none
Remote desktop e vpn RRS feed

  • Discussione generale

  • Ciao,

    ho un sistema Windows SBS 2011 Essential ed ho la necessità di regolare l'accesso in remote desktop a questa macchina per gli utenti di un'azienda. Il server ha assegnato un IP pubblico e sono riuscito a configurare per gli utenti che mi interessano l'accesso in vpn e tramite remote desktop ma il problema è che le due cose funzionano indipendentemente.

    Anche se non sono in vpn, essendo il server connesso ad un ip pubblico, con qualsiasi utente che ho configurato riesco ad entrare in remote desktop. Esiste un modo per limitare l'accesso al server solo attraverso la vpn?

    Grazie!

    • Tipo modificato Anca Popa lunedì 2 aprile 2012 10:04 thread inattivo
    lunedì 26 marzo 2012 07:33

Tutte le risposte

  • Puoi fare in modo che il firewall di Windows accetti connessioni sulla porta 3389 solo dagli indirizzi assegnati alla VPN e non da tutti gli ip pubblici.

    Però bisognerebbe capire come è configurata la tua rete per darti una risposta migliore.

    Il VPN è impostato sullo stesso server dell'RDS ?


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    lunedì 26 marzo 2012 07:39
  • Ciao,

    grazie per la tua risposta.

    Il server è attaccato alla rete di un centro uffici; su questa mi sono fatto assegnare un ip fisso, che ho dato al server, al quale è poi stato collegato un ip pubblico visibile dall'esterno. Avendo a disposizione solo questa macchina, la devo poter usare sia per la vpn che per gli applicativi quindi la mia idea è quella di avere un srvizio di vpn, installare gli applicativi che mi servono da amministratore e poi abilitare gli utenti a collegarsi sui loro destop tramite RDS per poterli usare.

    La macchina quindi è unica, sia per la vpn che per il remote desktop; seguendo il tuo suggerimento, posso mettere il pool di indirizzi che ho creato per la vpn nelle regole del firewall per la porta 3389.

    Può funzionare? Serve altro o ci sono strade migliori?

    Grazie!

    lunedì 26 marzo 2012 07:58
  • Sicuramente la tua non è una configurazione ideale, ma se non c'è a disposizione un'alternativa, in qualche modo dovrai farla funzionare.

    Personalmente avrei preso un router/firewall in grado di fare VPN e lo avrei usato come macchina esposta (con NAT dell'IP del server).

    Non si tratta in assoluto di apparati costosi e puoi gestire la sicurezza in maniera più comoda.

    Puoi provare come ti ho indicato, anche se trattandosi della macchina che crea la VPN, non so se identificherà le sessioni VPN locali con l'IP che viene poi "proiettato" all'esterno.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com


    lunedì 26 marzo 2012 08:06
  • Anche secondo me la scelta migliore sarebbe proteggere il server con un firewall in modo da non esporre eccessivamente il server, se non vuoi acquistare un dispositivo dedicato potresti addirittura utilizzare un computer o un sistema di macchine virtuali con doppia scheda di rete e con installate distribuzioni linux (come ad esempio Zeroshel) o software Microsoft come forefront. In questo modo basterebbe pubblicare verso l'esterno solo la porta della VPN per risolvere gran parte dei problemi.

    In ogni caso dovresti poter risolvere anche così: dovrebbe bastare creare una VPN in routing (con il server che funziona da NAT) utilizzando per i client una subnet differente ed impostare sul firewall del server una limitazione di IP per quanto riguarda la regola RDP (in questo caso teoricamente dovresti utilizzare l'indirizzo di loopback ma non ho mai provato). In questo modo la subnet verrà utilizzata solo dai client VPN perchè verrà consentito solo l'accesso dalla subnet VPN mediante il NAT che è il server stesso, tuttavia il fatto che non sono presenti firewall espone comunque (anche se in misura minore) la porta RDP.

    lunedì 26 marzo 2012 09:00
    Moderatore
  • ma mi sfugge qualcosa o sbs non può fare da remote desktop server in modalità applicativa ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 26 marzo 2012 11:22
    Moderatore
  • Se non sbaglio installando la Premium Add-on dovrebbe essere possibile....

    lunedì 26 marzo 2012 11:35
    Moderatore
  • Domande frequenti sulle licenze
    SBS 2011 Essentials

    D. Windows Server Remote Desktop Services è abilitato in Windows Small Business Server 2011 Essentials?  
    R. No, la modalità di condivisione di applicazioni RDS è disabilitata in SBS 2011 Essentials. Per implementare Windows Server Remote Desktop Services con la condivisione di applicazioni è necessario aggiungere al dominio Essentials un altro server su cui sia in esecuzione SBS 2011 Premium Add-on oppure Windows Server 2008 o 2008 R2 e acquistare licenze CAL RDS per consentire a utenti o dispositivi di utilizzare Remote Desktop Services.

    Penso abbia ragione Edoardo almeno stando alla descrizione fornita.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com


    lunedì 26 marzo 2012 12:02
  • Evidentemente mi ero confuso con la Standard. A questo punto quindi bisogna vedere che cosa intendeva esattamente l'utente...

    lunedì 26 marzo 2012 13:09
    Moderatore
  • Ciao,

    Visti i tempi trascorsi ed in attesa di ulteriori aggiornamenti da Callimaco0082, questo thread è stato chiuso senza una soluzione.

    Nel frattempo rimane ancora la possibilità di postare in questo spazio, se ci fossero delle domande oppure soluzioni da condividere con la community.

    Grazie a tutti della partecipazione nel forum,


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 2 aprile 2012 10:03