Frage zur Verwendung von "mstsc"

[Atriòr]

Hallo,

ich habe eine Frage zur Verwendung des Kommandos "mstsc" bei der Remotedesktopverbindung. Im LAN kann ich mich auf diese Art am WHS anmelden aber über das Internet scheitert es jedes mal ohne das eine genaue Fehlermeldung ausgegeben wird. Über den Umweg XXX.homeserver.com kann ich jedoch problemlos auf dem Desktop des WHS arbeiten. Muss ich zusätzliche Ports im Router freigeben damit die Verwendung von "mstsc" übers Internet funktioniert?

Und eine weitere Frage zum Verständnis: Es gibt ebenfalls die Möglichkeit bei den LAN-Verbindungen eine "Eingehende Verbindung (mit/ohne VPN)" zu erstellen. Für welchen Fall muss man eine solche erstellen? Ich habe mal versucht eine eingehende Verbindung am WHS zu erstellen und eine "ausgehende" auf dem Client. Aber auch so scheitert eine Verbindung über das Internet. Ich steh echt auf dem Schlauch was das Thema Remote angeht. Wie gesagt funktioniert es ja über die XXX.homeserver.com Seite aber ich würde mich gerne ohne diesen Umweg am Server anmelden. Aber ich trete nur auf der Stelle.

MfG

[ITU124]

ich habe eine Frage zur Verwendung des Kommandos "mstsc" bei der Remotedesktopverbindung. Im LAN kann ich mich auf diese Art am WHS anmelden aber über das Internet scheitert es jedes mal ohne das eine genaue Fehlermeldung ausgegeben wird. Über den Umweg XXX.homeserver.com kann ich jedoch problemlos auf dem Desktop des WHS arbeiten. Muss ich zusätzliche Ports im Router freigeben damit die Verwendung von "mstsc" übers Internet funktioniert?

Das Kommando funktioniert nur im LAN.

Und eine weitere Frage zum Verständnis: Es gibt ebenfalls die Möglichkeit bei den LAN-Verbindungen eine "Eingehende Verbindung (mit/ohne VPN)" zu erstellen. Für welchen Fall muss man eine solche erstellen? Ich habe mal versucht eine eingehende Verbindung am WHS zu erstellen und eine "ausgehende" auf dem Client. Aber auch so scheitert eine Verbindung über das Internet. Ich steh echt auf dem Schlauch was das Thema Remote angeht. Wie gesagt funktioniert es ja über die XXX.homeserver.com Seite aber ich würde mich gerne ohne diesen Umweg am Server anmelden. Aber ich trete nur auf der Stelle

Im LAN macht eine VPN Verbindung eigentlich keinen Sinn, zumindestens nicht im Heimnetzwerk. Außer Du verarbeitest personenbezogene Daten oder Daten die andere im Netzwerk nicht einsehen sollen, macht aber auch keinen Sinn, da du die Zugriffe auf die freigegebenenOrdner ja selber verwaltest und somit weißt wer auf was Zugriff hat.
Über das Internet hast Du ja bereits eine gesicherte Verbindung, denn wenn Du auf dem Server arbeitest hast Du bereits eine HTTPS Verbindung. Bei einer Internetverbindung über VPN kommst Du in aller Regel nur auf die Freigaben auf Deinem Server (freigegebene Ordner). Das wird Dir wahrscheinlich nichts bringen. Für eine VPN Verbindung mit einer Fritzbox musst Du die Ports 1723 und GRE auf die IP Adresse des Servers einrichten.

Hier ein Link zum einrichten einer VPN Verbindung: http://www.netzwerktotal.de/vpnwinxp.htm oder http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Aber wie gesagt VPN brauchst du normalerweise beim WHS nicht.

Herzliche Grüße
Andreas

[Atriòr]

Guten Morgen

Vielen Dank für Deine Antwort und auch für die Links. Ist dort sehr gut Beschrieben (selbst für mich ). Zwei Fragen hätte ich aber dennoch:
1.) Wenn ich eine solche VPN (nennt sich das End-to-End-VPN?) einrichte ist es doch nicht erforderlich das der Router VPN fähig ist da ich das VPN zwischen zwei Rechner erstelle und nicht zwischen Rechner und Netzwerk (Site-to-End-VPN) oder?
Falls doch dann hat es sich für mich vorerst erledigt. Habe momentan noch nen Speedport und kann ihn auch die nächsten Monate nicht ersetzen (da nicht vor Ort).

