Connessione desktop remoto

Connessione desktop remoto

Buongiorno a tutti..io ho la necessità di accedere tramite desktop remoto dal mio computer di casa a quello dell' ufficio. Vi spiego la mia configurazione:



PC CASA



ho una connessione adsl alice che avvine tramite un modem sistema operativo windows xp



PC UFFICIO



qui ce una connessione alice business con router zyxel e 3 pc collegati in rete..il server installa windows 2003 server.



Allora la prima cosa che ho fatto è stata aprire la porta del router la 3389 e indirizzare la connessione sull indirizzo del server. Ho poi abilitato sul server la possibilità di connettersi al compuer tramite desktop remoto e ho disattivato il firewall di windows.



Succede però che quando vado da casa e inserisco l'ip del router (quello fornitomi da telecom) mi dice che è impossibile connettersi.

Ho provato di tutto ma niente..la cosa strana è che ci sono altri colleghi che si connettono tranquillamente anche se anche loro utilizzano una connessione ad internet con ip statico.



LA mia domanda è questa..non riesco a connettermi perchè ho un ip dinamico o ce qualche altro motivo?

Dovresti redirigere verso l'host e non al server a rigor di logica, ma qui dipende dalla conf che hai scelto di usare.



Controlla la configurazione sul router e verifica che non ci siano regole specifiche sugli host in entrata (questo su eventuali firewall), la redirezione corretta dovrebbe essere fatta direttamente verso il tuo pc, ma dato che dici che altri tuoi colleghi lo fanno già suppongo che venga gestita dall'active directory, in tal caso controlla che le opzioni del tuo utente permettano la connessione remota dallo snap-in di MMC .



Falko

Ciao scusa se rispondo solo ora..ma cosa significa snap-in di MMC ??potresti spiegarmi in modo più semplice??.. i miei colleghi si collegano ma lora hanno un ip statico..non vorrei che ci fosse qualche regola sul firewall in tal senso e cioè che lasci passare solo un determinato renge di ip..

OVVIO, solitamente tutit lgi uffici hanno un firewall che blocca connessioni, con lo stealth .



Se mi dici cosi, vuol dire che loro hanno messo nelle regole del firewall che l ip xxx.xxx.xxx.xxx. può accedere a tot servizi in tot maniere.

[quote name='ale112002']Ciao scusa se rispondo solo ora..ma cosa significa snap-in di MMC ??potresti spiegarmi in modo più semplice??.. i miei colleghi si collegano ma lora hanno un ip statico..non vorrei che ci fosse qualche regola sul firewall in tal senso e cioè che lasci passare solo un determinato renge di ip..[/QUOTE]

MMC (Microsoft Management Console) è "il" tool di gestione di windows con il quale configuri completamente l'os (reti, hardware, componenti di sistema, regole di accesso, sicurezza e via dicendo), gli snap-in sono i moduli di configurazione che attivi per configurare un determinato aspetto del sistema windows all'interno di MMC stessa.



La avvia digitando da start - esegui con il comando "mmc" (senza virgolette), quindi dalla finestra che appare trovi in un menu a tendina l'opzione relativa agli snap-in che andrai a scegliere. Fatto ciò la finestra di MMC si popolerà di sottofinestre in base agli snap-in selezionati e da qui potrai fare le configurazioni del caso. Unica nota: la console di gestione dei sistemi server è nettamente diversa da quella di Xp, se devi metterci mano annotati le eventuali modifiche fatte perchè in caso di errore si rischia di compromettere il server e far collassare la rete.



Re: la modifica che probabilmente ti serve attivare è quella relativa all'utente e dovrebbe essere impostata in modo che "permetta connessioni remote" quindi dalla gestione gruppi (sempre dell'utente) va verificato che quest'ultimo sia presente nel gruppo degli "utenti del desktop remoto" nel caso il client che devi agganciare non faccia parte di un dominio creato da Win 2003, altrimenti devi rivolgerti all'amministratore di rete e chiedergli di creare la configurazione "server-side" per la redirezione del desktop remoto.



Una cosa che mi era sfuggita: dici che i tuoi colleghi riescono a connettersi ma a quanto ho capito la regola che hai creato non esisteva prima, se così fosse la configurazione del router sarebbe totalmente inutile mentre dovrebbe essere una regola "server-side" da farsi su Win 2003



Falko

Ciao grazie per la spiegazione..però quello che non capisco è perchè cambiando la regola del firewall del router cioè mettendo WAN to LAN su permit riesco ad entrare tranquillamente..se ci fosse stata una regola sul server non sarei riuscito ad entrare ugualmente..secondo me dipende tutto dal router..mi sbaglio??

