbraio 2014 13:33
    Moderatore
  • non si deve vedere "utenti"

    lunedì 10 febbraio 2014 15:25
  • mi puoi dire il nome della pagina visualizzata ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 11 febbraio 2014 08:23
    Moderatore
  • non so il nome, l'ho cercata in rdweb ma non la trovo, è la prima pagina che viene visualizzata dopo aver inserito user e password da http://xxxxx.remotewebaccess.com
    martedì 11 febbraio 2014 08:43
  • vedi se nella cartella root di remotewebaccess c'è un file che si chiama index.aspx o default.aspx

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 14 febbraio 2014 14:56
    Moderatore
  • il file default.aspx è presente nella cartella, rdweb\pages e nella cartella rdweb\pages\it-IT, ho provato in tutti e due i file a cercare "utenti"  che è la cartella che non vorrei far vedere ma non trovo nulla con quel nome, forse si chiamerà in maniera diversa.

    venerdì 14 febbraio 2014 17:33
  • il fatto è che dovresti avere esperienza nello sviluppo in .net altrimenti è meglio che tu lasci stare la pagina così com'è.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 17 febbraio 2014 08:51
    Moderatore