Bonjour,  
 
J’essaie de mettre en place TightVNC, il fonctionne sans problème sur la machine serveur et j’arrive à me connecter via le viewer.
 
Malheureusement le logiciel plante si j’essaie de déverrouiller la session Windows du serveur.
 
Si la session est ouverte, cela fonctionne et j’arrive directement sur le bureau. Mais si la session est verrouillée j’arrive quand même à prendre la main sur l’écran de verrouillage, mais lorsque j’appuie sur entrée afin de pouvoir taper le mot de passe VNC plante avec un code d’erreur générique (type la connexion à était arrêter).
 
Est-ce que cela parle à quelqu’un ?  
 
Je vous remercie

Question, pourquoi utiliser VNC ou un dérivé alors que Remote Desktop livré nativement avec Windows Server (deux sessions simultanées) fait le job de manière plus optimisée et plus sécurisée ?

Après plus de réflexion c'est également ce que je me suis dit.
 
Par contre il y'a t'il un nombre de connexion maximum vers un réseau ?
 
Une seule session ouverte par poste mais avec 30 machines local (chaqu'une ouverte par un seul poste également).

Non. Tu fais soit du RDP soit de l'assistance à distance, mais tu évites d'utiliser ce genre de soft plein de failles.

 
Je ne comprends pas ta question ?
 
Si tu as besoin d'avoir jusqu'à 30 postes qui ouvrent une session potentiellement en même temps avec des identifiants différents, il faut que tu déploies RDS (Remote Desktop Services), donc le support de plus de deux connexions simultanées avec le serveur de licences associé. Il te faudra aussi des packs de licence accès client (CALs). Par poste ou par utilisateur mais si tu sais que tu auras trente postes au plus les licences par poste sont plutôt à favoriser.
 
Si tu veux dire que ta connexion peut venir de n'importe quel poste mais toujours avec le même compte ou presque (en gros pour administrer le serveur) alors le mode bureau à distance tout simple suffit.
 
Hors les paramètres de sécurité éventuellement déployés au niveau du serveur sur la couche bureau à distance (chiffrement, authent mutuelle...) il n'y a pas de restriction d'accès par réseau.

Ok merci pour les infos. J'était partie sur VNC car j'avais complètement zapper RD en réalité --"
 
La sécurité de RD n'est elle pas suffisante sans avoir besoin de rajouter une couche de sécurité ?
 
Mais je me suis mal exprimer sur un point, il n'y a pas de serveur (donc pas de CALs) qui gère le parc. On est sur la fonction RD intégré par défaut dans les suites Windows 10.
 
Poste A en local qui sera connecter au poste 1 à distance
Poste B en local connecter au poste 2 à distance
etc...
 
L'ensemble administrer à la main, ça fait une certaine charge initiale mais une fois la configuration établie il n'y a pas de raison qu'elle change (mise en place du DyDNS, IP fixe, config du poste local et distant et des redirections de port dans la box).

Je parlais des paramètres de sécurité propres à Remote Desktop (par exemple NLA) je ne parlais pas de rajouter une couche supplémentaire. Mais passons.
 
Oui tu peux effectivement faire ce que tu décris même si très honnêtement, exposer Remote Desktop sur internet (c'est bien ce que je comprends ce que tu veux faire vu que tu parles d'une box) c'est une assez mauvaise idée.
C'est moins pire que VNC certes mais c'est un vecteur particulièrement recherché actuellement depuis les dernières failles de sécu l'année dernière.
Alors certes elles ont été patchées par Microsoft mais ça te laisse à la merci d'un zéro day ou d'une attaque brute force.
 
Ca serait mieux si tes deux sites sont connectés par un VPN qui rend étanche la communication vis à vis du reste du trafic Internet. Les box Pro permettent de faire ça assez facilement en principe... Si pas possible restreindre la connexion par IP via le FW Windows.
 
Ah et autre limitation à garder en tête, si tu prends la main en RDP la session sur le poste contrôlé se verrouille. Il ne faut pas qu'il y ait quelqu'un devant qui bosse. Ou alors c'est l'assistance à distance qui sera plus appropriée.