Se hai risolto modificando la regola sul router si trattava semplicemente di una redirezione che sei andato a creare ed in tal caso: si, dipende tutto dal router; in goni caso la configurazione di un servizio di quel tipo dipende fortemente dal metodo di networking applicato



Ps: Felice che tu abbia risolto



Falko

Questa prova l'avevo gia fatta prima..ma il mio dubbio è questo: come mai i miei colleghi si collegavano lo stesso al server anche prima di modificare questa regola??..ce qualche impostazione sul router che mi è sfuggita??

Ci sono almeno 2 casi possibili per questo:



1 - il router ha la "dmz zone" che punta a win 2003 : quindi autenticandosi ad esso verrebbero rediretti ai propri pc con la tecnica spiegata sopra. E' difficile che sia questo il sistema usato perchè nel momento che hai configurato il tuo pc automaticamente tutti i loro non funzionerebbero più (la porta usata per il desk remoto è sempre quella, ecco perchè in genere si fa passare per il dominio );

2 - i loro computer di casa potrebbero essere connessi in VPN Virtual Private Network) autenticandosi di conseguenza in remoto sul server Win 2003 : spiegherebbe anche parecchie cose ed è il caso più probabile (oltre che ad essere quello maggiormente corretto), nelle reti aziendali in genere si usa questo metodo anche perchè oltre che ad essere più sicuro (VPN permette di cifrare la comunicazione con almeno 2 algoritmi) i pc nel momento che si connettono in questo sistema assumono un indirizzamento locale sebbene si tratti di una connessione remota, che è per l'appunto la funzione che svolge questo protocollo. Usando questo sistema i loro pc assumerebbero quindi un ip fisso all'interno del network e trovandosi all'interno del dominio il desktop remoto lo si aprirebbe chiamando l'ip LAN delle proprie stazioni di lavoro esattamente come se stessero usando il pc accanto al loro.



E' anche possibile che utilizzino un altro metodo ma quelli descritti sopra sono i casi più probabili



Se hai bisogno di ulteriori informazioni chiedi pure



Falko

Si potrebbe essere la spiegazione corretta..però tu dici che per connettersi al pc in ufficio usano l' ip della lan anzichè quello pubblico della connessione?? no perchè io so per certo che per connettersi loro utilizzano l' ip fornito da telecom..

Volevo solo precisare che mi pare che il router che è uno zyxel P-660HW-D1 non configuri la VPN..ti risulta?

[quote name='ale112002']Si potrebbe essere la spiegazione corretta..però tu dici che per connettersi al pc in ufficio usano l' ip della lan anzichè quello pubblico della connessione?? no perchè io so per certo che per connettersi loro utilizzano l' ip fornito da telecom..[/QUOTE]

Può essere può essere...

Non è piuttosto che usano Vnc per caso?



Per la VPN, è possibile che sia configurata completamente su Windows Server, la gestione dell'autenticazione VPN non è fatta solo dai routers

In questo caso è anche possibile che non si tratti di desktop remoto, ma di configurazione profilo con lo "user-space" creato sul server, in pratica i dati salvati non risiederebbero mai sul pc client, ma sempre sul server (in pratica alla connessione tu monteresti in remoto il tuo spazio utente e avresti accesso completo alle risorse in base a quello che hai abilitato sulle regole). Puoi capire se si tratta di questo tipo di configurazione nel caso i tuoi colleghi riescano ad agganciare il "desktop remoto" con le loro postazioni spente !



(sto problema è interessante...)



Falko

Ciao, si è interessante..be guarda che io sappia loro si collegano normalmente..se poi usano qualche altro metodo e non me lo hanno detto questo non saprei dirlo..però devono passare sempre dal router prima perchè il firewall è attivo..quindi credo che tutto dipende da lui..

Che il firewall faccia la sua parte è scontato, ma è molto improbabile che sia esso a gestire la redirezione sul pc corretto, anche perchè significherebbe impostare una porta per ogni pc che a sua volta dovrebbe impostare la porta corretta per effettuarne l'accesso (immagina se il network che connette in questo modo fosse fatto da qualche centinaio di pc...).



Il caso spiegato sopra è probabilmente quello usato, ma per farti capire come funziona un esempio può aiutare:



immagina un tavolo, con una croce disegnata su di esso che lo divide in 4 rettangoli con un numero su ognuno di essi, in centro ad una stanza con ai 4 lati una persona. Ora, ogni persona andrà ad usare il tavolo sfruttando "solo" il rettangolo attiguo ad essa...

