Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
msleg
Member

Откуда: Москва
Сообщений: 563
Добрый день! вопрос следующий, есть доступ к удаленному рабочему столу:

TCP XX.XX.XX.XXX порт XXXXX
Логин - DOMEN\login.
Пароль: password

На удаленном компе стоит SQL SERVER, к которому я могу через удаленный SSMS подключиться, используя windows authentification.
Хочу со своего локального компьютера подключиться к SQL SERVER. Как мне правильно нужно настроить подключение?
1 ноя 17, 17:31    [20919766]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
msleg,

если вам открыли доступ только по RPD, то никак.
1 ноя 17, 17:36    [20919782]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
petre
Member

Откуда: Кривой Рог
Сообщений: 42
msleg,
Можно попробовать зайти на своем локальном компьютере по вышеуказанным доменным логином и запустив SSMS подключить указанный сервер.
1 ноя 17, 17:38    [20919787]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
felix_ff
msleg,

если вам открыли доступ только по RPD, то никак.

Ну не совсем так. Если коллеге предоставили в домене DOMEN случайно права доменного администратора, и он знает помимо внешнего IP и внутренний IP сервера терминалов (а это можно посмотреть), то можно на сервере терминалов порт XXXXX завернуть на сервер с SQL вместо 3389 (RDP) на 1433 (SQL).
А далее используя xp_cmdshell и SSMS, которая работает в контексте SQL службы на том сервере - настроить через скрипт обратное переключение на сервере терминала входящего соединения на порт XXXXX не на 1433, а обратно на 3389.
1 ноя 17, 17:44    [20919810]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
Andy_OLAP,
Но по сути это эскалация полномочий в домене, которая ведет к беседе со СБ.
1 ноя 17, 17:46    [20919815]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
Andy_OLAP,

нельзя. если вы сделаете редирект всех входящих подключений порта 3389 на 1433 к другому хосту, лишитесь возможности подключаться по удаленке (а вероятнее всего он не единственный пользователь использующий эту терминалку)
1 ноя 17, 18:06    [20919880]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
felix_ff
Andy_OLAP,

нельзя. если вы сделаете редирект всех входящих подключений порта 3389 на 1433 к другому хосту, лишитесь возможности подключаться по удаленке (а вероятнее всего он не единственный пользователь использующий эту терминалку)

Если нельзя, но очень хочется - то можно.
Входящие на сервер терминалов на порт XXXXX - идут к серверу server1 на 3389.
Входящие на сервер терминалов на порт YYYYY - идут к серверу server2 на 3389.
Меняем XXXX на сервер server1 и порт 1433, после этого студией SSMS по TCP соединяемся с сервером терминалов и портом XXXXX.
Поработали - в студии SSMS восстанавливаем доступ на server1 на RDP.
Разумеется, остальные пользователи, которые пробуют подключиться на server1 по RDP - не смогут и ничего не поймут.
Но разве кошерно пускать по RDP на server1 много разных пользователей, если там работает MSSQL?
1 ноя 17, 18:17    [20919908]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
Andy_OLAP,

что то я нихрена не пойму вашей высокой мысли.

вот схема

----------                                               ------------
|        |                                               |          |
| Client | (10.0.0.1) ========> (External:10.0.0.2)      | Terminal | (Internal:192.168.1.1)
|        |                           svchost.exe:3389    | Server   |
|--------|                                               |----------|
                                                         TCP Redirect
                                              {FROM 10.0.0.2:3389 to 192.168.1.1 1433) ==========================>   --------------
                                                                                                      (192.168.1.2)  |            |
                                                                                                   sqlservr.exe:1433 | SQL Server |
                                                                                                                     |            |
                                                                                                                     |------------|

                                                                                                                     TCP Redirect 
                                                           ?????.exe <====================================== (FROM 192.168.1.2 1433 TO 192.168.1.1 3389)


как вы хотите сделать для нее редирект что бы вы со стороны Client могли напрямую подключиться из студии к SQL Server, при этом другие пользователи могли подключаться к серверу терминалов по RDP?
1 ноя 17, 18:36    [20919938]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
ошибочка у меня там в схеме закралась типо делаем трансляцию входящих 10.0.0.2:3389 на 192.168.1.2:1433

при этом теряем возможность подключаться по RPD
1 ноя 17, 18:38    [20919943]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
felix_ff
ошибочка у меня там в схеме закралась типо делаем трансляцию входящих 10.0.0.2:3389 на 192.168.1.2:1433

