neueradmuser
Goto Top

DC und Terminaldienste in AWS cloud

Hi,
für ein neues Projekt möchte ich gerne einen DC in der amazon Cloud erstellen und darauf dann die Terminaldienste installieren.
so dass sich quasi ca 10 User per ThinClient am "DC" anmelden.

desweitern möchte ich dieses konstrukt dann HA fähig machen, also DC und Backup DC (auch in der cloud)

seht ihr da Probleme?

was wäre die beste vorgehensweise für AWS?
oder gibt es gute alternativen?

dank im voraus und Gruß
nightwishler

Content-ID: 295421

Url: https://administrator.de/forum/dc-und-terminaldienste-in-aws-cloud-295421.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

emeriks
emeriks 06.02.2016 um 17:58:20 Uhr
Goto Top
Hi,
TS und DC auf einem Server? Lies Dir mal das hier durch: https://technet.microsoft.com/de-de/library/ff519144%28v=ws.10%29.aspx

E.
neueradmuser
neueradmuser 06.02.2016 um 18:20:54 Uhr
Goto Top
joa da steht halt das es nicht empfohlen is...
aber warum genau nich
wenn ich die user halt nur als "user" ohne weitere rechte da laufen lasse dürfte ja nich soviel passieren oder?
sie sollen von da quasi nur outlook und excel bedienen und drucken

desktop etc wird alles vorgegeben
emeriks
emeriks 06.02.2016 um 18:38:22 Uhr
Goto Top
Klar, man kann das machen. Musst Du halt testen, ob die Anwendungen, die Du brauchst, auf einem DC so laufen, wie gefordert, ohne dass Du die Sicherheit der Domäne riskieren musst. Ich würde es niemals so machen.
Pjordorf
Pjordorf 06.02.2016 um 22:16:06 Uhr
Goto Top
Hallo,

Zitat von @neueradmuser:
so dass sich quasi ca 10 User per ThinClient am "DC" anmelden.
dafür ist nicht zwingend ein DC nötig, denn DC und RDS auf gleichem Blech ist eher "Do not do"

seht ihr da Probleme?
Neben den nötigen Frickeleien und Fluchen "das muss doch gehen" weil MS DC und "RD Web and Session Host" auf gleichem Blech nicht vorgesehen hat.
http://ryanmangansitblog.com/2015/02/22/deploying-rds-2012-r2-on-a-doma ...
https://technet.microsoft.com/en-us/library/cc742817.aspx

was wäre die beste vorgehensweise für AWS?
extra Server für den RDS...

Gruß,
Peter
neueradmuser
neueradmuser 09.02.2016 um 01:07:55 Uhr
Goto Top
joa, getrennt war auch meine idee zuerst...
auf 2dc's kann und will ich nicht verzichten... 1 terminal muss, und mir wäre ganz lieb noch einen 2. zu haben...

muss ich morgen mal durchrechnen... auf den dc's dürfte ja nich soviel traffic entstehen... und die terminals werden wohl reichlich schlucken -.-

danke schonmal
emeriks
emeriks 09.02.2016 um 08:15:42 Uhr
Goto Top
Minuspunkt
neueradmuser
neueradmuser 11.03.2016 um 00:21:01 Uhr
Goto Top
Minuspunkt wofür? face-smile

aaaalso little update, 2 DC's und 2 TerminalServer sind drin face-smile

und die Frage aller Fragen mal wieder --> wie trenne ich im AD erfolgreich 3 unterschiedliche firmen die den gleichen TerminalServer nutzen sollen :D
--> die Anmeldung wird neutral gehalten... neutral.net .... aber die user sollen sich untereinander nicht sehen
emeriks
emeriks 11.03.2016 um 08:37:47 Uhr
Goto Top
und die Frage aller Fragen mal wieder --> wie trenne ich im AD erfolgreich 3 unterschiedliche firmen die den gleichen TerminalServer nutzen sollen :D
--> die Anmeldung wird neutral gehalten... neutral.net .... aber die user sollen sich untereinander nicht sehen
Was heiß: "sollen sich untereinander nicht sehen"?
Mann kann im AD Berechtigungen setzen, dass man nur bestimmte Objekte lesen kann. bzw. umgekehrt, dass man bestimmte nicht lesen kann.
Man kann im NTFS mit NTFS-Berechtigungen dafür sorgen, dass man bestimmte Ordnerstrukturen nicht sehen kann und/oder das man die Sicherheitseinstellungen der Ordner und Dateien nicht einsehen kann.
Auf einem TS wird man min. über den Ordner C:\Users über andere Benutzerordner stolpern. Auch im Taskmanager kann man sich sehen.

