j'aurai besoin de vos idées pour garantir la totale securité (authentification/flux de données) pour une prise de main à distance d'un serveur Win2K via le client TSE.
 
mappage de port, ipsec, etc... sachant que la connection se fait par le net.
 
merci
 
 

Déja applique le hotfix rdclip que tu trouveras sur le site de Microsoft

 
si tu commences pas par appliquer les correctifs MS, c'est mal parti...

 
si je parle de mappage de ports, de cryptage, etcc... c'est que coté patch c'est reglé !
 
pis les profils c'est pas inutile

 
Débrouille toi solo si c'est pr avoir ce genre de réaction quand on veut t'aider.
 
Effacer le drapeau associé

Pour sécuriser un flux il n'y a pas des tonnes de solutions a part le vpn je ne vois pas trop...

Bon allez chuis sympa mr l'insolent, t'a qu'à faire accéder tes clients via HTTPS et le tour est joué

En ce qui me concerne j'administre quelques serveurs à distance via TS depuis plusieures années.... pas eu de problèmes jusqu'à présent avec la config "standard". Chez un client le firewall qui se situe en avant laisse juste passer le port de TS depuis l'extérieur sur ces serveurs et est restreint à mes IP fixes, chez un autre il n'y pas de restriction d'IP.
 
Si tu veux etre plus tranquile le plus simple est effectivement de mettre en place un canal VPN entre ton client et le serveur Windows 2000 (ou le réseau local)

 
   l'insolent voit pas trop le rapport entre du HTTPS et une session TS mais bon...    

 
ben c'est bien ce que je me dis mais ca doit bien etre possible de l'encapsuler dans qqchose, ou de changer les ports par defaut, etc...

 
ca sous entends que tu administres tjs a partir du meme endroit ?!
 

 
ben je suis assez d'accord.
 

 
Le VPN, ça fait quoi d'après toi ?

ce que j'avais derriere la tete, dans la mesure ou c'est faisable, c'etait de modifier le port par defaut du client, genre 16998 (par exemple) et de bidouiller le routeur pour rediriger ce port sur le port standard. Et enventuellement passer le HiSecureServer sur toutes les machines concernées...
 
est ce que ca suffira ?!
 
tout ca pour eviter une solution type ras, trop risquée à mon gout.

 
la n'est pas le pb.
imaginons que je sois en vacances et que je doivent me connecter (par un FAI qqconque FREE par exemple) et prendre la main sur 1 serveur TS...

c'est ce que j'ai dans ma boite, un client vpn installé sur mon portable qui me permet de me connecter à mon réseau local en étant n'importe où dans le monde pourvu que je sois connecté à internet !

 
tu peux acceder à TS via un serveur web

Le changement du port utilisé par le client TS est possible et fait l'objet d'un article de la KB Microsoft, de même pour le port du serveur d'ailleurs.
 
L'utilisation du VPN ne nécessite que de disposer de ton ordinateur si il y a un client spécifique ou mieux encore de disposer d'une machine Win2k  ou WinXP sur laquelle tu configureras le temps nécessaire une connexion VPN vers ton routeur (ou le serveur VPN derrière)...

Peut etre faire du tunneling SSH comme avec un VNC (jamais tenté mais apparemment ca se fait)

 
je vais plancher sur le sujet
 

 
en fait ca me branche moyen le VPN...

Pourquoi ne pas faire un rebond en te connectant en vpn à ta boite et en prenant ensuite la main sur 1 serveur TS chez le client?

+1

parceque je n'ai pas la main sur la conf des routeurs de la boite pour laquelle je bosse

 
à ce moment la ce n'est plus (vraie) session TS

Ben si, la seule difference est que t'a plus besoin du client TS, mais d'un browser web.
 
Pratique, tu peux te connecter de n'importe où, et tu peux instaurer la notion de certificats (SSL), donc securité

 
oui c'est vrai. mais malheureusement je n'ai pas le choix de la methode d'acces.
 

Attention a ne pas se tromper l'utilisation du client web ne change pas le port de communication de TS, seul l'envoi l'accès et l'envoi   de l'ActiveX seront sécurisés, l'ActiveX communiquera toujours sur le port 3389 par défaut.

 
En effet j'administre depuis ma machine; qui elle aussi a un logiciel de controle à distance... donc si je veux administrer depuis ailleurs je prends le controle sur ma machine et ensuite je vais sur le serveur en question avec TS

 
Ah ? Car moi tout ce que j'ai vu c'est un client ActiveX pour IE que tu peux télécharger depuis un serveur Web, la connexion est effectuée par le client ActiveX et ne change en rien de celle des autre clients TS... tu peux en dire plus ?

 
Gueueh ?
 
Si tu apprécie la solution de pouvoir faire du tunneling avec SSH, pourquoi ne pas envisager du tunneling avec un VPN (SHA-1 + 3DES) ?  

 
J'parlais de ça en fait
En gros ca te change juste ton "interface" et pas ta méthode d'envoi/reception de données ?

 
Oui... il passe toujours par le port 3389. Par contre c'est vrai que c'est pratique d'avoir un client installable en un click sur "Oui" : http://www.eleaf.ch/ts/

Non malheureusement je me suis déjà fait avoir
 
L'ActiveX est en fait un client TS normal dialoguant sur le port 3389.

Ca craint alors

¨
 
Au fait salut Guru, ca fait un moment  

Ben vi

 
Clair !
Mais si au lieu de te connecter sur ton serveur via HTTP, tu le fais via HTTPS, ca te securise pas plus le truc

 
Les controles ActiveX de MS sont signés... donc difficiles à falsifier.