DC und Terminaldienste in AWS cloud

Mitglied: neueradmuser

neueradmuser (Level 2) - Jetzt verbinden

06.02.2016 um 17:55 Uhr, 1623 Aufrufe, 13 Kommentare, 1 Danke

Hi,
für ein neues Projekt möchte ich gerne einen DC in der amazon Cloud erstellen und darauf dann die Terminaldienste installieren.
so dass sich quasi ca 10 User per ThinClient am "DC" anmelden.

desweitern möchte ich dieses konstrukt dann HA fähig machen, also DC und Backup DC (auch in der cloud)

seht ihr da Probleme?

was wäre die beste vorgehensweise für AWS?
oder gibt es gute alternativen?

dank im voraus und Gruß
nightwishler
Mitglied: emeriks
06.02.2016 um 17:58 Uhr
Hi,
TS und DC auf einem Server? Lies Dir mal das hier durch: https://technet.microsoft.com/de-de/library/ff519144%28v=ws.10%29.aspx

E.
Bitte warten ..
Mitglied: neueradmuser
06.02.2016 um 18:20 Uhr
joa da steht halt das es nicht empfohlen is...
aber warum genau nich
wenn ich die user halt nur als "user" ohne weitere rechte da laufen lasse dürfte ja nich soviel passieren oder?
sie sollen von da quasi nur outlook und excel bedienen und drucken

desktop etc wird alles vorgegeben
Bitte warten ..
Mitglied: emeriks
06.02.2016 um 18:38 Uhr
Klar, man kann das machen. Musst Du halt testen, ob die Anwendungen, die Du brauchst, auf einem DC so laufen, wie gefordert, ohne dass Du die Sicherheit der Domäne riskieren musst. Ich würde es niemals so machen.
Bitte warten ..
Mitglied: Pjordorf
06.02.2016 um 22:16 Uhr
Hallo,

Zitat von @neueradmuser:
so dass sich quasi ca 10 User per ThinClient am "DC" anmelden.
dafür ist nicht zwingend ein DC nötig, denn DC und RDS auf gleichem Blech ist eher "Do not do"

seht ihr da Probleme?
Neben den nötigen Frickeleien und Fluchen "das muss doch gehen" weil MS DC und "RD Web and Session Host" auf gleichem Blech nicht vorgesehen hat.
http://ryanmangansitblog.com/2015/02/22/deploying-rds-2012-r2-on-a-doma ...
https://technet.microsoft.com/en-us/library/cc742817.aspx

was wäre die beste vorgehensweise für AWS?
extra Server für den RDS...

Gruß,
Peter
Bitte warten ..
Mitglied: neueradmuser
09.02.2016 um 01:07 Uhr
joa, getrennt war auch meine idee zuerst...
auf 2dc's kann und will ich nicht verzichten... 1 terminal muss, und mir wäre ganz lieb noch einen 2. zu haben...

muss ich morgen mal durchrechnen... auf den dc's dürfte ja nich soviel traffic entstehen... und die terminals werden wohl reichlich schlucken -.-

danke schonmal
Bitte warten ..
Mitglied: emeriks
09.02.2016 um 08:15 Uhr
Minuspunkt
Bitte warten ..
Mitglied: neueradmuser
11.03.2016 um 00:21 Uhr
Minuspunkt wofür? :) face-smile

aaaalso little update, 2 DC's und 2 TerminalServer sind drin :) face-smile

und die Frage aller Fragen mal wieder --> wie trenne ich im AD erfolgreich 3 unterschiedliche firmen die den gleichen TerminalServer nutzen sollen :D
--> die Anmeldung wird neutral gehalten... neutral.net .... aber die user sollen sich untereinander nicht sehen
Bitte warten ..
Mitglied: emeriks
11.03.2016 um 08:37 Uhr
und die Frage aller Fragen mal wieder --> wie trenne ich im AD erfolgreich 3 unterschiedliche firmen die den gleichen TerminalServer nutzen sollen :D
--> die Anmeldung wird neutral gehalten... neutral.net .... aber die user sollen sich untereinander nicht sehen
Was heiß: "sollen sich untereinander nicht sehen"?
Mann kann im AD Berechtigungen setzen, dass man nur bestimmte Objekte lesen kann. bzw. umgekehrt, dass man bestimmte nicht lesen kann.
Man kann im NTFS mit NTFS-Berechtigungen dafür sorgen, dass man bestimmte Ordnerstrukturen nicht sehen kann und/oder das man die Sicherheitseinstellungen der Ordner und Dateien nicht einsehen kann.
Auf einem TS wird man min. über den Ordner C:\Users über andere Benutzerordner stolpern. Auch im Taskmanager kann man sich sehen.

