Die gesamte letzte Woche durfte ich auf einem Training in England verbringen. Mein Windows Home Server zu Hause war natürlich an und ich arbeitete damit. Mir kam die Idee auf dem Server auch die Sharepoint Dienste zu installieren um noch besser Dateien ein- und auschecken zu können. Wie man als ITler eben so ist, liest man sich natürlich erst einmal kein Manual durch weil man ja alles selbst kann. Tja, nur das der Internet Information Dienst beendet wird wusste ich nicht. Dadurch konnte ich dann natürlich auch nicht mehr über remote Desktop auf den Server zugreifen. Mein Router, eine Fritz! Box 7170 kann ohne größeren Aufwand auch leider keine Remoteverwaltung zur Verfügung stellen, hier müsste ich erst mit SSH auf die Box und dazu habe ich keine Lust. Das Problem war da und ich konnte nichts mehr am Server machen. Ich rief meine Frau an und bat sie, auf dem Router über das Webinterface den Port 3389 weiterzuleiten, damit ich das Problem wieder lösen kann, aber leider wollte der Server mit mir nicht mehr kommunizieren. So zusagen aus der Haustür gegangen und den Schlüssel von innen stecken lassen.
Eine Idee musste nun her, so das mir das nicht noch einmal passiert. Eigentlich wollte ich keinen weiteren Port als 80/443/4125 offen haben, doch im Notfall ist das eben zuwenig. Deshalb habe ich mir nun einen weiteren Remote Port aufgemacht um auf den RDP Dienst des Home Server zugreifen zu können. Der erste wird jetzt eventuell sagen, ja aber wieso hat es mit dem 3389 forwarden nicht funktioniert? Ganz einfach: Die Windows Home Server Firewall lässt den Zugriff auf den Port 3389 nur für Computer aus dem gleich Subnet zu, deshalb war der Zugriff über das Internet nicht möglich.
Das was im folgenden beschrieben wird öffnet eine Sicherheitslücke und ist eigentlich nicht zu empfehlen. Nur wenn man genau weiss was man macht und es auch will sollte man diese Schritte durchführen.
Auf dem Router habe ich zunächst eine Portweiterleitung eines höheren Ports (z.B. 55555) auf den internen Port 3389 am Windows Home Server eingerichtet. danach musste die Firewall des Windows Home Servers manipuliert werden. Dazu öffnete ich die Netzwerkumgebung und wählte die richtige Netzwerkkarte aus. Im zwieten Schritt wurden die Eigenschaften der Karte ausgewählt.
Im geöffneten Eigenschaftsdialog dann auf erweitert klicken und danach auf die Einstellungen um den Firewalldialog zu öffnen. Im folgenden Dialog müssen die Ausnahmen bearbeitet werden. Hier wird nach Remote Desktop gesucht und anschliessend Bearbeiten gewählt.
Zum guten Schluss muss der Firewall gesagt werden, dass alle Computer, auch die aus dem Internet auf den Port zugreifen dürfen.
Wie oben schon einmal gesagt sollte man sich im klaren sein, dass man sich mit dieser Änderung am System wirklich eine Sicherheitslücke aufmacht, da jeder von aussen auf den Port zugreifen kann. Ich selbst kann damit leben, da mein Server nicht Tag und Nacht läuft und ich den Port nur von überall zugänglich mache, wenn ich länger von zu Hause weg bin.
Dieser Artikel beschreibt das Öffnen des Remote Desktop Protokoll Ports nach aussen. Die Remote Verwaltung des Windows Home Servers steht bei Problemen mit dem internet Information Dienstes nicht mehr zur Verfügung.
Kommentare
9 Antworten zu „Internet Information Dienst down, was nun?“
Ciao Christoph
Etwas beschämt muss ich zugeben, dass ich die von dir angesprochene Sicherheitslücke (noch) nicht so ganz nachvollziehen kann. Ich gehe davon aus das der Remote-Access nur mit (sicher gewähltem) Passwort von entsprechend authorisierten Usern erfolgen kann – des weiteren liessen sich die Anfragen doch über SSH tunneln und prüfen..?
Über eine kurze Rückmeldung würde ich mich freuen 🙂
Grüsse
Es gibt auch noch eine andere Möglichkeit:
Du kannst auch bei logmein.com eine Remotedesktop Software herunterladen, die 1. kostenlos ist und 2. keine Öffnung eines Portes in der Firewall benötigt, da sie sich (und damit deinen PC) an der Webseite also bei logmein.com anmeldet.
Über diese Webseite kannst du dann ganz leicht eine Remotedesktopverbindung aufbauen.
[quote]Auf dem Router habe ich zunächst eine Portweiterleitung eines höheren Ports (z.B. 55555) auf den internen Port 3389 am Windows Home Server eingerichtet. [/quote]
dieser schritt ist doch eigentlich nicht notwendig, oder?!
Martin,
mit Sicherheitslücke, ist hier natürlich der offene RDP Port nach aussen gemeint. Wenn der Home Server inkl. des IIS sauber arbeitet, ist es natürlich nicht nötig irgendeinen weiteren Port nach aussen zu öffnen, als die drei beschriebenen 80/443/4125. Der Home Server tunnelt ja im Normalfall alles über die Webschnittstelle. Wenn diese aber ausgefallen ist, sprich der IIS ist down, so ist (sofern am Router keine Ports weitergeleitet und die WHS Firewall nicht offen) es nicht möglich den Windows Home Server per RDP zu erreichen.
Natürlich stellt ein offener Loginprompt (Gut hier ist es ein RDP Anschluss) einen Angriffspunkt dar. Sollte zum Beispiel ein Passwort zu schwach gewählt sein ist es eine Sicherheitslücke für den Angreifer.
SSH, klar geht. Aber willst du jemanden die Konfiguration antun? 😉
Grüße
Christoph
@Bonow: Vielen Dank, schaue ich mir mal an.
@ Christoph
Hallo hast du schon mal was von Portnocking mit der Fritz Box gehört ?
Dieses verfahren könnte sich für dich als sehr nützlich erweisen.
Kurze erklärung zum Portnocking, man legt z.b. 3 geschlossene Ports auf dem Router (Fritz Box) fest z.b Port 1000 , 500 und 2000 .
jetzt legt man noch eine Zeit fest z.b. 5 sec.
jetzt gibt man den Port an der geöffnet werden soll, in deinem fall
Port 3389
wenn man nun von ausen über das I-Net inerhalb der 5 sec. in der richtigen reienfolge ( 1000, 500, und 2000 ) an den 3 Ports mit einem Ping oder aufruf über den Browser anklopft öffnet sich der Port 3389 nach ausen und du kannst darüber auf deinen Server zugreifen.
Er bleibt so lange offen bis du ihn wieder schliest.
Das wieder schliesen des Ports funktioniert genau so
Mfg
Fratz1216
Wo wird das denn konfiguriert?
@ Christoph
Konfigureirt wird es auf der Fritz Box, eine genaue Anleitung gibt es
hier http://de.gentoo-wiki.com/Port_Knocking
oder hier: http://ting.ip-phone-forum.de/showthread.php?t=106862&highlight=portfreigabe
Das Einrichten ist zwar mit etwas Zeit verbunden aber wenn man es mal eingerichtet hat und man den Port nicht immer offen haben möchte ists ne gute und sicher Sache finde ich.
Mfg
Fratz1216
@Christoph
Danke für die Ausführungen 🙂
Ganz generell: Eine alltagsbeständige, sichere Umsetzung des RemoteAccess auf WHS und/oder dessen Clients wäre aber durchaus interessant – leider gibt es bis anhin aus meiner Sicht diesbez. noch keine halbwegs brauchbare Lösung…
Grüsse
PS: Ja, meine ursprüngliche SSH-Idee mag wohl in der praktischen Umsetzung etwas umständlich sein 😉
Find computers in North Carolina…
[…] not know what to think, but after reading a poem written by Caden’s mother I could not help but want to help this little boy as much as I possibly could. I can’t imagine what their family has been, and will continue to go […]…