при этом теряем возможность подключаться по RPD

Нет, немного не так. На 3389 никто не отвечает и не светит в интернет для перебора паролей китайцами из Шанхая (при всем уважении к КНР).
"трансляцию входящих 10.0.0.2:3389 на 192.168.1.2:1433" - нет, трансляция входящих 10.0.0.2:4444 на 192.168.1.2:3389, а 10.0.0.2:4444 на 192.168.1.3:3389.
На 192.168.1.2 находится MSSQL.
Заходим по RDP, оказываемся на 192.168.1.2. Видим, что сервер терминалов снаружи 10.0.0.2, а изнутри 192.168.1.1.
Заходим на 192.168.1.1 и меняем в настройках на 10.0.0.2:4444 на 192.168.1.2:1433.
Далее RDP сразу разрывается - но открываем SSMS на 10.0.0.2:4444 и работаем с MSSQL.
Далее в конце работы через xp_cmdshell обратно меняем правило маршрутизации на 10.0.0.2:4444 на 192.168.1.2:3389.
И получаем обратно работающий RDP.
Всё.
1 ноя 17, 18:43    [20919951]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
felix_ff,

И забудьте про "FROM 10.0.0.2:3389", делайте простукивание на порт 4445, которое открывает вход для RDP на 4444 на некоторое время.
Хорошее описание техники Port knocking
1 ноя 17, 18:46    [20919957]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
Andy_OLAP,

при этом хочу заметить что для клиента открыт ТОЛЬКО 3389, т.е. будь он хоть трижды в группе доменных администраторов и усрется от хотения, но прав рулить внутренним маршрутизатором у него нет (права руления которым имеют только реальные админы). и все пакеты отправляемые не на порт 3389 обрубаются цисковской железкой.
1 ноя 17, 18:47    [20919959]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
Andy_OLAP,

раз мы с вами фантазируем, то давайте фантазировать достаточно приближенно к реально возможным ситуациям, просто так никто никогда не открывает rdp во вне.

обычно это делается с применением хоть каких то приличий по безопасности. В данном случае я предполагаю что у пользователя есть доступ через VPN в корпоративную сеть, при этом доступ открыт через терминальный сервер. единственный хост в сети до которого он может достучаться внутри туннеля это терминалка слушающая 3389. все.
1 ноя 17, 18:52    [20919973]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Andy_OLAP
Member

Откуда: я знаю, что Хапоэль Беэр-Шева - чемпион
Сообщений: 3151
felix_ff
но прав рулить внутренним маршрутизатором у него нет (права руления которым имеют только реальные админы)

Так я и написал гипотетическую ситуацию, когда доменному логину DOMEN\login случайно дали права доменного администратора, а разработчик MSSQL ранее занимался настройкой AD и Cisco и запомнил пару приемов.
1 ноя 17, 18:53    [20919975]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
Andy_OLAP,

я к тому что даже обладая правами доменного админа, не зная пароля на железку маршрутизатор и что там за железка вообще и если железка правильно сконфигурирована, нельзя со стороны слушающего хоста как то рулить сетевыми правилами. точнее можно но почти бесполезно.
1 ноя 17, 18:59    [20919984]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1172
точнее криво опять написал в принципе к моей последней формулировке можно придраться.

Но смысл в том что все зависит от инфраструктуры сети.

+ imho

если честно я уже и не помню ни одной более менее крупной организации (с которыми сталкивался) где бы маршрутизация осуществлялась средствами win server и иже с ними, без нормального сетевого оборудования/политики безопасности/разграничения прав/и.т.д.
Или где один из серверов выставлен в интернеты без промежуточного сетевого фильтра.
1 ноя 17, 19:07    [20919994]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7383
Тот сервер, скорее всего, от локал систем плюс выключен TCP/IP.
2 ноя 17, 11:50    [20921463]     Ответить | Цитировать Сообщить модератору
 Re: Как удаленно подключиться к SQL Server, имея доступ к удаленному рабочему столу?  [new]
aleks222
Guest
Andy_OLAP
felix_ff
ошибочка у меня там в схеме закралась типо делаем трансляцию входящих 10.0.0.2:3389 на 192.168.1.2:1433

при этом теряем возможность подключаться по RPD

Нет, немного не так. На 3389 никто не отвечает и не светит в интернет для перебора паролей китайцами из Шанхая (при всем уважении к КНР).
"трансляцию входящих 10.0.0.2:3389 на 192.168.1.2:1433" - нет, трансляция входящих 10.0.0.2:4444 на 192.168.1.2:3389, а 10.0.0.2:4444 на 192.168.1.3:3389.
На 192.168.1.2 находится MSSQL.
Заходим по RDP, оказываемся на 192.168.1.2. Видим, что сервер терминалов снаружи 10.0.0.2, а изнутри 192.168.1.1.
Заходим на 192.168.1.1 и меняем в настройках на 10.0.0.2:4444 на 192.168.1.2:1433.
Далее RDP сразу разрывается - но открываем SSMS на 10.0.0.2:4444 и работаем с MSSQL.
Далее в конце работы через xp_cmdshell обратно меняем правило маршрутизации на 10.0.0.2:4444 на 192.168.1.2:3389.
И получаем обратно работающий RDP.
Всё.


Осподе милосердный, избави нас от фантазеров-болтунов.

При наличии на сервере административных полномочий - проще VPN-сервер поднять. И подключаться.
Чем эдакую хрень громоздить.
2 ноя 17, 17:19    [20922618]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить