Wpis z mikrobloga

Skopiuj link

09.12.2021, 07:44:52

#sysadmin #windowsserver #windows #it

Mam wystawić Win Server 2019 na świat z dostępem przez zdalny pulpit vel RDP, a nie administruję windowsami i nie jestem pewien swojej wiedzy w poniższych sprawach.

1. Kluczowe pytanie: jeżeli dobrze rozumiem RDP renderuje obraz softwareowo, na CPU, choć wsparcie sprzętowe można włączyć. Warto, a może nawet trzeba, dołożyć do serwera kartę graficzną? Ok. 10 użytkowników jednorazowo. Może, jeżeli sam program nie wykorzystuje GPU do renderowania, wystarczy karta zintegrowana?

2. Czy wystawianie RDP na świat jest praktykowanym rozwiązaniem? Poczytam i zabezpieczę na ile się da, ale ponieważ nie siedzę w windowsach na co dzień, to nie wiem czy standardowo tak właśnie daje się dostęp w trybie graficznym, czy są jakieś lepsze metody.

Pozwolę sobie zawołać eksperta, którego kojarzę: @Koliat

#siecikomputerowe #pytanie #informatyka

jakuba94

09.12.2021, 07:49:02

@wonsz_smieszek: 1. Wszystko zależy trochę od rodzaju CPU jakie będziesz miał. Myślę że jeżeli bedziesz miał 10 threadów to styknie 1 thread per usera
2. Generalnie nie jest praktykowane a jeżeli już to się dobrze kryje. Dużo lepszym rozwiązaniem byłby jakiś VPN PPTP i dopiero na tym VPN wystawić RDP

Filip3k91

09.12.2021, 07:49:56

@wonsz_smieszek:

1. 10 użytowników jednorazowo? czyli w jednym momencie? Czy raczej każdy w swoim czasie?

2. Jest praktykowane - to tzw. jump servery. Natomiast nie otwierałbym tego całkowicie na internet mimo wszystko.

wonsz_smieszek

mmichal

09.12.2021, 07:51:51

2. Czy wystawianie RDP na świat jest praktykowanym rozwiązaniem?

@wonsz_smieszek: nie, to dość słabe od strony security, co chwila są jakieś exploity i cały czas będzie coś próbowało się dostawać, postaw jakiś zwykły vpn (openvpn?) przed RDP

M.....n

konto usunięte 09.12.2021, 07:56:29

@wonsz_smieszek: znam wystawione na świat 2 RDPy pod dzikimi portami i którym od kilku lat nic nie jest. nie jest to dobre rozwiązanie tak czy siak

wonsz_smieszek

Franz_Maurer

09.12.2021, 07:56:36

@wonsz_smieszek: Wystawianie RDP na zewnątrz to najgorsza możliwa opcja. Najlepiej zestawiać tunele VPN RA.

wonsz_smieszek

09.12.2021, 07:57:18

@jakuba94: 1. czyli zasadniczo dobrze kminię, że (o ile się nie okaże, że program w którym mają sobie klikać wymaga GPU), to przy procek przy odpowiednio małym obciążeniu powinien dać radę. A jak się okaże, że nie, to włączam wsparcie sprzętowe i dokładam kartę?

2. VPN proponowałem, ale wtedy to już skomplikowane, bo nie da się tak po prostu dać komuś loginu i hasła, i niech się zaloguje :) A użytkownicy

Shamson

wonsz_smieszek

09.12.2021, 07:58:58

@mmichal: @MaxVerstapen: @Franz_Maurer: tak żem czuł, że brzmi to słabo. Co zatem mogę zaproponować ludziom innego niż RDP, co będzie w miarę łatwe w obsłudze dla nieogarów, żeby mogli sobie siedząc gdzieś w domu łatwo połączyć się w trybie graficznym z windowsową maszyną?

maniac777

09.12.2021, 08:00:03

@wonsz_smieszek: tez nie jestem specjalista od windowsow, ale
1. Jak to zwykle aplikacje firmowe typu formularz komorki i trzy okienka na krzysz to grafika prawdopodobnie nie jest twoim zmartwieniem nawet gdybys mial 10 razy wieksza skale.

2. Ja bym sie nie odwazyl wystawiac rdp na swiat bez vpna.

M.....n

konto usunięte 09.12.2021, 08:00:26

@wonsz_smieszek: VPN i RDP ( ͡° ͜ʖ ͡°)

jakuba94

09.12.2021, 08:00:56

@wonsz_smieszek: VPN PPTP możesz na WS 2019 ogarnąć za pomocą server managera i dodać wszystkich userów z danej grupy na serwerze - https://getanadmin.com/windowsserver/win2019/how-to-setup-vpn-using-pptp-on-windows-server-2019/

wonsz_smieszek

Filip3k91

09.12.2021, 08:01:25 via Wykop Mobilny (Android)

@wonsz_smieszek: VPNy to standard w każdej firmie, wiec juz niech tak nie narzekaja. Innym rozwiazaniem jest wirtualizacja np. Citrix, lub Amazon Work Space.

wonsz_smieszek

09.12.2021, 08:04:02

@maniac777: 1. raczej specjalistyczny soft, nie wiem zupełnie jakie ma wymagania, ale kosztuje tyle co ładnych kilka serwerów :)

@Filip3k91: to nie firma, to instytucja, użytkownicy nie znają vpn-a.

A mnie się słabo robi na myśl, że im to będę musiał tłumaczyć ( ͡° ʖ̯ ͡°)

Franz_Maurer

09.12.2021, 08:04:39

@wonsz_smieszek: Od biedy można na routerze skonfigurowac PPTP VPN i poustawiac odpowiednie ACL. PPTP client jest domyślnie dostępny na klienckich Windowsach. Jakąś obrazkowa instrukcja i myślę, że userzy dali by radę z konfiguracją. Lepsze takie rozwiązanie niż wystawianie RDP na zewnątrz.

wonsz_smieszek

wonsz_smieszek

09.12.2021, 08:05:21

@jakuba94: wygląda całkiem przyjaźnie, to może od strony administracyjnej nie będzie bólu głowy :)

jakuba94

09.12.2021, 08:08:30

@wonsz_smieszek: ale i tak poczekałbym na Ewangeliste Microsoftu @Koliat ( ͡° ͜ʖ ͡°)

sirpingus

09.12.2021, 08:14:39

@wonsz_smieszek: Szczerze.
Odradzam PPTP jako protokół VPN jeżeli chodzi o bezpieczeństwo. Stoi wyżej od gołego RDP, ale tylko o próg a nie o chociażby jeden stopień jak chodzi o bezpieczeństwo.

Kwestia na co pozwala sieć instytucji (jakie porty są blokowane i czy można rozblokować).

Połączenia VPN wbudowanego klienta można zadać poleceniem PowerShellowym (wykonać na userach): https://docs.microsoft.com/en-us/powershell/module/vpnclient/set-vpnconnection?view=windowsserver2019-ps
Tyle że klient VPN microsoftu jest niedorobiony ze względu na obsługę wyłącznie PPTP i L2TP

wonsz_smieszek

09.12.2021, 08:18:25

@sirpingus: dogadać się z administratorem sieci mogę, porty się otworzy. Serwer i tak bym wsadził do DMZ, on niczego wewnątrz sieci nie potrzebuje, z niczym nie byłby integrowany. Trochę mnie zaskoczyłeś tym, że VPN microsoftowy jest niedorobiony i lepiej postawić OpenVPN (tego używam dużo na linuksach). Spodziewałem się, że w dobie pracy zdalnej rozwiązania komercyjne od MS będą wręcz o klasę lepsze od opensourcowych.

Caishen

Caishen

09.12.2021, 08:18:50

@jakuba94: możesz też spróbować stworzyć Windows Virtual Desktop -WVD.na Azure i wystawić tylko tą jedną aplikację bez dostępu do samego Windowsa. Chociaż nie wiem czy to nie przerost formy nad treścią.

Dodatkowo przy 50 użytkownikach pomyśl nad licencjami. Defaultowo przez RDP może połączyć się tylko 2 userow w tym samym czasie

wonsz_smieszek

Koliat

09.12.2021, 08:30:08

@wonsz_smieszek: @jakuba94:

Wszyscy gadają o VPNie, a tu wystarczy zwykle RD Gateway postawić. Brama pełni podobną funkcję jak serwer VPN, a dużo lepiej integruje się z systemem. Wtedy można zablokować port 3389 na serwerze, bo RD GW słucha tylko na 443 (opcjonalnie 3391 UDP) i robi za "proxy" do RDS. Poziom bezpieczeństwa porównywalny z TLS (https etc. )

Nie wystawiaj nigdy RDPa gołego na świat, nawet na innym porcie -

wonsz_smieszek

09.12.2021, 08:50:32

Wszyscy gadają o VPNie, a tu wystarczy zwykle RD Gateway postawić

@Koliat: zaraz będę googlował, ale jeżeli mogę prosić o dosłownie dwa słowa: to jest jakiś tunel, w którym RDP chodzi? Da się z tym połączyć łatwo i w miarę bezkonfiguracyjnie przez niekumatych userów z windows 10/11 ewentualnie MacOS?

Wyrzuć użytkownikom RemoteAppy zamiast pełnych pulpitów jeśli się da

O, nie wiedziałem że coś takiego jest, spoko. Niestety oni pewnie będą sobie

Caishen

Aktywne Wpisy

Wykop24h

Wykop24h +1141

3 godz. i 13 min temu

Panowie wpis spadł z mikrobloga.

Ale pomysł był zacny i ja bym się na niego pisał, potrzebujemy kilku Mirków plus grupa na what's up i robimy to jedziemy na Krupówki kupujemy strój misia i wielki baner że zdjęcia za darmo.

Pomysł był taki żeby jechać na Krupówki w kilku/kilkunastu Mirków zabrać strój misia i robić zdjęcia za darmo cały dzień, a góralą by dupa pękła na pół i do tego potrzeba była