Veröffentlichen eines internen Terminalserver oder interner Remotedesktop Services auf einem alternativen Port
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Der vorliegende Artikel beschreibt als Ergänzung zum Artikel RDP-Serververöffentlichung die notwendigen Schritte, um einen internen Computer mittels des Remotedesktopprotokolls auf einem alternativen (nicht-standard) Port zu veröffentlichen. Ein alternativer Port ist dann notwendig oder sinnvoll, wenn entweder mehrere Server über lediglich eine extern vorhandene IP Adresse veröffentlicht werden soll oder wenn das Sicherheitskonzept die Nutzung von nicht-standard Ports vorsieht.
Einrichten des internen Servers oder Computer zur Fernverwaltung mittels Remotedesktop (RDP):
Um den Server über die Remotedesktop-Funktionalität von Windows Server 2003 (bei Windows 2000 Server ist es das selbe Prinzip, die Technik heißt dort jedoch noch "Terminaldienst im Administrationsmodus") verwalten zu können muss am Windows Server ein kleiner Konfigurationsschritt durchgeführt werden.
In den Systemeigenschaften (Systemsteuerung -> System) muss auf der Registerkarte "Remote" der Remotedesktop aktiviert werden. Standardmäßig dürfen dann nur (lokale) Administrationen eine RDP-Verbindung herstellen. Man kann aber jederzeit weitere berechtigte Benutzer hinzufügen.
Sollten Sie die "echten" Terminaldienste veröffentlichen wollen, ist dieser Schritt ggfs. nicht notwendig.
Konfiguration einer Firewallrichtlinie für externen RDP-Zugriff
Nachdem die Windows-seitigen Einstellungen vorgenommen wurden, kann eine Firewallrichtlinie erstellt werden.
Erstellen Sie eine neue Serververöffentlichungsregel:
In diesem Beispiel heißt der interne Server "Sonne" und hat die IP-Adresse 192.168.16.68.
Wählen Sie das RDP-Server-Protokoll aus:
Über die Schaltfläche "Ports" gelangen Sie in den Konfigurationsbereich für den alternativen Port.
Dabei ist für das hier besprochene Szenario lediglich der oberste Abschnitt "Firewallports" interessant. Durch die Option "Auf folgendem Port anstelle des Standardports veröffentlichen" können Sie einen alternativen Port wie z.B. 1234 statt des üblichen Ports 3389 verwenden. Externe Clients müssen dann in ihrer Remotedesktopverbindung (siehe unten) den alternativen Port angeben.
Mittels der mittleren Option "Veröffentlichte Serverports" können Sie z.B. den ISA Server auf Port 3389 abhören lassen, die Verbindung dann jedoch an den internen Terminalserver auf Port 1234 weiterleiten. Dies könnte dann notwendig sein, wenn der interne Server umkonfiguriert werden musste.
Legen Sie anschließend das Netzwerk aus, von welchem die Anfragen kommen.
Hinweis: Sollte der ISA Server über mehrere externe IP-Adressen verfügen, können Sie mittels "Adresse..." festlegen, auf welcher IP-Adresse RDP-Anfragen entgegengenommen werden:
Hinweis: Sollten Sie mehrere interne Server (oder den ISA Server Computer) gleichzeitig per RDP von extern zugänglich machen, müssen Sie dafür unterschiedliche externe IP-Adressen oder einen anderen Port verwenden. Sie können mit einer externen IP Adresse maximal einen internen Server veröffentlichen.
Die letzte Seite des Assistenten zeigt wie immer eine Übersicht an.
Bevor die neu erstelle Firewallrichtlinie übernommen wird, sollten Sie noch eine kleine Korrektur in den Eigenschaften der Richtlinie vornehmen. Gehen Sie dazu auf die Registerkarte "Von".
Standardmäßig wird als Quellnetzwerk "beliebig" ausgewählt. Ändern Sie das in "Extern" ab. Sollten Sie noch weitere Einschränkungen vornehmen wollen, so tun Sie es hier und jetzt. Es ist z.B. denkbar, dass Sie nur bestimmte vordefinierte Computer in einem Computersatz zusammenfassen und nur diesen den Zugriff auf diese Regel erlauben. Dann würden Sie natürlich diesen Computersatz statt "Extern" hinzufügen.
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Vom Client aus ruft man einfach die "Remotedesktopverbindung" (Start -> Programme -> Zubehör -> Kommunikation) auf (alternativ: mstsc) und gibt den Namen oder die IP-Adresse und mit einem Doppelpunkt getrennt den alternativen Port des ISA Servers ein:
Tip: Mit dem Befehl mstsc /console ruft man eine Remotedesktopverbindung auf die Konsole auf. Das hat mehrere Vorteile:
- man sieht Popups/Warnungen
- man kann meist Software installieren, die nicht im Terminalmodus installiert werden kann
- man kann die Konsole so übernehmen/übergeben wie man sie am "echten" Monitor sieht
Stand: Friday, 28. August 2009/DR.
