Почему после смены порта RDP нет подключения из локальной сети?

Question

[Илья]

Доброго дня всем! Сменил в реестре стандартный RDP порт, добавил правило в брандмауере позволяющее подключаться к новому порту. В итоге из локалки по RDP нет подключения к серверу (Удаленный компьютер выключен/нет доступа/не подключен к сети). Локалка сходится в свиче микротике, но там нет настроенных правил фаервола. Сервер пингуется нормально. Что может мешать подключиться? (Win server 2008 r2)

Comments

[Drno]

ребутил службы rdp и прочие которые там нужны?

Answer 1

[CityCat4]

А указывать порт при подключении не забываешь?

Comments

[Илья]

нет конечно указываю в формате IP:порт

[Keffer]

PrilForReal, Зачем менять порт RDP? Чтобы что? Внутри ничего менять не надо. Никогда и ни при каких обстоятельствах. Нужен извне нестандартный порт? Поменяй в роутере. Но проблему это не решит с безопасностью. Безопаснее всего подключаться только через VPN к сети а потом уж и к RDP.

[Илья]

Keffer, Из соображений безопасности, журнал событий забит 4625 с левых адресов, судя по наблюдениям люди с этим годами живут и ничего страшного, лишь бы пароли были надежные но покоя это не прибавляет. Поднять VPN пока нет возможности.

[CityCat4]

Keffer, Ну хочется иногда поэкспериментировать, что теперь :) Админство - дисциплина прикладная и опыт админа - это длинный перечень набитых шишек :) Я вот тоже пытался подсунуть в RDP другой сертификат, не самопальный - хрен чего вышло.

[Илья]

Оказалось намудрил с правилами фаервола, сменил галку "разрешить только безопасные подключения" на "разрешить подключения" и смог подключиться.

[Keffer]

CityCat4, В случае с сертификацией RDP работает вся эта кухня только если все серты выпущены на контроллере домена, в экосистеме WinServer. Так что даже заморачиваться не стал...

[CityCat4]

Keffer, Я статью находил, где было сказано, что в сертификате нужен параметр "имя шаблона сертификата" с OID от M$. Нашел я этот OID, разобрался, как засунуть в сертификат это гребаное имя шаблона - а все равно не работает!

[Keffer]

CityCat4, А не работает скорее всего потому, что ЦС в windows Server должен быть не самопальным, выпущенным на коленке, а заверенным вышестоящим ЦС, мирового уровня. Которому доверяет сама винда, как серверная так и клиентские.

[CityCat4]

Keffer, может быть, но проверить это невозможно, потому что ни один CA не даст тебе сертификат subCA.

[Disel0k]

PrilForReal, так это же прекрасно - фильтровать журнал и периодически добавлять левые адреса доброжелателей в фаерволл на блокировку.

[Илья]

Disel0k, Изначально я попробовал добавить новое правило в фаерволл блокирующее любые подключения с указанных мной адресов, но по неизвестным мне причинам правило не сработало и попытки подключиться продолжались, после этого и решил сменить порт.