Windows-терминалы WTware

Программа-клиент службы терминалов Windows Terminal Services, для бездисковых терминалов и загрузки по сети. Основной сайт http://www.wtware.ru
Текущее время: Пн сен 25, 2017 9:07 am

Часовой пояс: UTC+03:00




Начать новую тему  Ответить на тему  [ 11 сообщений ] 
Автор Сообщение
 Заголовок сообщения: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 1:33 pm 
Не в сети

Зарегистрирован: Чт июн 08, 2017 1:29 pm
Сообщения: 3
Добрый день! Простите, если было, но не нашел. Искал в конфиге, искал по форуму, не смог :)
Есть ли возможность в втвари подключаться к терминальному серверу через шлюз терминалов?


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 3:07 pm 
Не в сети
Разработчик
Разработчик

Зарегистрирован: Ср окт 01, 2003 12:06 am
Сообщения: 8864
Откуда: Роcсия, Тольятти
Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль. "У нас так настроено" - не аргумент. Назовите хоть одну техническую причину использовать шлюз терминалов на стационарном рабочем месте.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 4:22 pm 
Не в сети

Зарегистрирован: Чт июн 08, 2017 1:29 pm
Сообщения: 3
Терминальный сервер стоит в основном здании. Пара терминальников в филиале. Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.
VPN тоже вариант, но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 4:47 pm 
Не в сети
Разработчик
Разработчик

Зарегистрирован: Ср окт 01, 2003 12:06 am
Сообщения: 8864
Откуда: Роcсия, Тольятти
TED писал(а):
Чтобы не напрямую через не очень безопасный rdp подключаться, подключаемся через шлюз, под https.

Почему вы считаете, что rdp не очень безопасный?
И тем более - почему вы считаете, что https безопаснее rdp?

TED писал(а):
VPN тоже вариант

Тоже вариант для решения какой задачи?

TED писал(а):
но в наших реалиях проще шлюз включить, чем отдельно впн настраивать. (У нас сейчас временно используется VPN на ISA сервере)

"у нас так настроено", ага.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 9:46 pm 
Не в сети

Зарегистрирован: Пн фев 11, 2013 9:36 pm
Сообщения: 358
aka писал(а):
Нет. Потому что никто не смог объяснить мне, зачем нужен этот костыль.

Плюсы костыля:

1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.

3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.

Там много еще интересного. Но это то что я реально использую.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 08, 2017 11:32 pm 
Не в сети
Разработчик
Разработчик

Зарегистрирован: Ср окт 01, 2003 12:06 am
Сообщения: 8864
Откуда: Роcсия, Тольятти
Rushmore писал(а):
1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

Это же тоже "у нас так настроено".

Rushmore писал(а):
2) Портабельность. Можно использовать одни и те же настройки клиентов как внутри, так и снаружи периметра. Полезно для всяких мобильных девайсов и ноутбуков, которые подключаются откуда угодно.

Для всяких мобильных откуда угодно - да. Я ж не против шлюза, я не вижу необходимости шлюза для втвари.

Rushmore писал(а):
3) Безопасность. На шлюзе можно дополнительно рулить политиками серверов: настройки шлюза всегда будут перебивать настройки сервера. К примеру, если политика шлюза запрещает проброс дисков с клиента, даже если на сервере случайно (или намеренно) это разрешили, то клиенты не смогут воспользоваться этой фичей, если будут подключаться через шлюз.

На сервере разрешили и потом сломали мозг пытаясь понять, почему оно не разрешилось...

Вижу причины в удобстве некоторых конфигураций. Спасибо за разъяснения, но этого мало. Там много надо писать, чтоб шлюз заработал. Нужна причина уровня "без шлюза не работает вот это". Что-то, для чего шлюз необходим.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Пт июн 09, 2017 9:58 am 
Не в сети

Зарегистрирован: Вт ноя 30, 2004 4:06 pm
Сообщения: 206
Откуда: Ростов-на-Дону
Rushmore писал(а):
1) Единая точка подключения снаружи внутрь периметра. Если надо открыть доступ снаружи к нескольким серверам, которые находятся внутри локалки за файерволлом, проще и удобнее открыть один порт 443 со шлюза терминалов, чем пробрасывать 100500 разных портов или городить ВПН.

