woensdag 1 juni 2011 16:05

Acties:
  • 0Henk 'm!
  • jc_hans
  • Registratie: September 2006
  • Laatst online: 10-02 19:57

jc_hans

Topicstarter
Ik zit met de volgende situatie:
Een organisatie heeft in totaal 3 servers, waarvan 1 als terminal server fungeert. Op dit moment kan iedereen daar gewoon op inloggen. Dit i.v.m. applicaties die server-based draaien. Zowel vanaf huis als intern hebben ze daar geen VPN o.i.d. voor nodig. Het is gewone een direct adres: mail.domein.nl voor extern en servernaam voor intern.

Vraag:
Is het mogelijk dat je ze per user group vanaf thuis geen toegang meer geeft tot de terminal server ?!

Volgende al gezocht / gevonden:
  • Door windows firewall laten blokkeren maar dan dien je van elke thuisgebruiker zijn / haar IP adres te weten en het zijn meer als 100 gebruikers.
  • Dit forum (Professional Networking & Servers) al doorgezocht op 'Remote Desktop', 'Terminal Server' en 'Terminal Toegang'. Geen resultaat.
  • Petri IT Knowledgebase doorzocht, ondermeer artikel over Secure Terminal Server.
  • Google al wel doorzocht, maar ook nog steeds aan het zoeken...
  • Hardware tokens, maar dit is echt een last-known-alternative.
Need Help _/-\o_

woensdag 1 juni 2011 16:11

Acties:
  • 0Henk 'm!
  • Matthew
  • Registratie: Mei 2008
  • Laatst online: 03-06 23:11

Matthew

Jeroen is _niet_ de baas

Haal ze uit de Remote Desktop Users group?

http://technet.microsoft....rary/cc785079(WS.10).aspx

Of mis ik iets?

@bdevogt
hmm, juist ja! My bad.

[Voor 12% gewijzigd door Matthew op 01-06-2011 16:16]

woensdag 1 juni 2011 16:13

Acties:
  • 0Henk 'm!
  • bdevogt
  • Registratie: Oktober 2007
  • Laatst online: 01-06 04:07

bdevogt

Matthew schreef op woensdag 01 juni 2011 @ 16:11:
Haal ze uit de Remote Desktop Users group?

http://technet.microsoft....rary/cc785079(WS.10).aspx

Of mis ik iets?
Ja dat doe je,
want dan kunnen ze ook niet vanuit kantoor gebruik maken van de server

'Iedereen is gelijk, maar sommigen zijn meer gelijk dan anderen',. -George Orwell

woensdag 1 juni 2011 16:23

Acties:
  • 0Henk 'm!
  • jc_hans
  • Registratie: September 2006
  • Laatst online: 10-02 19:57

jc_hans

Topicstarter
@Matthew + bdevogt:
Er is geen losse groep Remote Desktop Users (inderdaad vergeten te melden). Maar inderdaad zouden ze dan ook niet meer vanaf kantoor kunnen aanmelden, en dat is nu juist wel de bedoeling.

Dus zeg maar echt een blokkade die per user of user group is in te stellen / wat het gebruik op kantoor niet beinvloed.

woensdag 1 juni 2011 16:43

Acties:
  • 0Henk 'm!
  • Oid
  • Registratie: November 2002
  • Niet online

Oid

Je TS niet rechstreeks via internet toegankelijk maken (veiligheids risico is zo en zo al groot) maar via VPN mensen laten verbinden naar je bedrijf en dan met interne naam op de TS.

of een TS gateway (minimaal server 2008) via de webbrowser.

donderdag 2 juni 2011 00:32

Acties:
  • 0Henk 'm!
  • Remco
  • Registratie: Januari 2001
  • Laatst online: 03-06 16:57

Remco

Zet poort 3389 dicht op je firewall :?

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 2 juni 2011 00:36

Acties:
  • 0Henk 'm!
  • Tsurany
  • Registratie: Juni 2006
  • Niet online

Tsurany

⭐⭐⭐⭐⭐

Zorgen dat niemand er meer op kan tenzij ze een VPN account hebben, kan je prima controleren wie er wel en wie er niet op mag via je VPN.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 3 juni 2011 00:06

Acties:
  • 0Henk 'm!
  • Oid
  • Registratie: November 2002
  • Niet online

Oid

Remco schreef op donderdag 02 juni 2011 @ 00:32:
Zet poort 3389 dicht op je firewall :?
Heb je de topic wel gelezen? Sommige mensen moeten wel vanaf buiten kunnen verbinden en sommige alleen vanaf kantoor.

vrijdag 3 juni 2011 00:15

Acties:
  • 0Henk 'm!
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Tweede netwerkkaart in die server monteren. Tweede terminal server connectie aanmaken in terminal services configuration, beide connections op slechts 1 van de netwerkkaarten laten luisteren. Vervolgens maak je een extra groep aan 'Externe terminal server gebruikers' . Pas dan de permissies aan van de externe terminal server connectie zodat deze gebruikers in kunnen loggen via deze connectie. Nog even NAT mapping aanpassing en je bent klaar.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput

vrijdag 3 juni 2011 01:28

Acties:
  • 0Henk 'm!
  • Remco
  • Registratie: Januari 2001
  • Laatst online: 03-06 16:57