Alors pour NLA, j'ai compris le principe. Du coup quand je l'active il m'indique que le certificat n'est pas de confiance, normal. Je l'installe dans le gestionnaire de certificat de Windows. En l’occurrence dans la liste de "Bureau à distance" et "Autorité de certification de confiance" (je savais pas bien ou le mettre). Cela ne fonctionner toujours pas mais il indique . Du coup j'ai exporter mon certificat de "Bureau à distance" pour l'installer sur la machine cible (sous W7 donc pas de "Bureau à distance" présent dans la liste des dossier de certificats) je l'ai mit dans "Autorité de certification de confiance", marche pas non plus. J'ai rater une étape ou un détails ? Ou bien je suis complètement à côté...
 
EDIT : j'ai trouver, le nom de l'ordinateur distant ne correspond pas au nom du PC distant. Oui car j'utilise un dyDNS qui cible l'IP public du PC distant (et routage du port 3389 dans la box du PC distant envoie qu'il renvoie sur l'IP local). Une idée pour régler ça ?
 
Il y'a un MDP sur la connexion, elle n'est pas ouverte (MDP du PC distant).
 
Pour le VPN, ça implique de paramétrer environ 30 site distant (bien sûr un serveur aiderais beaucoup mais c'est pas à l'ordre du jour).
 
Pour la partie FW Windows, je dois prendre le bureau à distance TCP (dans la machine distante) et dans étendue n'autorisez qu'une seule adresse IP (celle du PC qui prend la main). Petit problème étant donné que c'est une adresse IP hors réseau je dois forcément l'identifier par son IP public (qui risque de bouger) ou un dyDNS (qui rajoute beaucoup de configuration) ?

Il manque des morceaux dans ton message, impossible de connaitre l'erreur que tu as reçue. NLA marchera même si tu as un mismatch sur le nom du certificat, même si tu passes par l'IP. Mais il peut y avoir d'autres critères à vérifier (notamment le droit étendu "accèder à cet ordinateur depuis le réseau" ).
 
Un avertissement sur le nom de la machine distante est bénin.
 
Il faut aussi que ton utilisateur soit dans "Utilisateurs du Bureau à Distance" (en supposant qu'il ne soit pas dans "Administrateurs", ce qui est pas conseillé si tu peux faire autrement)
 
Alors si effectivement ta box au moins côté machine qui prend la main n'a pas d'IP fixe ça va être très compliqué... Tu ne peux pas référencer un DynDNS à cet endroit.

Je vais essayer de compléter, quand j'essaie de me connecter avec NLA, dans la fênétre l'erreur bloquante est bien celle de la différence du nom. Si dans authentification du serveur je choisi établir la connexion en cas d'échec d'authentification, là j'arrive à me connecter.  
 
Pourquoi je ne pourrais pas référencer un DynDNS ?  
En tout cas j'en configure un pour que la machine qui prend la main trouve la machine distante
 
Au passage pas de soucis pour l'écran, c'est pour du télétravail.

 
OK donc ça c'est bon, pas la peine de bricoler avec les certificats.
 
 
Parce que ton DynDNS c'est un nom (un alias) associé à une adresse. Tu peux référencer l'alias DynDNS de machine distante pour te connecter mais pour une règle entrante le firewall Windows ne fait pas de reverse lookup sur un nom, lui, il a besoin d'une IP. Je vois pas trop quelle configuration rajouter tu évoquais plus haut.

 
C'est à dire ? J'ajoute le certificat de la machine distant dans la machine qui prend la main puis je me ne pas avertir car il sera bien authentifier même avec le message disant que les nom sont différent ? Juste pour bien comprendre ^^
 
Parce que si je l'ajoute pas RD indique : Ce certificat de sécurité n'émane pas d'une autorité de certification de confiance
 

 
C'est ce que j'était en train de me dire aussi pour FW.  
 

 
J'ai pas comprit ?