ВПН на паре Микротиков поднимается за 2 минуты. После чего работает всё и всегда.

А в данной схеме придётся таки пробрасывать 100500 портов для прочих служб, вроде SIP, видеонаблюдения, принтеров, внутренних проталов CRM и т.д.
Я про тот случай, когда работа не 100% ведётся в терминальном сеансе, а частично с персонального компьютера/ноутбука/смартфона пользователя.

А так же лови говолняк с поддержкой связанных протоколов (FTP, SIP+RTP, проброс видеопотока и дисков для RMM/iLo...)

PS
Наконец прочитал, что делает этот самый шлюз и убедился, что он действительно не нужен.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Вт июн 13, 2017 11:34 am 
Не в сети

Зарегистрирован: Чт июн 08, 2017 1:29 pm
Сообщения: 3
2 ноутбука в одном филиале, 2 ноутбука в другом, 15 терминалов в третьем. На основной площадке порядка 30 терминальников на втвари.
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах).
Микротиков не наберешься на пары ноутбуков. Шлюз работает отовсюду и https в принципе сам по себе безопаснее rdp. (Я не прав? Объясните)
Шлюз необходим для единого централизованного управления разрешенными серверами для публикации, управления пользователями с разрешенными удаленным подключением, и, что самое важное, безопасным подключением одних к другим по защищенному каналу, без необходимости открывать кучу портов для рдп, настраивать впны, давать админские права на клиентах, и прочие костыли (это к слову о том, у кого что костыль, и у нас так настроено, ага). Шлюз - это специально разработанная фича для рдп, и она реально удобная.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Вт июн 13, 2017 5:59 pm 
Не в сети

Зарегистрирован: Пт янв 13, 2006 9:57 am
Сообщения: 478
TED писал(а):
https в принципе сам по себе безопаснее rdp.

RDP тоже умеет ssl - надо только настроить


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 22, 2017 11:15 am 
Не в сети
Разработчик
Разработчик

Зарегистрирован: Ср окт 01, 2003 12:06 am
Сообщения: 8864
Откуда: Роcсия, Тольятти
TED писал(а):
Ноуты путешествуют между филиалами, плюс много удаленных сотрудников, которые подключаются по удаленке (порядка 40 клиентов на ноутах). ... Шлюз - это специально разработанная фича для рдп, и она реально удобная.

Шлюзы рулят для путешествующих сотрудников. Из какой-нибудь гостиницы с корявым интернетом, в котором закрыто всё кроме http/https, только через шлюз териналов и выйти. Но в таких местах не надо использовать втварь! Втварь - стационарный клиент. А для стационарного клиента лучше потрудиться настроить VPN, оно потом ещё не раз пригодится.


Пожаловаться на это сообщение
Вернуться к началу
 Заголовок сообщения: Re: Шлюз терминалов
СообщениеДобавлено: Чт июн 22, 2017 11:17 am 
Не в сети
Разработчик
Разработчик

Зарегистрирован: Ср окт 01, 2003 12:06 am
Сообщения: 8864
Откуда: Роcсия, Тольятти
Dim-soft писал(а):
TED писал(а):
https в принципе сам по себе безопаснее rdp.

RDP тоже умеет ssl - надо только настроить

Настоящие параноики даже TLS 1.0 запрещают и TLS 1.2 настраивают: https://forum.wtware.com/viewtopic.php?f=23&t=47423


Пожаловаться на это сообщение
Вернуться к началу
Показать сообщения за:  Поле сортировки  
Начать новую тему  Ответить на тему  [ 11 сообщений ] 

Часовой пояс: UTC+03:00


Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и 11 гостей


Вы можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Limited
Русская поддержка phpBB