Windows Server 2003, usługi terminalowe - problem logowania

Komputer z dwiema sieciówkami - WAN i LAN. Zainstalowałem system jak w temacie, dograłem krytyczne poprawki. Niemal automatycznie zainstalował mi się kontroler domeny i routing ze zdalnym dostępem. Uruchomiłem serwer terminali, zdefiniowałem zasoby i użytkowników Active Directory. Mam dwa problemy.
1. W sieci wewnętrznej mogę zalogować do terminala tylko użytkowników z uprawnieniami administratora. Inny użytkownik mimo przynależności do grupy "Użytkownicy zdalnego pulpitu" nie może się zalogować. Komunikat wskazuje na brak uprawnień do logowania terminalowego.
2. Nie potrafię uruchomić terminala z sieci zewnętrznej.

Nie możesz się zalogować na innego użytkownika z powodu tego że nie masz aktywowanego Serwera Licencji ( Terminal Server Licensing ).
A jak chcesz się dostać z zewnątrz?
Bo jest kilka sposobów:
1. Ustawienie połączenia VPN.
2. Przekierowanie na routerze portu TCP/3389 lub statyczny NAT.
3. Nadanie interfejsowi WAN adresu publicznego.
4. Łączenie sie do serwera terminali poprzez IIS.

Ważna sprawą jest zerowanie w pakietach DF bit.

Tak, nie mam aktywowanego serwera licencji terminali. Przy próbie aktywacji poprosił mnie o kody, więc zrezygnowałem. ponieważ wyczytałem gdzieś w helpie, że jeśli nie mam tych licencji to przez 120 dni będą nadawane tymczasowe. Coś chyba źle zrozumiałem.

Co do dostępu z zewnątrz nie bardzo mam rozeznanie co będzie najlepsze. Z zewnątrz chcę mieć dostępu do tego serwera tylko przez zdalny pulpit i żadnego innego. Proszę o radę jak zrobić to najbezpieczniej.

Janusz D wrote:

Tak, nie mam aktywowanego serwera licencji terminali. Przy próbie aktywacji poprosił mnie o kody, więc zrezygnowałem. ponieważ wyczytałem gdzieś w helpie, że jeśli nie mam tych licencji to przez 120 dni będą nadawane tymczasowe. Coś chyba źle zrozumiałem.

Co do dostępu z zewnątrz nie bardzo mam rozeznanie co będzie najlepsze. Z zewnątrz chcę mieć dostępu do tego serwera tylko przez zdalny pulpit i żadnego innego. Proszę o radę jak zrobić to najbezpieczniej.

Jak nie aktywujesz serwera Licencji to będziesz miał dostęp tylko przez konto administratora.
Dostęp do zdalnego pulpitu np. z domu najbezpieczniejszy będzie przez VPN. Można to zrobić uruchamiając serwer VPN na Serwerze Windowsa lub na routerze który obsługuje VPN.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/0135c5a2-5cd2-447c-8a10-daf602dfdb4f.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/a08da8ea-a616-4422-bbd7-9cb8de066b29.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/428c1bbf-2ceb-4f76-a1ef-0219982eca10.mspx?mfr=true

Przeglądam podane strony, ale jakoś słabo mi idzie. Do tej pory wykonałem:
- już wcześniej uruchomiłem routing i zdalny dostęp.
- we właściwościach serwera routingu i zdalnego dostępu w zakładce Ogólne zaznaczyłem Router a także Zdalny dostęp.
- na komputerze klienta przy wyłączonej zaporze skonfigurowałem nowe połączenie VPN podając IP serwera.
Niestety, to za mało. Nie chcę zrobić głupstw, które trudno będzie odwrócić.

Proponuje przejść jeszcze raz przez kreatora Routingu i zdalnego dostępu. Proszę wyłączyć routing a potem go włączyć. Uruchomi się kreator i teraz to co trzeba włączyć zależy od konfiguracji sieci. W oknie konfiguracji pojawi się kilka opcji, trzeba z nich wybrać "custom configuration". Potem do wyboru będą opcje dotyczące usług jakie maja być zainstalowane:
1. Jeżeli serwer jest bezpośrednio podpięty do Internetu i jeżeli pracuje jako router LAN to trzeba zaznaczyć "VPN access", "NAT and basic firewall" i "LAN routing",
2. Jeżeli serwer jest podpiety do Internetu i nie pracuje jako router LAN to wystarczy zaznaczyć tylko "VPN access"

Po zakończeniu działania praktycznie nie trzeba nic zmieniać, no może tylko routing ale z tym to chyba nie ma problemu.
Potem trzeba przejść do "Narzędzi Administracyjnych -> Active Directory Users and Computers" i do zakładki użytkownika który ma dostać prawa do zdalnego dostępu. W zakładce użytkownika Dial-in ustawiamy "Remote Access Permission" na "allow access" i to wszystkie ustawienia serwera.
Inna sprawa gdy serwer jest podłączony do Internetu przez router. Wtedy na routerze trzeba przekierować port TCP/1723 bezpośrednio na adres WAN serwera Win 2003. Jeszcze ciekawiej się robi jak router ma przydzielany adres dynamicznie, wtedy trzeba uruchomić na routerze klienta DDNS.
W kliencie VPN praktycznie też nie trzeba nic zmieniać.
Po połączeniu klienta VPN z serwerem wystarczy tylko uruchomić "Pulpit zdalny" i tu ważna sprawa w adresie serwera proszę najlepiej podać nazwę nie adres IP.
Ta konfiguracja którą opisałem to jest tunel PPTP. Jak to ruszy to wtedy można spróbować uruchomić IPSec over L2TP.