Remco

Oid schreef op vrijdag 03 juni 2011 @ 00:06:
[...]
Heb je de topic wel gelezen? Sommige mensen moeten wel vanaf buiten kunnen verbinden en sommige alleen vanaf kantoor.
Schijnbaar niet goed geneog dus.... My bad :$

The best thing about UDP jokes is that I don't care if you get them or not.

vrijdag 3 juni 2011 09:58

Acties:
  • 0Henk 'm!
  • Perparim
  • Registratie: Juni 2011
  • Laatst online: 19-09-2022

Perparim

Je bent toch het beste af met een VPN verbinding. De gebruikers zullen op een of andere manier moeten authenticeren wil je makkelijk onderscheid kunnen maken. Met de Connection Manager Administration Kit kun je ook ervoor zorgen dat er zodra de VPN verbinding is opgezet er een terminal server verbinding wordt gemaakt. Zo hoeven ze net als met een RDP verbinding, maar 1 keer te klikken.

vrijdag 3 juni 2011 15:15

Acties:
  • 0Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 09:47

Rolfie

Glashelder schreef op vrijdag 03 juni 2011 @ 00:15:
Tweede netwerkkaart in die server monteren. Tweede terminal server connectie aanmaken in terminal services configuration, beide connections op slechts 1 van de netwerkkaarten laten luisteren. Vervolgens maak je een extra groep aan 'Externe terminal server gebruikers' . Pas dan de permissies aan van de externe terminal server connectie zodat deze gebruikers in kunnen loggen via deze connectie. Nog even NAT mapping aanpassing en je bent klaar.
Ik ben bang dat dit de enige goede oplossing is, zonder je hele infra om te gooien. Wel even er op letten dat de server niet onder beide IP's wordt geregisteerd in DNS.

VPN is echter een better oplossing, of als de Windows 2008 hebt draaien zou je naar de Terminal Server Gateway kunnen kijken.

De huidige gekozen oplossing, is gemakkelijk en snel, maar ook niet de meest veilig.

vrijdag 3 juni 2011 20:07

Acties:
  • 0Henk 'm!
  • BroodjeKoffie
  • Registratie: Mei 2010
  • Laatst online: 15-02 21:11

BroodjeKoffie

Laatst had ik hetzelfde bij mijn werkgever. Dit hebben we opgelost door RAS (Nu heet dat volgens mij NAP) te installeren op de betreffende server en middels een specifieke Windows groep enkel die gebruikers toegang gegeven om van buitenaf verbinding te maken.

Dit is al eerder genoemd, maar niet met het NAP component. Als je op 2003 zit heet dit nog steeds RAS/RRAS.

Edit: Poort 3389 kan dan dicht van buitenaf en een tunnel protocol naar keuze (pptp, ipsec, l2tp) open in de firewall. Certificaatje erop en de oplossing is wel aardig mooi zo =)

[Voor 19% gewijzigd door BroodjeKoffie op 03-06-2011 20:08]

zaterdag 11 juni 2011 18:53

Acties:
  • 0Henk 'm!
  • RPSimon
  • Registratie: Juli 2007
  • Laatst online: 10-02-2020

RPSimon

Is er een domein aanwezig in jouw setup? Of zit alles in een workgroup?

Indien je iets van geld kan uitgeven kan je ook kijken naar UAG. Dit is een product die eigenlijk doet wat jij nodig hebt. Het is voor zo'n doeleinden gemaakt. En je hebt geen nood aan VPN-Tunnels. Het probleem hier is natuurlijk de prijs ( licentie kosten windows server, uag, hardware/virtueel kosten... ) Als je dit kan, moet je hier zeker eens naar kijken.

Meer info: http://technet.microsoft.com/en-us/library/dd861469.aspx
Preauthentication─You can require that users authenticate to the Forefront UAG server, ensuring that only authenticated traffic reaches RDS servers published via Forefront UAG.

[Voor 31% gewijzigd door RPSimon op 11-06-2011 19:16. Reden: link en referentie toegevoegd]

Facebook | Linkdin | Twitter | Senior Datacenter Engineer

zondag 12 juni 2011 12:07

Acties:
  • 0Henk 'm!
  • Amens
  • Registratie: Juni 2011
  • Laatst online: 31-05 14:39

Amens

Wellicht is SecureCRT van 2x iets voor je. Is volgens mij gratis en je kunt daarmee op basis van ip en computernaam toegang verlenen of beperken. Heb het een aantal keren gezien, werkt erg goed!

maandag 13 juni 2011 15:41

Acties:
  • 0Henk 'm!
  • jc_hans
  • Registratie: September 2006
  • Laatst online: 10-02 19:57

jc_hans

Topicstarter
@RPSimon: zit in een domein. Dank voor de hint naar dat pakket, zal het zeker morgen is nagaan of dat kan.

@Amens: weet je toevallig of dat ook op een IP range werkt ? Want als het 't zelfde is als in m'n eerste bullet-point. Is het niet makkelijk toe te passen. Maar ik zal er verder in duiken morgen. Dank !

@'de rest', dank voor jullie suggesties, ga er morgen mee verder en dan lezen jullie de uitkomst vanzelfsprekend.

Er wordt vandaag (14/6) gekeken wat de beste oplossing is, die ook toegepast kan worden.

[Voor 10% gewijzigd door jc_hans op 14-06-2011 09:39]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee