Как изменить порт сервера удалённых рабочих столов

Что делать, если вдруг ничего не заработало?

Есть ещё один момент, который может препятствовать доступу к сервису, который вы должны видеть из интернета. Это Firewall или Брандмауэр. А так же всякого рода антивирусы, имеющие свой Firewall и, порой параноидально, старающиеся любой ценой защитить компьютер пользователя от внешних угроз.

Попробуйте отключить ваш Firewall и проверить, будет ли доступен сервис после этого. Если всё заработает, значит нужно копать именно там.

Что именно и как копать – рассмотрим в одной из следующих статей.

Теги:

Другие статьи в разделе:

Куда девается скорость интернета?
Устанавливаем простенький FTP-сервер в среде Windows Server 2008/2012
Как настроить общий доступ к принтеру
Как организовать совместный доступ к файлам и папкам (простой способ для домашней сети)
Ограничения технологии Powerline
Как сделать интернет на даче?
Как выполнить проброс портов на маршрутизаторе
Как выбрать Powerline-адаптеры
Интернет из розетки или знакомимся с технологией Powerline
Как узнать пароль на Wi-Fi?
Как настроить роутер Apple Airport Extreme
Топологии сетей
Безопасность домашней сети
Что можно сделать с домашней сетью
Как определить IP-адрес маршрутизатора. Логины и пароли по умолчанию.
Масштабирование сетей через W-iFi
Настройка режима WDS на примере маршрутизатора ASUS WL-550gE Или как настроить повторитель
Настройка беспроводного маршрутизатора Или сеть своими руками – это просто
Сетевые технологии Или делаем сеть своими руками

Технические требования

Для создания минимальной конфигурации отказоустойчивого кластера
требуется шесть виртуальных или аппаратных узлов. Каждый узел должен
иметь минимум два сетевых интерфейса.

Три узла являются главными и используются исключительно для управления
кластером, контроля состояния его целостности, планирования и запуска
контейнеров с приложениями в модулях кластера. К главным узлам предъявляются
следующие системные требования:

  • конфигурация: 4-х ядерный процессор, 8 ГБ оперативной памяти,
    50 ГБ жесткий диск;

  • ОС: Linux Ubuntu 16.04;

Три узла являются рабочими и несут основную нагрузку (на данных
узлах исполняются модули с приложениями). К рабочим узлам предъявляются
следующие системные требования:

  • конфигурация: 8-ми ядерный процессор, 8 ГБ оперативной памяти,
    два жестких диска объемом 100 ГБ и 150 ГБ;

  • ОС: Linux Ubuntu 16.04.

Настраиваемая программная среда: Docker, Kubernetes и Ceph (при
необходимости).

Подключение директории /var/lib/docker должно быть выполнено на
отдельный диск или LVM.

Примечание.
В дальнейшем описании для главных узлов используются названия kn0,
kn1, kn2, для рабочих узлов — kn3, kn4, kn5.

Решение возможных проблем при пробросе портов

Проблемы при пробросе портов бывают всего двух типов: а) «настроил, но не заработало» и б) «настроил, заработало, работать перестало». И если с проблемой «а» мы разобрались в разделе «Порт не открывается…», то на проблеме «б» стоит остановиться подробнее.

Изменился IP-адрес компьютера-клиента

Когда вы открываете порт при помощи веб-интерфейса роутера, то помимо номера открываемого порта прописываете и сетевой адрес компьютера, для которого порт будет открыт. Обычно, на маршрутизаторе включён DHCP-сервер и компьютеры-клиенты получают от него ip-адреса. Если компьютер будет перезагружен или выключен, а потом — включён, роутер может выдать ему другой адрес, не тот, что был в предыдущем рабочем сеансе. Поскольку открытый порт привязан к другому ip-адресу, работать он не будет.

Чтобы такого не произошло, нужно прописать статические адреса для компьютеров клиентов.

  1. Клавишами откройте диалог командной строки и запустите оснастку сетевых подключений ncpa.cpl.

  2. Откройте свойства сетевого подключения.
  3. Вызовите свойства протокола TCP/IPV4

  4. Переключитесь с автоматического получения адреса на его ручное выделение и заполните поля с адресом, маской подсети и адресом шлюза. В поле адреса шлюза введите адрес вашего роутера.

  5. Примените изменения кнопкой «ОК».

Теперь адрес вашего компьютера в сети не будет меняться даже при замене маршрутизатора, а открытые для него порты будут стабильно работать.

Программа, для которой был открыт порт меняет его произвольным образом

Проблема характерна для клиентов пиринговых сетей, в частности, — торрентов. Рассмотрим решение проблемы на примере программы-клиента uTorrent.

По умолчанию, программа клиент при каждом запуске меняет порт исходящих соединений, а так как в настройках роутера порт статический (неизменный), то программа корректно не работает. Чтобы исправить ошибку — достаточно прописать в настройках программы порт в явном виде и запретить случайный выбор порта при старте.

  1. Запустите программу uTorrent.
  2. Откройте настройки программы горячей клавишей
  3. Перейдите в раздел «Соединение», в нём введите номер порта, который открыт для программы в роутере и отключите чекбокс «Случайный порт при запуске».

  4. Сохраните изменения клавишей «ОК».

Порт открыт, но прикладные программы не работают через него

Проблема связана с активацией брандмауэра непосредственно в роутере. Простое его включение, без дополнительной настройки полностью блокирует обращение к портам извне. Решением проблемы будет либо тонкая настройка брандмауэра через веб-интерфейс роутера, либо его полное отключение там же.

Отключение встроенного брендмауэра в Web-интерфейсе роутера TP-LINK

Видео: настройка брандмауэра и роутера для проброса портов

Настройка и проброс портов на маршрутизаторах «домашней» серии — несложная работа, которая вполне по плечу новичку. Хотя примеры, которые мы рассмотрели, базируются на веб-интерфейсе роутеров семейства TP-Link, маршрутизаторы других производителей позволяют осуществить проброс портов по аналогии с нашими примерами. Не забывайте, что любой открытый порт — дополнительная лазейка для вредоносных программ и нечистоплотных людей, жадных до чужих данных. Держите порты открытыми ровно столько, сколько это требуется вам для работы, а если в ней случается длительный перерыв — деактивируйте порты. Старайтесь не класть яйца в одну корзину — не настраивайте на одном и том же компьютере порты для онлайн-игр и программу для управления банковским счётом. Будьте бдительны!

Подготовка к запуску продукта «Форсайт. Мобильная платформа»

  1. Откройте консоль одного из главных узлов Kubernetes от имени
    пользователя fmpadmin. В домашнюю директорию пользователя был
    загружен архив с образами контейнеров приложения, а также архив
    с набором скриптов и yaml-файлов для запуска приложения в среде
    Kubernetes.

  2. Скопируйте архив fmp_v.tgz на рабочие
    узлы кластера.

  3. Загрузите образы контейнеров в систему:

docker load -i  fmp_v.tgz

Примечание.
Данный архив распакуйте на всех рабочих узлах кластера.

После успешного импорта удалите архив.

  1. На одном управляющем узле распакуйте архив, содержащий скрипты
    и yaml-файлы:

% tar –xvzf ./fmp_k8s_v.tar

  1. Перейдите в директорию с распакованными скриптами:

% cd ./ fmp_k8s_v

  1. Отредактируйте содержимое yaml-файла ./storage/ceph-storage-ceph_rbd.yml:

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: fast-rbd
provisioner: kubernetes.io/rbd
parameters:
monitors: 10.30.217.17:6789, 10.30.217.20:6789, 10.30.217.23:6789
adminId: admin
adminSecretName: ceph-secret
adminSecretNamespace: «kube-system»
pool: kube
userId: kube
userSecretName: ceph-secret-kube

В строке monitors укажите IP-адреса или
DNS-имена узлов Ceph-кластера с установленной ролью мониторинга. Для
просмотра на каких именно узлах установлена эта роль используйте команду:

% sudo ceph -s

Результат выполнения команды, например:

cluster:
id:     a997355a-25bc-4749-8f3a-fb07df0f9105
health: HEALTH_OK
services:
mon: 3 daemons, quorum kn1,kn0,kn3
mgr: kn3(active), standbys: kn0
osd: 4 osds: 4 up, 4 in

Строка mon в разделе services указывает
на имена узлов с установленной ролью мониторинга.