Mais c'est quoi la problématique de base qui justifie un tel bricolage ? On est toujours dans du pro ? Il n'y a pas de serveurs dans ton entreprise ?
Accessoirement ouvrir le RDP sur internet c'est du suicide vu les risques de sécu.

 
C'est le même principe que quand tu te connectes à un site internet dont le certificat n'est pas conforme (erreur sur le nom par exemple). Tu peux choisir de passer outre si tu sais que le site est bien là où tu veux aller ou ton client peut également être paramétré pour refuser la connexion.
 
Evidemment puisque c'est un certificat autosigné donc par défaut uniquement "connu" par la machine locale qui a émis ce certif.
 
Encore une fois cet avertissement est le cadet de tes soucis si tu dois exposer 30 postes sur Internet...
 

 
ce sont tes mots.
 

 
Alors des petites explications, on est dans du pro, tout d'abord c'est pour une association ce qui signifie budget limité et réduction au mieux des coups. Au niveau du matériel présent il y'a effectivement un vieux serveur au performance discutable et surtout sans aucune licence user (petite précision je ne maîtrise pas franchement Windows Server). Second problème, l'association est repartie sur 5 site différent. Pour la petite histoire dans de petite association qui n'ont pas de logiciel métiers ou autre, les faire fonctionner sur un système de NAS est souvent moins chère, efficace, simple à administrer et laisse de l'autonomie à des associations qui n'ont souvent personne en interne. Là l'objectif est de résoudre le télétravail.
 
Actuellement on tourner de manière temporaire sur la version gratuite de TeamViewer, qui bien sûre sur un plus grand réseau se fait striker (quand y'a 1 ou 2 user pas de problème mais pas quand y'a 30). Comme vue au dessus ma première idée était un soft gratuit (qui niveau sécurité ne me convenait pas spécialement (j'avais commencer a regarder des moyens de sécurisation type PuTTy)). Et suite à ce post partir sur RD.
Dans l'optique de ne pas déclencher de coûts astronomique (RD = coût humain de paramètrage uniquement), le compromit performance/sécurité via RD semblait bon, au final pas tant que ça !  
 
Mais si vous avez d'autre idée je suis bien sûr preneur !  
 

 
Oui je comprend.  
 
Comme dit au dessus, cette solution maintenant on sais qu'elle fonctionne, si y'a d'autre idée je prend.  
 
Pour la fin tu as répondu, ça concernait FW.
 
EDIT : Pour mettre en place RD de manière sécuriser, la seule chose à ajouter serais un VPN ?

OK pour le contexte mais là on passe de trente machines à cinq sites. C'est trente machines réparties sur les cinq sites ? Et donc tu voudrais que les gens de chez eux se connectent à leur PC sur site ?
 
Leurs données sont en local uniquement ?
 
Les 5 sites sont connectés comment à Internet ? Je veux dire la connection c'est quoi, un abonnement standard, par opposition à une ligne type Orange Pro j'entends ?

Si tu as du Windows Server, tu es obligé d'acheter des CAL. Sinon tu ne peux pas l'utiliser.
Pareil pour du Teamviewer en utilisation pro.
 
Si tous les gens (et 30, ce n'est pas rien) veulent faire du télétravail, il faut un minimum de budget et de matos (et de compétences) pour ça.
 
Donc si tu veux faire communiquer les sites distants avec le site central, il te faut des VPN dans un premier temps. Ou tout héberger sur le cloud, ce qui sera sans doute moins complexe et moins cher.

 
Il ya 30 machines sur un des sites, puis 1 ou 2 sur chaque'un des autres sites.  
Exactement, qu'ils aient accès à leurs machines depuis chez eux.  
Leurs données sont en local. Je pense à 90% que c'est du standard à vérifier, chez Free.  
 

 
On est bien d'accord pour TM et WS.
La demande c'est de pouvoir assurer en cas de besoin jusqu'à 30 utilisateurs en télétravail, sur le quotidien ils seront environ 10.
Pour le VPN vous connaissez une solution logicielle poste par poste ou plutôt un routeur VPN ?
 
