11.15 - Fernwartung eines Windows-2000-Servers über den SSH-Zugang von Arktur

Aus verschiedenen Gründen kann es sinnvoll sein, einen Rechner im LAN über das Internet fernsteuern zu wollen.
Bestes Beispiel: Arktur fungiert als Kommunikationsserver, Fileserver ist ein WinNT-, Windows2000- oder Windows20003-Server. Auch denkbar ist das Fernwarten aller Windows-Clients, wenn einzig Arktur alle Serveraufgaben innehat.

Ziel: Einrichtung der Fernwartung eines Windows-Rechners "durch Arktur hindurch" von außen über das Internet, über VNC, Radmin oder den Windows-Terminaldienst. VNC und Radmin sind Remotedesktop-Anwendungen, von der Funktion ähnlich dem bekannteren "pcAnywhere". Dabei haben "VNC" und auch der Nachfolger "TightVNC" die Vorteile, Freeware zu sein und für unterschiedliche Betriebssysteme zur Verfügung zu stehen (Also z.B. mit einem Linux-Rechner einen Windows-Server zu bedienen).
Nähere Infos zu "VNC" auf der VNC-Seite, der TightVNC-Seite oder der Ultr@VNC-Seite.
Zu "Radmin" beim Hersteller Famatech: www.radmin.com
Dabei ist der Terminaldienst wesentlich schneller als VNC, dieses überträgt mehr Daten, deshalb ist ein flüssiges Arbeiten nicht möglich, wenn am Remote-End noch andere Internet-Dienste laufen (bei mir z.B. ein Filesharing-Programm, das 10KB/sec der ca. 16KB/sec DSL-Uploadgeschwindigkeit "verbraucht").

Voraussetzungen:

Arktur möglichst per T-DSL im Internet,
eine im LAN schon funktionierende Terminalsitzung bzw. VNC/Radmin. Bei Win2000-Server ist der Terminalserverdienst nicht standardmäßig installiert, evtl. also nachinstallieren im "Administrator-" bzw. "Fernwartungsmodus". Die andere Variante erfordert die Einrichtung eines Lizenzservers und ist nicht nötig, wenn man den Terminaldienst nur für die Administratoranmeldung benutzt. Wird VNC oder Radmin verwendet (z.B. bei NT-Server), sollte man das Programm als Dienst installieren, nicht als Anwendung (siehe VNC- bzw. Radmin-Doku). Ansonsten muß der Server angemeldet stehen gelassen werden (Server in der Besenkammer ?), nur bei einer Installation als Dienst ist auch eine Remote-Anmeldung per STRG-ALT-ENTF möglich.
eine gelungene Anmeldung per PuTTY-SSH von Zuhause auf Arktur

Der sshd im Arktur bietet die Möglichkeit einen Tunnel bzw. Portforwarding einzurichten. Die Daten laufen dabei vom SSH-Client verschlüsselt bis in den Arktur, werden dort wieder ausgepackt und ins LAN weitergeleitet, als ob sie direkt aus Arktur kämen. Damit darf die Client-Applikation (Terminaldiensteclient oder VNC-Viewer) also nicht direkt mit dem Internet kommunizieren, sondern mit dem SSH-Client (PuTTY) auf dem selben Rechner. Dabei stört auch nicht, wenn der Internetzugang zuhause über einen weiteren Router (Arktur o.a.) läuft.

Bei mir sieht der Datenfluß also so aus:

TerminaldienstClient-->PuTTY-->Kabel-->Linuxrouter-->I-n-t-e-r-n-e-t-->--sshd------>Kabel-->Windows-Server-->TerminalServer

                       |<------------verschlüsselte Datenübertragung------->|

|---------mein--Win2000--PC---|       |-Homerouter-|                  |Schul-Arktur|        |---Win2000-Server------------|
                                      | (optional) |

Wenn wir also von zuhause per SSH auf Arktur wollen, muß er überhaupt erstmal online sein, realisierbar per Crontab(siehe Arktur-Doku). Weiterhin brauchen wir Arkturs IP-Adresse. Eleganteste Variante hierzu ist natürlich Dyndns. Man kann sich die IP auch mailen lassen, ich lade die IP automatisch per FTP auf die Homepage bei t-online (IP_uebertragen.pdf).

Nun starten wir den SSH-Client PuTTY (Download):

	Auf der Konfigurationsseite "Session" (1) tragen wir die IP-Adresse des Schularkturs ein (oder im Falle von Dyndns den Namen) (2), bei Protocol "SSH" anklicken (3).
	Auf der Konfigurationsseite "Tunnels" (4) trägt man bei "Sourceport" (5) den Port, den die lokale Anwendung benutzt und der durch den Tunnel geforwardet werden soll, ein. Für den Windows-Terminaldienst ist das Port 3398, VNC arbeitet standardmäßig auf Port 5900, Radmin auf Port 4899. Bei "Destination" (6) wird eingetragen, wohin das getunnelte Paket am Tunnelende (also vom Arktur) geschickt werden soll. In unserem Fall an die IP-Adresse des Win2000-Servers, hier 192.168.0.2 und zwar wieder an den Port der benutzten Anwendung: Für Terminaldienst 3389, für VNC 5900, für Radmin 4899. Nicht vergessen, mit "Add" (7) den Eintrag in die Port-Forward-Liste zu übernehmen.
	Ist man schon im Internet, kann man mit der Schaltfläche "Open" die Verbindung starten und sich an Arktur als root anmelden. Das Portforwarding wird erst nach erfolgreicher Anmeldung an Arktur aktiviert. Man muß sich aber nicht unbedingt als root anmelden, ein normaler Benutzer ohne Shell reicht schon.

Auf dem lokalen Rechner lauscht PuTTY nun auf Verbindungsanforderungen auf dem bei (5) angegebenen Port.
Nun können wir den Terminaldiensteclient starten:

oder den VNCViewer:

oder auch Radmin:

Als Adresse, zu dem die Verbindung aufgebaut werden soll, ist in allen Fällen "localhost" einzugeben (8).

Pech haben Benutzer von Windows XP:

Hier haben die Microsoft-Programmierer scheinbar ganze Arbeit geleistet. Es kann ja auch keiner ahnen, daß ich eine Terminalsitzung mit mir selber aufbauen will...
Also müssen wir bisschen tiefer in die Trickkiste greifen:

Wir kopieren die Dateien mstsc.exe und mstscax.dll aus C:\WINDOWS\System32 in ein anderes Verzeichnis:

Dann erstellen wir von der kopierten mstsc.exe eine Verknüpfung auf dem Desktop:

...und klicken deren Eigenschaften an, wo wir den Haken Programm im Kompatibilitätsmodus ausführen setzen. Der Kompatibilitätsmodus muß dabei auf Windows 95 stehen.

Jetzt die Verbindung starten und als Ziel auch wieder "localhost" eingeben.
Und nun sollte man den Bildschirm des entfernten Windows-Rechners bzw. Servers vor sich haben.

Auf diese Art und Weise sind auch noch andere Dienste des Intranet von zuhause aus zu benutzen, z.B. der SQL-Server, der Mailserver usw.

Nachtrag: Wem VNC zu ruckelig geht, der versuche die Weiterentwicklung Tight-VNC von http://www.tightvnc.com:

Tight-VNC erlaubt durch Kompression eine geringere Datenrate und soll auch über eine Modemverbindung brauchbar funktionieren.