2.) Auf der Seite befindet dieser Hinweis:

Hinweis: Wir empfehlen für PPTP das IP-Protokoll 47 (nicht zu verwechseln mit dem TCP/UDP Port 47!) und der TCP Port 1723 für die VPN-Zugriffe zu öffnen. Für L2TP benötigen Sie die UDP Ports 500 und 1701 sowie das IP-Protokoll 50. Achten Sie aber, dass diese Kombination Probleme verursachen kann, weil sie grundsätzlich nicht NAT-fähig ist.

Wie öffnet man IP-Protokoll 47?! Dabei geht es um den Router oder?


Vielen Dank für deine Hilfe!

[Atriòr]

- entfernt -

[pfaelzer]

Hallo,

"mstsc" bei der Remotedesktopverbindung. Im LAN kann ich mich auf diese Art am WHS anmelden aber über das Internet scheitert es jedes mal

natürlich funktioniert eine Remotedesktopverbindung (RDT) auch über das Internet. Aufgerufen wird diese entweder über Anwahl "Start > Programme > irgendwas > Remotedesktopverbindung" oder halt direkt durch Eingabe von "mstc". Spannend werden erst die Unterschiede zwischen RDT im LAN oder über Internet.

Im LAN gibt man den Servernamen ein oder dessen IP und (da normalerweise nichts die Kommunikation zwischen beiden hemmt) ist man sofort mit dem WHS verbunden.

Über das Internet ist das nicht ganz so einfach, da der Servername und auch die interne IP im Internet erstmal nicht bekannt sind. Somit muss man entweder die externe IP eingeben oder "xxx.homeserver.com", dieser Servive ist ja dazu da, einen Namen einer dynamischen IP zuzuordnen. Auf dem Router (als Anlaufstelle für alles was von extern kommt) läuft dann ein Request auf für Port 3389, den Port für RDT. Wenn der Router jetzt diesen 3389 auf im LAN auf den WHS leitet funktioniert RDT (welches mittels "mstc" aufgerufen wird) auch über Internet.

Und eine weitere Frage zum Verständnis

es gibt dutzende Arten, sich auch aus dem Internet mit dem WHS oder dem LAN zu verbinden. Manche dieser Arten sind einfach, andere höchst komplex. Manche sind eher sicher aus Sicht des Datenschutzes, andere öffnen das LAN mit entsprechenden Risiken.

Das Konzept des WHS ist eigentlich (und dem stimme ich zu), dass der unerfahrene Home-Anwender sich um diese Themen nicht kümmern muss. Somit ist ganz klar meine Empfehlung, nicht das zu nutzen was irgendwie geht oder einfach zu realisieren geht, sondern das, was im Umgang und Sicherheit von dir (verzeihung) "beherrschbar" ist.

Bevor du jetzt zur Realisierung von RDT oder VPN den Router unkontrolliert öffnest, sei dir bitte über die Risiken bewusst und prüfe intensiv, ob du diese Möglichkeiten unabdingbar benötigst.

auch für die Links. Ist dort sehr gut Beschrieben

ich bin (auch aus Gründen von Komfort und Sicherheit) eher für die "Routing und RAS" Variante zum Aufbau eines VPN.

ist es doch nicht erforderlich das der Router VPN fähig

richtig. Ich nutze z.B. den WHS als "VPN-Server" und mein Router bekommt davon garnichts mit (ausser dass er den Traffic routet).

Wie öffnet man IP-Protokoll 47?! Dabei geht es um den Router oder?

das hängt vom Router ab und ob das bei deinem Router funktioniert wirst du letztendlich ausprobieren müssen.

Aber wie gesagt (und bitte nicht falsch verstehen) nicht alles was realisierbar ist ist auch sinnvoll.

Gruß Werner

[Atriòr]

Hallo Werner

Über das Internet ist das nicht ganz so einfach, da der Servername und auch die interne IP im Internet erstmal nicht bekannt sind. Somit muss man entweder die externe IP eingeben oder "xxx.homeserver.com", dieser Servive ist ja dazu da, einen Namen einer dynamischen IP zuzuordnen. Auf dem Router (als Anlaufstelle für alles was von extern kommt) läuft dann ein Request auf für Port 3389, den Port für RDT. Wenn der Router jetzt diesen 3389 auf im LAN auf den WHS leitet funktioniert RDT (welches mittels "mstc" aufgerufen wird) auch über Internet.