Je ne suis pas fan du distance, tu ne sais pas où sont tes fichiers, plus de réseau = plus de fichiers, la sauvegarde et l'administration des droits sont plus compliquées, sur le long terme c'est cher, etc...
 
Vous avez l'air tous les deux de très bon conseil donc je vais exposez le problème jusqu'au bout. Au moins on arrête de tourner autour du pot !  
 
En plus du télétravail il faut refaire entièrement le système de fichier et de sauvegarde avec comme objectif secondaire d'avoir une base de fichier commune à l'ensemble des sites distants. Pour ce faire, j'avais prévu l'utilisation d'un NAS sur le site central (pour les raisons évoquées plus haut + le faite que c'est quelque chose que je maîtrise et dont je connais bien les outils et les possibilités). Ce NAS intègre une fonction serveur OpenVPN qui servira à l'ensemble des sites distants d’accéder directement aux fichiers de l'association et ceux sans besoin de routeur VPN ou d'achat de VPN donc.  
 
Le télétravail est une solution qui permet 2 choses, la première elle permet de temporiser le temps que ce NAS et ses outils soient mis en place. La seconde c'est que la fonction OpenVPN du NAS leur permettrait effectivement (sur leurs postes domicile) d’accéder aux systèmes de fichier, mais pas à leurs boites mail (configurer sur Outlook en .pst et qui est donc en local) et non pas de Exchange à dispo.  
À part des solutions ultras bizarres je ne trouve pas, type .pst héberger sur le NAS et Outlook (sur le pc à distance et le local) qui est configuré dessus (pourquoi pas enfaîte). Ou migration du pst en ost (pas évident) et pareille boite héberger sur les PC. Pour les deux solutions MDP sur les boites (des PC à distance pour la confidentialité)
Si j'arrive à résoudre ce problème de mail, pas besoin de mettre en place une solution de télétravail (à part peut être pour 2 personnes type compta) autre que temporaire (auquel cas, RD avec NLA pourrais peut être convenir quelques mois).  
 
Je me fais de l'auto formation au fur et à mesure que des projets, des contraintes ou des problèmes apparaissant en essayant en premiers lieux de les résoudre avec mes connaissances actuelles !

Pour les mails, Office 365 direct. Les pst à distance c'est une très mauvaise idée.
Et selon le volume de données, tu mets tout dans un OneDrive ou un Teams.
 
Construire un bout d'infra on-premise pour aussi peu d'utilisateurs et aussi peu de budget ça va être très compliqué.

 
Y'a 50 user au total (en prenant ceux qui se connecteront jamais à distance)
 
Office 365 (avec OneDrive dedans) c'est, sauf erreur de ma part, 6000€/an pour 50 user. Ils préfère y mettre le budget 1 fois que de payer 2 fois plus chère sur 5ans.  
 
Alors depuis j'ai un peu réfléchi, au lieu de 365, le passage simple à quelques compte Exchange permet de faire la bascule pour ceux qui en ont besoin. Et pour l'utilisation de RD, même sans VPN en activant les fonctionnalités de la stratégie de groupe et de sécurité local (sur le nombre de connexion, d'essaie de connexion, etc...), avec un log type RdpGuard ou encore mettre un port 2365 en flux entrant sur la box puis le rediriger vers le 3389 en local. Bien sûre si RD deviens indispensable, mise en place d'un routeur VPN pour quelques connexion, par exemple.
 
Ryo-Ohki si tu as un moment je veux bien ton retour aussi  
 

Tu as quoi comme box pour te connecter à Internet ?
Tu as une IP publique fixe ?
Et quel type de lien (ADSL, Fibre, etc.) ?

Salut, en tant qu'association ils peuvent éventuellement bénéficier gratuitement d'office365 : https://www.microsoft.com/fr-fr/mic [...] aprimaryr1

Si tu pars sur un NAS il faut bien le dimensionner (et prévoir un ou plusieurs backups), certains sont limités en nombre de connexions vpn simultanées.
Le rdp ouvert sur le monde oublie