Cuando creamos una instancia EC2 con Windows Server en AWS, en el asistente de despliegue nos da como primera opción crear un nuevo Grupo de Seguridad con una regla pre-configurada para poder acceder a través de terminal Server a esta instancia.
Esta regla es para el protocolo RDP que utiliza por defecto el puerto TCP 3389 y abierta para todo el mundo, por lo que se recomienda que se configure solo para que se pueda acceder desde direcciones IP conocidas.
Pero que pasa si en vez de seleccionar la opción de creación de nuevo grupo de seguridad, seleccionamos otro grupo que no tiene una regla del tipo RDP, pues que si intentamos conectarnos a la instancia, nos dirá que tururu.
Tenemos varias opciones para solucionar este problema, podemos crear un grupo nuevo, añadir esta regla a un grupo existente…. todo dependerá de como lo queremos tener organizado el tema de la seguridad.
Por ejemplo, si tenemos un grupo de seguridad con muchas reglas y son reglas con puertos específicos para una aplicación en concreto, seria una tontería añadir una regla mas para el protocolo RDP, ya que al añadir las instancias con Windows a este Grupo de Seguridad va a tener una cantidad de puertos innecesarios abiertos.
Como es el caso de la siguiente imagen, cuando despliegas la instancia de Nakivo Director, por defecto te crea un grupo de seguridad con todas las reglas necesarias para su correcto funcionamiento, donde tendrás que afinar el tema de la seguridad, ya que por defecto viene abierto para todo el mundo.
Aprovecho para recomendaros esta solución de Backup para respaldos y replicas de instancias EC2 de AWS.
Pienso que lo mas recomendado seria crear un nuevo grupo de seguridad especifico para crear una regla de este tipo de protocolo, donde pudiésemos añadir los servidores que tengamos con Windows y a los que quisiéramos conectarnos por terminal server.
También añadir un extra de seguridad indicando desde la IP que nos conectamos y no abrirlo al mundo.
Una vez creado este nuevo Grupo de Seguridad, vamos a la instancia y con el botón derecho sobre esta, Networking —> Change Security Groups
Seleccionamos el Grupo de Seguridad marcando el check y si vemos conveniente desmarcamos el check de algún otro grupo de Seguridad. al que no queremos que pertenezca.
Una vez añadido al Grupo de Seguridad correspondiente, probamos la conexión por terminal server a la instancia con Windows.
Credenciales y para adentro.
Saludos y espero que os sirva.