[UrmasL]

On hetkel lahendus, kus Windows 2008 server on seadistaud terminal serveriks ja lisatud 5 user RDP CALi. Kasutajaid 6-7. Aegajalt vahetuvad. Vanad lähevad ära, uued tulevad asemele. Logivad internetist RDP'ga sisse ja kasutavad serverisse installitud Dynamics NAV klienti. NAV ise teises serveris. Lisaks on 3-4 kasutajat kes sama asja kohtvõrgust ja PC'sse installitud kliendist kasutavad.

Kuna Server 2008 on aja ära elanud, on vaja terminali lahendus kaasajastada. Kui ma litsentsi tingimusi õieti loen, on mul vaja server 2012/2016 litsents (~200€?) ja sinna peale vähemalt 5pack RDP CAL (~700€)? Siis vist on MS järgi asjad õiged? Kohalikku win domeeni pole, Workgroup seadistus. Nüüd uuringi, kas seda asja kuidagi soodsamalt ka oleks võimalik lahendada? Üks variant oleks NAV otsapidi internetti lubada, kuid kardan, et on keerukas turvaliselt seadistada ja lisaks ka jõudlusprobleemid (võimaliku aeglase ühenduse tõttu).

[sukelduja]

[UrmasL]

Tänud. Kas oskab keegi pakkuda põhilisi meetmeid otsapidi internetis oleva Srv 2012 R2 turvamiseks? Ühendus on tavaline Elioni äriinternet. RDP port suunatud sisevõrgu IP'le.

Kindlasti saab server olema patchitud ja Windowsi enda tulemüür peal. Mingi antiviirus lisaks Win defenderile vast ka. Mingit lisa riistvaralist tulemüüri esialgu ei planeeri. Kasutajad on kõik eestist, seega ideaalis võiks white-listida ainult eesti IP vahemikud. Samas win enda vahenditega seda ilmselt ei tee ja eeldab ikkagi eraldi riistavaralist tulemüüri.

[K3ndu]

[sukelduja]

Üldiselt on RDP siiamaani veel häkkimatu olnud kui paroolid on tugevad. Taotakse küll pidevalt. On kliente kellel RDP on kogu maailmale lahti ja pole aastate jooksul sisse tungitud.

[UrmasL]

[Legal]

Kui võtad Server 2016. Selle asemel, et porte lahti hoida. Installi remote desktop gateway rolli. Võtta tasuta ssl sert. Suuna 443 port terminali. Võib ka proovida kas NAV jookseb kui rdp application. Default rdp porte lahti hoida on minu arust rumalus.