  1. Добавьте secret-keys распределённого файлового хранилища
    Ceph в Kubernetes:

    1. Получите ключ администратора Ceph:

% sudo ceph —cluster
ceph auth get-key client.admin
>>   AQCvBnVciE8pERAAJoIDoxgtkfYKZnoBS9R6uA==

Скопируйте его в буфер обмена.

Важно. При копировании и последующей вставке ключа в команду для добавления
в настройки Kubernetes пробелы не допускаются!

    1. Добавьте полученный ключ в секреты Kubernetes, явно
      указав его в команде:

% kubectl create secret
generic ceph-secret —type=»kubernetes.io/rbd» \
  —from-literal=key=’AQCvWnVciE7pERAAJoIDoxgtkfYKMnoBB9Q6uA==’
—namespace=kube-system

Результат выполнения команды:

secret/ceph-secret
created

    1. Создайте отдельный пул для узлов Kubernetes в кластере
      Ceph. Созданный пул будет использоваться в RBD на узлах:

% sudo ceph —cluster
ceph osd pool create kube 32 32

    1. Создайте клиентский ключ. В кластере Ceph включена аутентификация
      Ceph:

% sudo ceph —cluster
ceph auth get-or-create client.kube mon ‘allow r’ osd ‘allow rwx
pool=kube’

    1. Получите ключ client.kube:

% sudo ceph —cluster
ceph auth get-key client.kube

    1. Создайте новый секрет в пространстве имён проекта:

% kubectl create secret
generic ceph-secret-kube —type=»kubernetes.io/rbd»
\
—from-literal=key=’AQC6DX1cAJD3LRAAUC2YpA9VSBzTsAAeH30ZrQ==’ —namespace=fmpns

После добавления обоих секретов можно
переходить к запуску продукта «Форсайт. Мобильная платформа».

Как ограничить порты подключения на терминальном сервере

По умолчанию, на оба RDP порта 3389 и 3390 (Созданный ранее) пользователи группы администраторы и пользователи удаленного рабочего стола имею права для подключения, это не совсем правильно. Что я хочу сделать:

  1. Члены группы администраторы должны иметь возможность подключаться к любому порту RDP
  2. Члены группы удаленного рабочего стола должны иметь возможность подключаться только к стандартному порту 3389
  3. А вот группа изолированные пользователи должны иметь возможность подключаться исключительно ко второму RDP порту 3390 (Изолированное окружение в рамках общего терминального сервера)

Вы открываете оснастку «Active Directory Пользователи и компьютеры» и создаете отдельные группы, я создам группу term-svt2019s01-rdp-3390 для изолированного подключения.

В группу term-svt2019s01-rdp-3390 я добавлю пользователя Барбоскина Генная Викторовича.

Далее вам нужно нужного пользователя. в моем случае Барбоскина Генная Викторовича исключить из группы администраторы или группы удаленного рабочего стола, если он в них состоял и назначить права доступа на порт 3390 для группы term-svt2019s01-rdp-3390. Сделать штатными средствами в операционных системах Windows Server 2012 R2 и выше вы не сможете, так как в оснастке по управлению RDS фермой нет такой функции, но не все потеряно.

В операционных системах Windows Server 2008 R2 и ниже, при установке терминального сервера были замечательные оснастки TSADMIN.msc (Remote Desktop Services Manager) и TSCONFIG.msc (Remote Desctop Session Host Configuration). Это были великолепные инструменты помогающие в удобном интерфейсе взаимодействовать с терминальными подключениями и настройками. Именно благодаря TSCONFIG.msc у вас была возможность настроить разрешения на подключение к конкретному RDP порту. У меня для таких целей всегда есть виртуальная машина с установленными на нее оснастками, которые добавляются при установке роли терминального сервера.

Запускаем оснастку «Конфигурация узла сеансов удаленных рабочих столов (Remote Desctop Session Host Configuration)». Щелкаем по корню и из контекстного меню выбираем пункт «Подключиться к серверу узла сеансов удаленных рабочих столов»

Выбираем сервер на котором вы настроили два разных RDP порта.

Щелкаем по изолированному подключению правым кликом и открываем его свойства.

Перейдите на вкладку «Безопасность»

Обратите внимание, что тут по умолчанию у группы «Пользователи удаленного рабочего стола» выставлены права на:

  • Доступ пользователя
  • Доступ гостя

Вы так же можете более подробно посмотреть, что именно требуется для подключения по удаленному рабочему столу.

Удаляем из списка доступа (DACL) группу «Пользователи удаленного рабочего стола» и нажимаем кнопку «Добавить». В открывшемся окне найдите вашу группу доступа

Можем более тонко выставить разрешения. Сохраняем все.

Зачем открывают порты на роутере

Интернет-канал между провайдером и пользователем можно представить, как пару многоквартирных домов в разных концах улицы. Квартира — пользовательское приложение, а этаж дома — порт. Данные приложений (пакеты) таскает виртуальный почтальон. В варианте подключения без маршрутизатора, когда кабель провайдера напрямую включается в сетевой порт вашего компьютера, проблем с портами нет никаких: пакет с пятого этажа отправителя спокойно переносится почтальоном на пятый же этаж получателя.

Поскольку даже у самого нетребовательного пользователя дома несколько устройств, нуждающихся в подключении к интернету, на сцене появляется маршрутизатор-роутер. И в этом случае картина движения пакетов меняется. В настройках любого роутера, использующего NAT (трансляцию сетевых адресов) все исходящие запросы, по любым портам по умолчанию закрыты. То есть, если не провести специальные настройки, почтальон с пакетом сможет войти в дом, но двери на нужном этаже лифт не откроет.

Простейшая схема сети с трансляцией адресов (NAT)

Поэтому для работы систем видеоконференций, торрент-качалок, сетевых игр, FTP и веб-серверов необходимо настроить и открыть соответствующие порты, о чём и пойдёт речь ниже.

Как открыть порты на роутере самостоятельно

Как уже говорилось выше, в заводских настройках любого роутера нет никаких настроек портов и все исходящие запросы блокируются. Чтобы открыть порт (один или несколько), нужно через веб-интерфейс маршрутизатора произвести нужные настройки.

Следует отметить, что открытие того или иного порта настраивается не для маршрутизатора, а для клиента (компьютера), который к роутеру подключён. Если в вашей домашней сети пятеро пользователей, которым нужно открыть порт №20 (к примеру), в соответствующем разделе веб-интерфейса надо будет внести пять записей с настройками, отдельно для каждого компьютера.

Для TP-Link

На роутерах семейства TP-Link открыть и настроить порт, можно при помощи простой пошаговой инструкции.

  1. Откройте интернет-браузер, в строке адреса введите сетевой адрес роутера. Выше в статье рассматривалось, как этот адрес узнать.
  2. Введите логин и пароль пользователя. По умолчанию парольная пара — admin/admin.
  3. Откроется веб-интерфейс роутера, меню управления в нём находится в левой колонке.

  4. Откройте Переадресация->Виртуальные серверы, затем нажмите кнопку «Добавить….», чтобы вызвать диалог добавления и настройки нового порта.

  5. Введите номер порта, который нужно добавить в поле «Порт сервиса». В поле IP-адрес вводится адрес компьютера, который должен получить к порту доступ. Поле «Протокол» определяет типа данных, которыми будет обмениваться порт: TCP, UDP или ALL. Поле «Статус» выставляете в «Включено», чтобы порт стал активным.

  6. Кнопкой «Сохранить» применяете изменения.

Видео: открытие портов на роутере TP-Link

Порт не открывается — что делать?

Возможность открыть тот или иной порт зависит также от политики интернет-провайдера, услуг, доступных в рамках вашего тарифного плана, а также инфраструктуры сети. Особенно это касается абонентов, живущих в многоквартирных домах. С целью снижения расходов на прокладку сети в рамках дома/подъезда, провайдер устанавливает в них недорогие маршрутизаторы, а чтобы такие устройства могли стабильно работать с большим количеством подключённых пользователей — существенно ограничивает возможности.

Наивно ожидать от такого «железа» приличного быстродействия

В частности — блокируются порты, используемые торрент-трекерами, IP-адреса выделяются «серые» (из адресного пространства внутридомового маршрутизатора). Таким образом, чтобы настроить проброс портов, пользователю нужно настроить не свой, домашний роутер, а внутриподъездный, что на практике — неосуществимо.

Решением проблемы будет переход на более дорогой тарифный план, где ограничений не будет либо подключение услуги постоянного (статического) IP-адреса, что сделает возможным конфигурирование портов с домашнего маршрутизатора.