Genau das habe ich versucht aber eine Verbindung kommt nicht zustande, deswegen auch meine Frage ob es über haupt funktioniert übers Internet. Eventuell hängt es ja auch an meiner momentan schlechten Internetanbindung.

es gibt dutzende Arten, sich auch aus dem Internet mit dem WHS oder dem LAN zu verbinden. ... Manche sind eher sicher aus Sicht des Datenschutzes, andere öffnen das LAN mit entsprechenden Risiken.

Und genau da wollte ich ansetzen. Ich weiß nicht genau wie Sicher die Methode über den IE ist und bin deswegen (vielleicht unbegründet?) zu der Meinung gelangt das eine VPN-Verbindung im Allgemeinen eine bessere und gleichzeitig komfortablere Lösung darstellt. Sollte ich mich dabei irren?

Das Konzept des WHS ist eigentlich (und dem stimme ich zu), dass der unerfahrene Home-Anwender sich um diese Themen nicht kümmern muss. Somit ist ganz klar meine Empfehlung, nicht das zu nutzen was irgendwie geht oder einfach zu realisieren geht, sondern das, was im Umgang und Sicherheit von dir (verzeihung) "beherrschbar" ist.
Bevor du jetzt zur Realisierung von RDT oder VPN den Router unkontrolliert öffnest, sei dir bitte über die Risiken bewusst und prüfe intensiv, ob du diese Möglichkeiten unabdingbar benötigst.

Damit hast du vollkommen recht, besonders mit dem ersten Satz! Benötigen tue ich es ja auch eigentlich nicht da ich wie gesagt über xxx.homeserver.com ja alles mit dem Server machen kann was ich möchte. Ich gebe auch offen zu das mein Wissen was Remote usw. angeht relativ beschränkt ist aber ich befasse mich gerne damit um auch immer mal wieder ein klein Wenig dazu zu lernen. Gerade weil ich mittlerweile sehr oft per Remote auf dem WHS zugange bin wollte ich eine optimalere Lösung finden als die von MS offiziell angedachte.

Aber wie gesagt (und bitte nicht falsch verstehen) nicht alles was realisierbar ist ist auch sinnvoll.

Ne, ne... das unterschreibe ich sogar! Aber leider fällt es schwer dies zu beurteilen wenn man sich auf Neuland begibt.


MfG
Björn

[pfaelzer]

Hallo,

Aber leider fällt es schwer dies zu beurteilen wenn man sich auf Neuland begibt.

mein beruflicher Ansatz wäre "beschreibe möglichst genau was du warum wie tun willst und wir suchen gemeinsam eine für dich optimale Lösung.

deswegen auch meine Frage ob es über haupt funktioniert übers Internet

sicher funktioniert das, gerade eben erfolgreich getestet ...

Kommst du mittels "xxx.homeserver.com" über das Internet auf deinen WHS und kannst in der Lasche "Computer" mit dem Link ganz oben eine Verbindung mit dem Heimserver herstellen? Wenn ja, sollten alle Voraussetzungen geschaffen sein, damit dies auch mittels direkter RDT funktioniert.

Ich weiß nicht genau wie Sicher die Methode über den IE ist

ich finde eine https-Verbindung ausreichend sicher, kannst ja noch die Anzahl der Fehlversuche herabsetzen.

Gruß Werner

[Atriòr]

Guten Morgen,

mein beruflicher Ansatz wäre "beschreibe möglichst genau was du warum wie tun willst und wir suchen gemeinsam eine für dich optimale Lösung.

Ok, ich suche eine Möglichkeit mich über das Internet so sicher wie möglich mit meinem WHS zu verbinden und dabei nicht nur auf der WHS-Konsole, sondern auch auf dem Desktop zu arbeiten.

Dies habe ich ja momentan eigentlich auch dank dem HowTo "HowTo: Remote Desktop Verbindung anstatt WHS Konsole nutzen". Nur würde ich eine Möglichkeit begrüssen in der der Internetbrowser außen vor bleiben könnte.

Kommst du mittels "xxx.homeserver.com" über das Internet auf deinen WHS und kannst in der Lasche "Computer" mit dem Link ganz oben eine Verbindung mit dem Heimserver herstellen? Wenn ja, sollten alle Voraussetzungen geschaffen sein, damit dies auch mittels direkter RDT funktioniert.

Jupp! Klappt wie oben beschrieben ohne Probleme.

ich finde eine https-Verbindung ausreichend sicher, kannst ja noch die Anzahl der Fehlversuche herabsetzen.

