Dostęp zdalny do komputerów Windows, pulpit zdalny Windows, konfiguracja sieci VPN, instalacja serwera terminali RDP Windows - zdalne usługi IT ☎ 222 994 507
Istnieje kilka sposobów na zdalny dostęp do serwerów firmy przez Internet, które możemy podzielić na zdalne przejęcie konsoli serwera, zdalny dostęp do usług sieciowych serwera, zdalny dostęp do programów. Najcześciej używanym sposobem połączeń zdalnych są programy TeamViewer i AnyDesk, które są dosyć drogie dla zastosowań biznesowych, więc dobrym rozwiązaniem jest bezpłatny serwer VPN i podłączenie pulpitu zdalnego Windows.
Najprostszym sposobem dostępu do serwera Windows lub innego systemu Windows w wersji Pro (wersja Home nie przyjmuje połączeń zdalnych pulpitów) , jest zdalne przejęcie jego pulpitu za pomocą protokołu RDP.
Ze względów bezpieczeństwa należy zmienić na serwerze domyślny numer portu TCP 3389 do podłączenia pulpitu zdalnego:
1. Uruchom Edytor rejestru.
2. Zlokalizuj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. W menu Edycja kliknij polecenie Modyfikuj, a następnie kliknij opcję Dziesiętny.
4. Wpisz nowy numer portu i zamknij Edytor rejestru.
5. Ponownie uruchom komputer.
Nie w każdej wesji systemu Windows Server można uruchomić usługi Remote Desktop Services czyli serwer terminali Windows.
Windows Server Essentials od wersji 2016 pozwalają uruchomić jednocześnienie tylko 2 użytkowników pulpitu zdalnego, niestety Microsoft nie daje możliwości zakupu dodatkowych licencji usług RDS dla tych wersji systemu operacyjnego.
Usługi terminalowe powinno się uruchamiać na serwerach przyłączonych do domeny Active Directory, ale istnieje możliwość uruchomienia tych usług na sewerach podłączonych do grupy roboczej, tylko należy pamiętać o zakupie licencji RDS na komputer, a nie użytkownika. W celu zapewnienia bezpieczeństwa serwera zdalnego dostępu powinno się skonfigurować uprawnienia użytkowników serwera terminali za pomocą zasad grup (Group Policy).
Dostęp zdalny do sieci komputerowej przez Internet najlepiej wykonać przez szyfrowane połączenie VPN za pomocą serwera VPN uruchomionego na routerze lub serwerze Windows lub Linux.
Dzięki serwerowi VPN (Virtual Private Network) skonfigurowanemu na serwerze Windows możemy uzyskać zaszyfrowany dostęp do udostępnionych plików i drukarek tego serwera oraz całej sieci wewnętrznej firmy. Usługę routingu i dostępu zdalnego VPN (RRAS - Routing and Remote Access) można uruchomić na serwerze Windows 2003, 2008, 2012, 2016, 2019 w wersji Standard, Foundation, Essentials, Datacenter.
Każda wersja systemu Windows XP, Vista, Win7, Win8, Windows 10 w wersjach Home, Windows Pro lub Premium posiada wbudowanego klienta VPN, który może łączyć się z serwerem VPN, ale nie każdy system Windows połączy się z najlepszym szyfrowaniem IPSec np. Windows 7 w IKE faza 1 wymaga 3DES/SHA1/DH2, w fazie 2 ESP-Transport.
Opracowany przez Microsoft protokół PPTP (Point-to-Point Tunneling Protocol) jest łatwy w konfiguracji i szybki przy stabilnych połączeniach, ale mniej bezpieczny niż protokół L2TP ponieważ stosuje szyfrowanie MPPE 128-bitowe.
PPTP do połączenia wymaga otwartego portu TCP 1723 i protokołu IP 47 GRE (Generic Routing Encapsulation).
Protokół L2TP (Layer 2 Tunneling Protocol) powstał we współpracy firm Microsoft i Cisco i jest uznawany za bezpieczniejszy niż PPTP ponieważ nie posiada większych luk w zabezpieczeniach, wykorzystuje pakiet IPSec do szyfrowania 256-bit AES oraz nie ma żadnych problemów z wydajnością, gdy jest używany na niestabilnych połączeniach.
L2TP używa portu TCP 1701, natomiast IPSec używa protokołu IP 50 do ESP (Encapsulated Security Protocol), protokołu IP 51 do AH (Authentication Header) oraz portów UDP 500 do negocjacji fazy 1 i 2 IKE (Internet Key Exchange) lub UDP 4500 jeżeli NAT-Traversal jest używany do negocjacji faz IKE.
Nagłówek IPsec (Internet Protocol Security) – ESP można stosować w trybie transportowym lub tunelowym. Tryb tunelowy zapewnia wyższy poziom ochrony, ponieważ pakiety IP są w całości enkapsulowane w ESP.
Problem występuje ponieważ domyślnie systemy Windows 10 i starsze nie obsługują protokołu IPsec jeżeli serwer VPN znajduje się za urządzeniem stosującym NAT.
Rozwiązaniem problemu jest nadanie serwerowi VPN publicznego adresu IP lub zmiana w rejestrze klienta VPN:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Dodać klucz rejestru DWORD32 o nazwie: "AssumeUDPEncapsulationContextOnSendRule"
Wpisać warość 2 do klucza, która pozwala uzyskać połączenie IPsec jeżeli klient VPN i serwer VPN znajdują się za urządzeniem NAT.
Po zrobionych zmianach w rejestrze koniecznie zrestartować Windows.
Add-VpnConnectionRoute -ConnectionName "Nazwa_VPN" -DestinationPrefix "192.168.1.0/24" -PassThru
lub
Add-VpnConnectionRoute -ConnectionName "Nazwa_VPN"
Remove-VpnConnectionRoute -ConnectionName "Nazwa_VPN"
1. Sprawdzić konfigurację zapory sieciowej na serwerze VPN.
2. Dodać wartość w rejestrze Windows (opis wyżej).
3. Sprawdzić autentykację PAP/CHAP we właściwościach klienta VPN.
4. Wyłączyć usługę "Xbox Live Networking Service", która może blokować dostęp do L2TP/IPsec VPN.
%AppData%\Microsoft\Network\Connections\Pbk
10-11-2022 RONAG IT