Napotkałem bardzo dziwny problem. Zrobiłem wszystko według rady i nadal połaczenie VPN nie działało. Nie wiedziałem co robić. Powyłączałem większość ról serwera, zamieniłem funkcje sieciówek WAN <-> LAN i skonfigurowałem ponownie role serwera. Pełne zaskoczenie, bez żadnych problemów połączyłem się przez VPN i odpaliłem zdalny pulpit zarówno z zewnątrz jak i wewnątrz sieci. Zależy mi na pierwotnej konfiguuracji sieciówek. Odwróciłem je a resztę zrobiłem chyba tak jak poprzednio i znów przez VPN się nie łączy !!! Czyżby sieciówka (realtek) miała wpływ na VPN?
Dzięki za dotychczasową pomoc, ale może jeszcze jakaś rada.

Janusz D wrote:

Napotkałem bardzo dziwny problem. Zrobiłem wszystko według rady i nadal połaczenie VPN nie działało. Nie wiedziałem co robić. Powyłączałem większość ról serwera, zamieniłem funkcje sieciówek WAN <-> LAN i skonfigurowałem ponownie role serwera. Pełne zaskoczenie, bez żadnych problemów połączyłem się przez VPN i odpaliłem zdalny pulpit zarówno z zewnątrz jak i wewnątrz sieci. Zależy mi na pierwotnej konfiguuracji sieciówek. Odwróciłem je a resztę zrobiłem chyba tak jak poprzednio i znów przez VPN się nie łączy !!! Czyżby sieciówka (realtek) miała wpływ na VPN?
Dzięki za dotychczasową pomoc, ale może jeszcze jakaś rada.

Jak serwer pracuje jako router sieci LAN trzeba sprawdzić ustawienia tabeli routingu, zapory. Jaki błąd wyskakuje przy próbie połączenia? Jakie to sieciówki?
Na serwerze można uruchomić Network Monitor i poobserwować pakiety.

Tak, Serwer jest routerem.
Komunikat przy próbie połączenia: Błąd 800. Server VPN może być nieosiągalny. Identyczny jest, gdy serwer nie działa.
Zintegrowaba sieciówka gigabitowy INTEL. Problematyczny Realtek 8139.
Spróbuję jutro coś pokombinować.

Może być routing źle ustawiony, włączona zapora albo rzeczywiście problem z karta sieciową. Proponuje podstawowe polecenie tracert a potem podgląd ruchu w sieci Network Monitorem lub Etherealem http://www.ethereal.com/download.html

Po kolejnym odinstalowaniu i zainstalowaniu zdalnego dostępu i serwera terminali osiągnąłęm sytuację, w której działa usługa terminalowa z internetu bez VPN. Czy jest to rozwiązanie do przyjęcia ze względów bezpieczeństwa?

Nie jest to bezpieczne.

Tak myślałem. Teraz mogę z zewnątrz mogę nawiązać VPN i odpalić terminal. Ale niestety mogę też odpalić terminal bez VPN. Co więcej nawet, gdy jest połączenie VPN obsługa terminala "idzie z boku". Sporo szukałem w Googlach, ale nic nie znalazłem. Co zrobiłem źle?

Żeby połączenie terminalowe nie szło bokiem trzeba zablokować port TCP/3389 dla połączenia do Internetu. Poza tym proponuje przy podłączonym tunelu VPN wywoływać zdalny pulpit np. po adresie z sieci LAN serwera albo po adresie jaki przydzieli serwer VPN domyślnej bramie czyli serwerowi ( można to sprawdzić w statusie połączenia VPN na PC ) lub po nazwie netbiosowej np. serwer lub po nazwie DNS serwera pod warunkiem, że nie została zarejestrowana w jakimś publicznym serwerze DNS a nie po adresie publicznym. Można jeszcze dla pewności na PC który się łączy poprzez VPN z serwerem, ustawić połączenie VPN jako domyślne.

Nie do końca rozumiem ostatnią radę. Odnosi się ona chyba do klienta. Natomiast mi zależy na takim skonfigurowaniu dostępu do serwera, aby połączenie z nim mogło przebiegać tylko przez VPN.

We właściwościach połączenia WAN (zakładka Translator ..) włączyłem zaporę podstawową i uaktywniłem obie bramy VPN, pulpit zdalny i zabezpieczenia IP (w zakładce Usługi i porty).
W zasadach zdalnego dostępu, w elemencie Połączenia z serwerem usługi routingu ... jako warunki wybrałem Tunel type. Kliknąłem Edytuj profil i zaznaczyłem Zezwalaj na dostęp tylko za pośrednictwem i wskazałem VPN. Ale to nie daje efektu.

No to powiem inaczej. Na serwerze można zablokować wszystkie porty w interfejsie WAN oprócz TCP/80, TCP/53, UDP/53, TCP/443, TCP/110, TCP/25, TCP/1723. Z tym że port TCP/1723 musi być otwarty w obie strony bo to klient nawiązuje połączenie z serwerem czyli z zakładce serwisy i porty trzeba zaznaczyć bramkę VPN(PPTP) ewentualnie też VPN(L2TP/IPsec) nic poza tym.