Das geht über die lokalen Sicherheitsrichtlinien oder?


MfG
Björn

[pfaelzer]

Hallo,

Ok, ich suche eine Möglichkeit mich über das Internet so sicher wie möglich mit meinem WHS zu verbinden

sehr guter Ansatz, damit scheidet "RDT über Internet aus"!

und dabei nicht nur auf der WHS-Konsole, sondern auch auf dem Desktop zu arbeiten.

über die WHS Konsole ist der WHS komplett administrierbar. Insbesondere mit dem AddIn "AdvancedAdmin" ist es möglich, über die Konsole nicht nur auf den Desktop zu kommen sondern auf dem WHS frei zu arbeiten.

Wenn du darüber hinaus RDT benötigst (na ja, "haben willst"), beschränke dies bitte (so meine Empfehlung) auf das LAN.

Nur würde ich eine Möglichkeit begrüssen in der der Internetbrowser außen vor bleiben könnte.

dann geh' per VPN in dein LAN z.B. mittels WHS als VPN-Server wie hier beschrieben (ohne Verbindung Netzlaufwerke) und arbeite von dort aus als wärest du im LAN.

Dies habe ich ja momentan eigentlich auch dank dem HowTo "HowTo: Remote Desktop Verbindung anstatt WHS Konsole nutzen".

hier bin ich zugegeben etwas "befangen". Ich versuche mich möglichst im Standard zu bewegen. Wenn ich die Konsole aufrufen will, dann mache ich das über den Connector, wenn ich RDT will, rufe ich "mstc" auf. Ich glaube ganz einfach, durch manche "Verbiegungen" leidet die Stabilität.

Das geht über die lokalen Sicherheitsrichtlinien oder?

ja

Gruß Werner

[Atriòr]

Ok, ich suche eine Möglichkeit mich über das Internet so sicher wie möglich mit meinem WHS zu verbinden

sehr guter Ansatz, damit scheidet "RDT über Internet aus"!

Ist die Verbindung über den RDT nicht verschlüsselt?

Werde wohl vorerst alles mal so lassen wie es ist und mich nochmal näher mit dem Thema VPN beschäftigen wenn ich meine Fritzbox in Betrieb nehmen kann. Ich danke dir auf alle Fälle für deine Tips & deine Hilfe!

MfG
Björn

[Atriòr]

Aber um nochmal auf das Thema Sicherheit zurück zu kommen in Verbindung mit dem Remotezugriff:
Gibt es noch andere Dinge wie die bereits von Dir erwähnten Einstellungen für Kontosperrung, Anmelde-Fehlversuche die einer sinnvollen Anpassung benötigen?

[pfaelzer]

Hallo,

Ist die Verbindung über den RDT nicht verschlüsselt?

na ja, es gibt Schlüssel und Schlüssel ...

Wie ich informiert bin, nutzt die "Windows Remotedesktopverbindung" (RDT), aufgerufen mittels "mstsc", zur Übertragung das "Remote Desktop Protocol" (RDP). Dieses basiert auf dem "RC4-Chiffrieralgorithmus" und ist standardmäßig mit 54-bit verschlüsselt.

Weiter wird in keinster Weise protokolliert, wer mittels RDT wann auf den WHS ging und was er tat. Weiter habe ich grundsätzliche Probleme mit offenen Ports aus dem WAN in's LAN.

Aus vorgenannten Gründen kann ich RDP übers Internet nicht befürworten und muss (wenn dir Sicherheit wichtig ist) eindeutig auf eine VPN-Lösung hinweisen.

Gruß Werner

[Atriòr]

Wie ich informiert bin, nutzt die "Windows Remotedesktopverbindung" (RDT), aufgerufen mittels "mstsc", zur Übertragung das "Remote Desktop Protocol" (RDP). Dieses basiert auf dem "RC4-Chiffrieralgorithmus" und ist standardmäßig mit 54-bit verschlüsselt.

Da hast du recht. Hatte eben auch nochmal Wiki bemüht welches deine Aussage bestätigt. Zwar kann der Schlüssel auf 128Bit erweitert werden aber das ist ja auch nicht die Welt.

Wie stark ist die Verschlüsselung beim WEB Zugriff via https (sofern man das pauschal sagen kann)? Oder hat das etwas mit dem verwendeten Zertifikat zu tun?


MfG
Björn