[mizzo]

Probleem järgmine: tulemüüris on suunamine tehtud vaid 3389 pordile. Ja w2k serveris on administrative modes terminal server üleval, ehk lubab siis maksimaalselt 2 sessiooni korraga. Nüüd kui mõlemad 2 sessiooni on aktiivseks unustatud, pole lihtsalt välja logitud vaid remote desktop külmalt kinni pandud. Ja mul oleks vaja läbi tulemüüri kaugelt külge tulla. Kas on mingi programm või asi olemas, mis kasutaks seda sama porti ja saaks kuidagi ära killida ühe sessiooni. Või kasvõi serverile restart teha või midagi. Peaasi, et kohale ei peaks minema ja saaks kaugelt ligi.

[Deep Fury]

Suht sitt lugu ma ütleks. On olemas "terminal services manager" millega saab kasutajad küll välja loopida aga pakun et läbi 3389-da see ei tohiks õnnestuda.
Võibolla googlet kasutades leidub mõni lahendus aga ise soovitaks l4meritele helistada ja natuke telefoni teel noomida.
Ilmselt sul abx script teha mis seal molutajaid aegajalt välja loobiks.

[weyoun]

Praegu sa sellele kaugelt ligi ei saa. välja arvatud juhul, kui sa kuidagi telnetiga ligi pääsed, seal saad shutdowni command line pealt teha.

Script pole vajalik, selliste olukordade tekkimise vastu aitab see, kui serveril Terminal Services Configuration aknas Connection folderil Properties avada. RDP-TCP Properties aknas valida Sessions ning sealt alt konfigureerida. "End a disconnected session:", "Active session limit:", "Idle session limit:". Samuti "Allow reconnection: From any client"

[Deep Fury]

[weyoun]

jah, default setting on tõesti sedasi, et telnetiga ei ole lubatud adminnil siseneda. kuid olen näinud piisavalt dumbadminne, kes selle siiski on enablenud. Ja tavaline juuser ei peaks ka ligi saama administrative mode terminal serverile.
Pakkusin telneti variandi, kuna see tõepoolest oleks ainuke variant, kuidas sellele masinale väljastpoolt ligi saada. Enne unustasin vaid mainida, et tsshutdn.exe on fail mida kasutada terminal serveri rebootimiseks.
http://www.famatech.com sisaldab tooli nimega radmin, mis laseb valida challenge-response password authentication mode. seega natukene turvalisem kui telnet.

[Deep Fury]

Ise eelistaks kas telnet näiteks stunneliga openssl-i kasutades ära tunneldada. See on mõne minuti küsimus. Minuteada on ka ssh analooge windowsile täitsa saada. Telnet jäägu ainult troubleshootimiseks/testimiseks

[weyoun]

nõustun

[Karzum]

Mina olen turvalisuse suurendamiseks pannud oma Terminal serverid mingi teise pordi peale tööle. Kas mõni kõrgem port või mõni tuntud port, näiteks news'i port (119). Selle peale peab ikka tulema ning iga jobu ei leia võrku skännides terminali üles.

Telneti turvalisust saad tõsta IP Security (IPSec) protokolli abil. Kindlasti tuleks see Telnet ka mingi teise pordi taha tööle panna.

Vist kõige mõistlikum oleks kasutada VPN ühendust kaughalduseks, siis saad Terminal Services Manager või Telnetiga eelmised sessioonid ära tappa. Nii on minu firmas talitatud.

[mizzo]

njah, ega siin vist muud ei ole, kui tuleks jah tulemüüris igaksjuhuks veel kas siis telneti või näiteks vnc pordisuunamine, et hädapärast saab sessioonid ära killida. 1 variant oleks muidugi kogu serverile restart teha mingi shutdown tooliga, aga see ei oska läbi 3389, vist kasutas 139 porti ja pole just kõige parem variant, see ära suunata.