A livello informatico succede la stessa cosa: il server (nell'esempio il tavolo) va a creare degli spazi utente su di esso (i rettangoli disegnati) e quando un utente vi ci si collega monta questo spazio sul proprio pc (alias, si avvicina al tavolo ed userà il rettangolo con il numero assegnato ad esso); come ben capirai nel momento che l'utente sgancia la propria sessione di lavoro (alias, si allontana dal tavolo) il suo pc si spegnerà ma quello che ha messo sul server resterà attivo (se c'è una penna sul suo rettangolo questa non verrà messa via, ma semplicemente lasciata appoggiata li).



In desktop remoto invece succede una cosa differente, ogni utente è come se avesse una propria stanza con un tavolo, con una porta che permette di chiudere il tutto. Ora, per fare una sessione di Desktop remoto la persona che si trova al di fuori della stanza dovrà prima di tutto accedervi (entrare dalla porta, quindi deve essere per forza aperta, alias pc acceso) e quindi ritrovare il proprio tavolo davanti a lui per poter riprendere a lavorare.



Mi rendo conto che l'esempio è stupido, ma rende l'idea della differenza tra i 2 servizi; in pratica se si usano i work-space assegnati sul server i computer che lo agganceranno dovranno solo dire ad esso in che spazio devono lavorare (user + pass) e questo provvederà a montare lo spazio utente sul pc che ha effettuato la connessione rendendo praticamente trasparente la rete che divide i vari pc dal server. In questo particolare caso si configura 1 sola porta sul router (quella VPN) che punterà a Windows 2003 e sarà necessario avere un solo pc acceso (sempre il server). A livello di configurazione si tratta invece di assegnare una regola sui permessi utente in active directory facendo in modo che esegua uno script di accesso che, per l'appunto, monta lo spazio utente corretto



Re: Se si tratta di questa configurazione ti potrebbe capitare di vedere al lavoro persone che usano pc diversi avendo comunque davanti il proprio desktop aggiornato in tempo reale 2



Falko

Ciao, la tua spiegazione è stata semplice e concisa..ora non so se i miei colleghi utilizzino una connessione VPN anche perchè sul router non ho notato nessuna configurazione in tal senso..sò per certo, però, che per collegarsi in desktop remoto utilizzano l' IP fornito da telecom e si connettono normalmente..sul router la porta 3389 è aperta e punta sul server..e poi ce la porta 1334 per un servizio SQL..di altro mi pare non ci sia niente di strano..poi controlando l' active directory sul router non vedo nessuna configurazione..comunque sul router è aperat al porta standard 3389 e punta sul server..una cosa che ho notato è che ogni volta che mi connetto in desktop remoto si apre una nuova sessione sul server ed è forse quello che dicevi tu in merito alle connessioni da più pc..però controllando in active directory non vedo configurazioni attive..

3389 TCP è effettivamente quella del desktop remoto (e in questo caso punta al server...). Da questa affermazione ora, ti posso dare con maggior certezza la conferma di quanto ipotizzavo prima: I computer dall'esterno invocano l'ip pubblico del server ed in base alla login effettuata questo redirige verso il computer all'interno della lan aprendone il desktop remoto (dovrebbe trattarsi di una regola interna sul server).

La porta database (1334 TCP) è strano che sia aperta, ma è possibile che un eventuale sito dell'azienda (in esterno su internet) lo utilizzi per andare a leggerne le tabelle ed aggiornare in tempo reale eventuali pagine per così dire "dinamiche", altrimenti può essere errore di configurazione (un sito situato sul server stesso non ha bisogno di particolari forward sul router per accedervi, anche se è un altro server della LAN a fare da Database!).



Per verificare eventuali connessioni VPN, vedi se sul router esiste un server "embedded" configurato, in questo caso non ci sarebbe necessità di configurare un forward particolare in quanto è possibile che sia il router stesso a farlo al momento dell'avvio (senza mostrare esplicitamente la regola, improbabile ma non impossibile 2 ).



Falko

Ma allora io come faccio a capire se ce questa regola sul server??cosa devo controllare??sul router mi pare che questa connessione non sia attiva..

Da MMC vedi la proprietà di ogni singolo utente nella gestione specifica, c'è una opzione specifica per questo 2



Falko

Mi sono collegato al server ora da casa ed ho ho rimesso la regola sul firewall del router cioè WAN to LAN su dorp..e poi ho provato a ricollegarmi ma niente..neanche alla schermata del nome utente e password mi fa entrare..