Tipp: Wenn Du zwischen den Benutzern Trennwände aufstellst, dann können sie sich auch nicht sehen.
Bitte warten ..
Mitglied: neueradmuser
11.03.2016 um 09:13 Uhr
Trennwände sind bestellt :p

also kann ich einfach nicht lese rechte auf die anderen OU's setzen? für subdomänen bräucht ich wieder zusätzliche DC's oder? sonst wäre ja denkbar firma1.ad.domäne.de & firma2.ad.domäne.de etc...
sollte auch etwas erweiterbar sein ;)

AWS bekommt das doch auch hin mit dem Directory Service... da hab ich auch nur mich gesehen ;)
wobei ich nich glaube das die sich manuelle da hin setzen und deny Berechtigungen setzen... ich bräuchte es schon rel. automatisch

und den C: Ordner des Terms konnte man doch komplett ausblenden oder? meine sowas gesehn zu haben
Bitte warten ..
Mitglied: emeriks
11.03.2016 um 09:20 Uhr
also kann ich einfach nicht lese rechte auf die anderen OU's setzen?
Ja z.B.
Benutzer in OU' separieren
auf die jeweils anderen OU's das Lesen verweigern

für subdomänen bräucht ich wieder zusätzliche DC's oder? sonst wäre ja denkbar firma1.ad.domäne.de & firma2.ad.domäne.de etc...
sollte auch etwas erweiterbar sein ;)
Ja natürlich.
Ich weiß nicht, wie Eure vereinbarte Dienstleistung aussieht, aber bedenke: Wenn abzusehen oder zu befürchten ist, dass der Kunde einmal Vollzugriff auf "seine" Domäne verlangt, dann solltest Du, musst Du, von vorn herein mehrere Domänen aufsetzen.

AWS bekommt das doch auch hin mit dem Directory Service... da hab ich auch nur mich gesehen ;)
wobei ich nich glaube das die sich manuelle da hin setzen und deny Berechtigungen setzen... ich bräuchte es schon rel. automatisch
Na klar. Schau mal bei Harry Potter ins Buch, da stehen bestimmt ein paar Zaubersprüche dafür ...

und den C: Ordner des Terms konnte man doch komplett ausblenden oder? meine sowas gesehn zu haben
Ja das geht. Das betrifft aber bloß den Explorer und seine Abhängigkeiten. Mit der CMD kommst Du dann trotzdem noch drauf.
Bitte warten ..
Mitglied: neueradmuser
11.03.2016 um 09:24 Uhr
dann wird die cmd gesperrt :D

mhz, aber ohne flax, wie macht Amazon das automatisch? die stellen mir ja keinen eigenen DC hin sondern integrieren mich da in ihre Struktur... und mal angenommen da tummeln sich im AD noch 500 andere Domänen... dann setzt sich keiner dahin und macht 500 denys per Hand... sprich es muss eine Automatisierung geben ODER die Struktur ist so gestaltet das das durch Vererbung realisierbar ist
Bitte warten ..
Mitglied: emeriks
11.03.2016 um 09:25 Uhr
Ganz einfach: Die habe sich dafür was programmiert.
Nichts ist umsonst.
Bitte warten ..
Mitglied: Pjordorf
11.03.2016 um 12:12 Uhr
Hallo,

Zitat von @neueradmuser:
AWS bekommt das doch auch hin mit dem Directory Service...
Du meinst also das AWS dort ein einfaches AD aufgespannt hat und damit dort seine Kunden Verwaltet bzw. darüber einordnet?

Gruß,
Peter
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 21 StundenFrageLAN, WAN, Wireless40 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 17 StundenFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft11 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 18 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Windows 10
Windows 10 verliert die Druckertreiber
KMP1988Vor 1 TagFrageWindows 1010 Kommentare

Servus zusammen, wir haben bei einem Kunden folgende Konstellation: - Server2019 (AD, DNS, DHCP) - Server2019 (Print-Server-Rolle) - W10-Clients Die Drucker werden übers Logon-Scirpt ...

DNS
Opendns.com - Kosten?
cordialVor 1 TagFrageDNS2 Kommentare

Moin, Ich möchte gerne den OpenDNS Dienst mal verstehen. Hab da schon länger einen Account mit Filterung. Die "Free" Edition bei OpenDNS ist doch ...

Windows 10
Windows 10 System Recovery Ordner fast 60 GB - Wie löschen?
Looser27Vor 1 TagFrageWindows 106 Kommentare

Guten Morgen, bei einem unserer Clients funktioniert scheinbar das automatische Aufräumen nach Updates / Upgrades nicht. Wie kann ich dem Kollegen auf die Schnelle ...