Windows 2012 Terminal Server - Netwerken

donderdag 31 juli 2014 15:41

Acties:

Topicstarter

Hallo,

Ik heb hier een terminal server waarop gebruikers inloggen via thin clients op kantoor en een gedeelte van de gebruikers ook extern moet gaan inloggen vanaf huis. Nu wil ik niet dat alle gebruikers vanaf buiten op de terminal server kunnen werken. Ik wil liever ook niet dat de gebruiker eerst een VPN verbinding op moet zetten voordat er verbinding gemaakt kan worden.

Ik wil dus eigenlijk per gebruiker kunnen aangeven of hij alleen intern op terminal server mag inloggen of ook van buitenaf. We hebben een Windows 2012 server. Ik heb al op Google gezocht maar lijk niet de juiste zoek woorden te gebruiken.

donderdag 31 juli 2014 16:11

Acties:

Ranja_Ranja

Waarom wil je dat er geen vpn verbinding gemaakt wordt?
Dan kan je dmv vpn afdwingen wie wel en wie niet exern verbinding maakt.

donderdag 31 juli 2014 19:09

Acties:

tel2

Topicstarter

Ranja_Ranja schreef op donderdag 31 juli 2014 @ 16:11:
Waarom wil je dat er geen vpn verbinding gemaakt wordt?
Dan kan je dmv vpn afdwingen wie wel en wie niet exern verbinding maakt.

Omdat ik wil dat mensen overal vandaan kunnen inloggen. Onafhankelijk vanaf welke computer.

donderdag 31 juli 2014 19:17

Acties:

MdBruin

Dat blijft dan nog steeds mogelijk, de VPN verbinding gebruik je dan alleen maar om de computer toegang te verlenen naar de TS server. Tevens heb je daardoor een extra beveiligslaag door de VPN connectie.
Users welke niet van buitenaf mogen verbinden krijgen geen VPN rechten en users die dat wel mogen, wel.

vrijdag 1 augustus 2014 09:56

Acties:

mbaltus

probeer dan eens te zoeken op "Remote Desktop Web Access" of "RD Web Access" volgens mij vind je dan precies wat je zoekt

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 1 augustus 2014 10:17

Acties:

barber

Remote Desktop Gateway Services aanzetten en alleen die service naar het internet aanbieden? Je kan dan zelf bepalen welke users hiervan gebruik mogen maken dmv van een policy in de remote desktop gateway services. Deze service kan ook op een andere server draaien, dit hoeft niet op de TS aan te staan.

Voordeel is ook gelijk dat je verbinding over een standaard poort (HTTPS 443) loopt, zodat er thuis(of hotel/internetcafe) geen firewall of andere zaken zitten die de verbinding naar 3389 (of andere hoge poort) blokkeren.

Intern kan je dan wel gewoon direct naar TS connecten.

[ Voor 14% gewijzigd door barber op 01-08-2014 10:20 ]

vrijdag 1 augustus 2014 15:32

Acties:

tel2

Topicstarter

barber schreef op vrijdag 01 augustus 2014 @ 10:17:
Remote Desktop Gateway Services aanzetten en alleen die service naar het internet aanbieden? Je kan dan zelf bepalen welke users hiervan gebruik mogen maken dmv van een policy in de remote desktop gateway services. Deze service kan ook op een andere server draaien, dit hoeft niet op de TS aan te staan.

Voordeel is ook gelijk dat je verbinding over een standaard poort (HTTPS 443) loopt, zodat er thuis(of hotel/internetcafe) geen firewall of andere zaken zitten die de verbinding naar 3389 (of andere hoge poort) blokkeren.

Intern kan je dan wel gewoon direct naar TS connecten.

Bedankt, ik denk dat dit is wat ik zoek.

Remote Desktop Gateway beheer is al geïnstalleerd met een RD_RAP en RD_CAP autorisatiebeleid.

Onder welk beleid kan ik nu instellen dat alleen een bepaalde groep vanaf het internet mag inloggen? Bij beide kan ik een groep opgeven die verbinding mogen maken. Hier staat nu de groep domein gebruikers. Als ik deze groep wijzig naar een groep met alleen gebruikers die van buitenaf kunnen inloggen dan kunnen andere nog steeds intern inloggen?

vrijdag 1 augustus 2014 16:15

Acties:

barber

Met de RD_CAP bepaal je welke users/groups mogen connecten met de gateway server.
Met de RD_RAP bepaal je naar welke interne server ze mogen connecten via RDP. Hier zet je dan alleen je TS in bijvoorbeeld.

Als interne users niet gebruik maken van de gateway services dan hebben die policies geen betrekking op ze en kan iedereen intern gewoon verbinden.

vrijdag 1 augustus 2014 16:17

Acties:

tel2

Topicstarter

barber schreef op vrijdag 01 augustus 2014 @ 16:15:
Met de RD_CAP bepaal je welke users/groups mogen connecten met de gateway server.
Met de RD_RAP bepaal je naar welke interne server ze mogen connecten via RDP. Hier zet je dan alleen je TS in.