Убедитесь также, что установленные на клиентских компьютерах программы-брандмауэры или антивирусные пакеты, которые защищают интернет-соединение в реальном времени не блокируют обращение к портам извне.

Как поменять или добавить порт в роутер

Все изменения в конфигурации портов вносятся через веб-интерфейс роутера. Возможно также конфигурировать роутер через Telnet, но умеющий такое делать пользователь эту статью читать не станет. Рассмотрим добавление порта на примере веб-интерфейса роутера семейства TP-Link.

  1. Откройте интернет-браузер, в строке адреса введите сетевой адрес роутера.
  2. Введите логин и пароль пользователя. По умолчанию парольная пара — admin/admin.
  3. Откроется веб-интерфейс роутера, меню управления в нём находится в левой колонке.
  4. Откройте Переадресация->Виртуальные серверы. Откроется окно со списком уже открытых портов. Возле каждого элемента есть кнопки «изменить» и «удалить», с помощью которых можно либо изменить конфигурацию добавленного порта, либо удалить его из списка.

  5. Нажатием кнопки «Добавить новый» откроется уже рассмотренный выше диалог добавления порта. После ввода информации и подтверждения порт добавится к списку уже имеющихся.

Как переназначить COM порт для устройства в Windows 7

Как переназначить COM порт для устройства в Windows 7

Открываем Мой Компьютер > Свойства

Как переназначить COM порт для устройства в Windows 7-01

Выбираем «Дополнительные параметры системы».

Как переназначить COM порт для устройства в Windows 7-02

Открываем настройки переменных среды.

Как переназначить COM порт для устройства в Windows 7-03

Создаем новую переменную.

Как переназначить COM порт для устройства в Windows 7-04

Добавляем переменную DEVMGR_SHOW_NONPRESENT_DEVICES. Устанавливаем для неё значение в 1.

Как переназначить COM порт для устройства в Windows 7-05

Нажимаем везде «ОК» и выходим. Далее идём в Диспетчер устройств (Мой Компьютер > Свойства > Диспетчер устройств). В пункте меню «Вид» включаем отображение скрытых устройств.

Как переназначить COM порт для устройства в Windows 7-06

Теперь нам стали видны наши неиспользуемые устройства, занимающие COM порты и мы можем удалить их.

Как переназначить COM порт для устройства в Windows 7-07

В Диспетчере устройств (Мой Компьютер > Свойства > Диспетчер устройств) выбираем устройство, которому мы хотим изменить COM порт.

Как переназначить COM порт для устройства в Windows 7-08

На вкладке «Параметры порта» нажимаем «Дополнительно».

Как переназначить COM порт для устройства в Windows 7-09

Назначаем желаемый номер для COM порта и нажимаем «ОК».

Как переназначить COM порт для устройства в Windows 7-10

Вот так вот просто переназначить COM порт для устройства в Windows 7.

Как изменить номер виртуального COM порта

За последнее время я подключал к своему компьютеру много различных Arduino, конвертеров USB-TTL, так что подключая завалявшийся где-то USB-TTL конвертер на 3.3 вольта для подключения ESP8266, я обнаружил, что система его видит как COM22. XTCOM_UTIL поддерживает номера портов до COM6, а ESP Flash Download Tool максимум COM16, поэтому резонно возник вопрос

Принцип работы протокола rdp

И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:

  • Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
  • Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.

Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 — 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7. Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования.

RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.

Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал

  • Передать на сервер свой принтер или COM порт
  • Перенаправить на сервер свои локальные диски
  • Буфер обмена
  • Аудио и видео

Этапы RDP соединения

  • Установка соединения
  • Согласование параметров шифрования
  • Аутентификация серверов
  • Согласование параметров RDP сессии
  • Аутентификация клиента
  • Данные RDP сессии
  • Разрыв RDP сессии

Безопасность в RDP протоколе

Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.

Standard RDP Security

RDP протокол при данном методе аутентификации, шифрует  подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:

  • Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
  • Идет создание сертификата открытого ключа Proprietary Certificate
  • После чего Proprietary Certificate подписывается RSA ключом созданным ранее
  • Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
  • Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.

Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.

Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5

Enhanced RDP Security

RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:

  • CredSSP
  • TLS 1.0

TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.

Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы

разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.

Ссылка на основную публикацию