Als interne users niet gebruik maken van de gateway services dan hebben die policies geen betrekking op ze en kan iedereen intern gewoon verbinden.

Hoe kan ik controleren of interne users gebruik maken van de gateway services? Sorry ben niet echt bekend met deze materie

vrijdag 1 augustus 2014 16:21

Acties:

barber

Je moet in je RDP connectie op de client aangeven dat je via de gateway server wilt connecten, dus standaard gebeurt dat dus niet.

Start anders even de rdp client op (mstsc.exe) en kijk even op het tabblad advanced naar "Connect from anywhere" en dan bij de Remote Desktop Gateway settings. Deze staan standaard uit.

vrijdag 1 augustus 2014 16:25

Acties:

jordeeeh

Waarom niet gewoon een firewall en dan de ip adressen van de gebruikers die wel mogen inloggen whitelisten?
Misschien wel iets meer onderhoud als ze een nieuw dynamisch ip krijgen toegewezen, maar dan heb je iig je RDP poort niet voor iedereen open staan.

vrijdag 1 augustus 2014 16:26

Acties:

tel2

Topicstarter

jordeeeh schreef op vrijdag 01 augustus 2014 @ 16:25:
Waarom niet gewoon een firewall en dan de ip adressen van de gebruikers die wel mogen inloggen whitelisten?
Misschien wel iets meer onderhoud als ze een nieuw dynamisch ip krijgen toegewezen, maar dan heb je iig je RDP poort niet voor iedereen open staan.

Daar heb ik ook aan zitten denken. Alleen dan kun je dus niet vanuit je hotel bijvoorbeeld inloggen.

vrijdag 1 augustus 2014 16:40

Acties:

tel2

Topicstarter

barber schreef op vrijdag 01 augustus 2014 @ 16:21:
Je moet in je RDP connectie op de client aangeven dat je via de gateway server wilt connecten, dus standaard gebeurt dat dus niet.

Start anders even de rdp client op (mstsc.exe) en kijk even op het tabblad advanced naar "Connect from anywhere" en dan bij de Remote Desktop Gateway settings. Deze staan standaard uit.

Deze instelling staat standaard op 'Instellingen voor Extern bureaublad-gatewayserver automatisch detecteren'. Als ik deze nu op 'Geen Extern bureaublad-gatewayserver gebruiken zet'. kan ik extern nog steeds verbinden. Ik heb het idee dat de gateyway server op dit moment niet gebruikt wordt. Als ik bij de status kijk zie ik de actieve verbindingen ook op 0 staan.

vrijdag 1 augustus 2014 17:03

Acties:

Verwijderd

Ik snap niet dat je een TS direct beschikbaar _wil_ vanaf internet. Die VPN maakt het alleen maar eenvoudiger: dan komt iedere connectie van intern.
En verder is RDGS niet voor niets bedacht. Het is juist om de TS niet direct aan internet te hangen...

vrijdag 1 augustus 2014 17:10

Acties:

tel2

Topicstarter

Verwijderd schreef op vrijdag 01 augustus 2014 @ 17:03:
Ik snap niet dat je een TS direct beschikbaar _wil_ vanaf internet. Die VPN maakt het alleen maar eenvoudiger: dan komt iedere connectie van intern.
En verder is RDGS niet voor niets bedacht. Het is juist om de TS niet direct aan internet te hangen...

Ik ben het met je eens dat een VPN de mooiste oplossing is maar ik wil niet bij iedere gebruiker thuis een VPN verbinding aan moeten maken.

vrijdag 1 augustus 2014 17:10

Acties:

Shinji

tel2 schreef op vrijdag 01 augustus 2014 @ 16:40:
[...]

Deze instelling staat standaard op 'Instellingen voor Extern bureaublad-gatewayserver automatisch detecteren'. Als ik deze nu op 'Geen Extern bureaublad-gatewayserver gebruiken zet'. kan ik extern nog steeds verbinden. Ik heb het idee dat de gateyway server op dit moment niet gebruikt wordt. Als ik bij de status kijk zie ik de actieve verbindingen ook op 0 staan.

Als ik het goed lees is er nu voor iedereen toegang via RDP? Dit moet dichtgezet worden (indien het nu even niet gebruikt wordt zou je dit eerst kunnen doen zodat je kan zien of je verbinding krijgt). Poort 3389 van buiten af moet dus dicht gaan en alleen 443 van buitenaf naar binnen open,deze moet naar je RD Gateway geforward worden (goed opletten dat de poort niet al ergens anders voor in gebruik is).

Als RD Gateway goed is ingericht kan je in mstsc.exe aangeven dat je juist wel een Gateway wil gebruiken. Hier vul je dan je servernaam in (domeinnaam) bijvoorbeeld rdgateway.domein.nl. De server waar je dan onder "Algemeen" naar verbind is gewoon je interne servernaam dus bijvoorbeeld tsserver01.

jordeeeh schreef op vrijdag 01 augustus 2014 @ 16:25:
Waarom niet gewoon een firewall en dan de ip adressen van de gebruikers die wel mogen inloggen whitelisten?
Misschien wel iets meer onderhoud als ze een nieuw dynamisch ip krijgen toegewezen, maar dan heb je iig je RDP poort niet voor iedereen open staan.

Omdat het zoals je zelf al aangeeft onderhouds onvriendelijk is, en indien RD Gateway goed ingericht is je helemaal geen RDP poort open hoeft te hebben.

Overigens zou ik als TS me eerst even wat beter inlezen in de materie. Of wat youtube filmpjes zijn zo gevonden over hoe RD Gateway ingericht kan worden, niet gezien verder dus weet niet hoe goed deze is maar was eerste hit: YouTube: Remote Desktop Gateway .

[ Voor 8% gewijzigd door Shinji op 01-08-2014 17:13 ]

vrijdag 1 augustus 2014 17:13

Acties:

tel2

Topicstarter

Shinji schreef op vrijdag 01 augustus 2014 @ 17:10:
[...]

Als ik het goed lees is er nu voor iedereen toegang via RDP? Dit moet dichtgezet worden (indien het nu even niet gebruikt wordt zou je dit eerst kunnen doen zodat je kan zien of je verbinding krijgt). Poort 3389 van buiten af moet dus dicht gaan en alleen 443 van buitenaf naar binnen open,deze moet naar je RD Gateway geforward worden (goed opletten dat de poort niet al ergens anders voor in gebruik is).

Als RD Gateway goed is ingericht kan je in mstsc.exe aangeven dat je juist wel een Gateway wil gebruiken. Hier vul je dan je servernaam in (domeinnaam) bijvoorbeeld rdgateway.domein.nl. De server waar je dan onder "Algemeen" naar verbind is gewoon je interne servernaam dus bijvoorbeeld tsserver01.

[...]

Omdat het zoals je zelf al aangeeft onderhouds onvriendelijk is, en indien RD Gateway goed ingericht is je helemaal geen RDP poort open hoeft te hebben.

Bedankt, ik ga me hier volgende week in verdiepen en het dan op deze manier inrichten. Ik hou jullie op de hoogte.

vrijdag 1 augustus 2014 17:39

Acties:

Verwijderd

tel2 schreef op vrijdag 01 augustus 2014 @ 17:10:
[...]

Ik ben het met je eens dat een VPN de mooiste oplossing is maar ik wil niet bij iedere gebruiker thuis een VPN verbinding aan moeten maken.

HUH? Dat is toch een kwestie van een software pakketje (laten) installeren en vervolgens een certificaat op de pc zetten? Verder is het voor de gebruiker niets anders dan een icoontje klikken, even wachten en de VPN verbinding is opgezet...
Dit lijkt me (ook voor leken) niet het meest moeilijke om aan de praat te krijgen.

vrijdag 1 augustus 2014 21:25

Acties:

Shinji

Verwijderd schreef op vrijdag 01 augustus 2014 @ 17:39:
[...]

HUH? Dat is toch een kwestie van een software pakketje (laten) installeren en vervolgens een certificaat op de pc zetten? Verder is het voor de gebruiker niets anders dan een icoontje klikken, even wachten en de VPN verbinding is opgezet...
Dit lijkt me (ook voor leken) niet het meest moeilijke om aan de praat te krijgen.

Ligt er aan wat voor VPN het is. Met AnyConnect is het programma installeren en gaan, maar je kan ook van je Windows server een VPN server maken en dan binnen de netwerkinstellingen van de desktops de VPN connectie instellen. Voor de gebruikers is RD Gateway gewoon het makkelijkst, zeker als je ze gewoon lekker laat werken via de web interface. Inloggen, dubbelklikken op RDP icoontje en gaan.

Heb je ook geen gezeik met als iemand in internetcafé zit of iets dergelijks waarvoor ze moeten weten hoe ze de VPN in moeten stellen of geen rechten hebben om iets als AnyConnect te installeren.

vrijdag 1 augustus 2014 22:06

Acties:

Davy1982

Waarom geen firewall met een SSL VPN oplossing?

SSL certificaat toevoegen.
Aangeven welke gebruikers verbinding mogen maken (eventueel ad koppelen)
Bij veel ssl vpn routers kun je dan een rdp koppeling maken op de inlogpagina waardoor gebruikers alleen daar op hoeven te klikken.

zaterdag 2 augustus 2014 16:23

Acties:

Teutlepel

Microsoft SSL-VPN (RD Gateway) werkt heel goed met Microsoft Remote Desktop. Voor gebruikers is dit prettig werken omdat SSL-VPN voor RDP al in de clientsoftware zit ingebakken. Zoals Shinji aangeeft is dit HTTPS, poort 443.

Als je een SSL certificaat gebruikt let er dan op dat de RD server een andere FQDN kan hebben dan de RD gateway. Bij een publieke certificaat provider moet er ook internettoegang zijn op de client PC's vanwege de certificate revoke checks (dit wordt nog wel eens vergeten in enterprise omgevingen).

Pagina: 1

Reageer