Tipp: Wenn Du zwischen den Benutzern Trennwände aufstellst, dann können sie sich auch nicht sehen.
neueradmuser
neueradmuser 11.03.2016 um 09:13:58 Uhr
Goto Top
Trennwände sind bestellt :p

also kann ich einfach nicht lese rechte auf die anderen OU's setzen? für subdomänen bräucht ich wieder zusätzliche DC's oder? sonst wäre ja denkbar firma1.ad.domäne.de & firma2.ad.domäne.de etc...
sollte auch etwas erweiterbar sein ;)

AWS bekommt das doch auch hin mit dem Directory Service... da hab ich auch nur mich gesehen ;)
wobei ich nich glaube das die sich manuelle da hin setzen und deny Berechtigungen setzen... ich bräuchte es schon rel. automatisch

und den C: Ordner des Terms konnte man doch komplett ausblenden oder? meine sowas gesehn zu haben
emeriks
emeriks 11.03.2016 um 09:20:12 Uhr
Goto Top
also kann ich einfach nicht lese rechte auf die anderen OU's setzen?
Ja z.B.
Benutzer in OU' separieren
auf die jeweils anderen OU's das Lesen verweigern

für subdomänen bräucht ich wieder zusätzliche DC's oder? sonst wäre ja denkbar firma1.ad.domäne.de & firma2.ad.domäne.de etc...
sollte auch etwas erweiterbar sein ;)
Ja natürlich.
Ich weiß nicht, wie Eure vereinbarte Dienstleistung aussieht, aber bedenke: Wenn abzusehen oder zu befürchten ist, dass der Kunde einmal Vollzugriff auf "seine" Domäne verlangt, dann solltest Du, musst Du, von vorn herein mehrere Domänen aufsetzen.

AWS bekommt das doch auch hin mit dem Directory Service... da hab ich auch nur mich gesehen ;)
wobei ich nich glaube das die sich manuelle da hin setzen und deny Berechtigungen setzen... ich bräuchte es schon rel. automatisch
Na klar. Schau mal bei Harry Potter ins Buch, da stehen bestimmt ein paar Zaubersprüche dafür ...

und den C: Ordner des Terms konnte man doch komplett ausblenden oder? meine sowas gesehn zu haben
Ja das geht. Das betrifft aber bloß den Explorer und seine Abhängigkeiten. Mit der CMD kommst Du dann trotzdem noch drauf.
neueradmuser
neueradmuser 11.03.2016 um 09:24:15 Uhr
Goto Top
dann wird die cmd gesperrt :D

mhz, aber ohne flax, wie macht Amazon das automatisch? die stellen mir ja keinen eigenen DC hin sondern integrieren mich da in ihre Struktur... und mal angenommen da tummeln sich im AD noch 500 andere Domänen... dann setzt sich keiner dahin und macht 500 denys per Hand... sprich es muss eine Automatisierung geben ODER die Struktur ist so gestaltet das das durch Vererbung realisierbar ist
emeriks
emeriks 11.03.2016 um 09:25:22 Uhr
Goto Top
Ganz einfach: Die habe sich dafür was programmiert.
Nichts ist umsonst.
Pjordorf
Pjordorf 11.03.2016 um 12:12:51 Uhr
Goto Top
Hallo,

Zitat von @neueradmuser:
AWS bekommt das doch auch hin mit dem Directory Service...
Du meinst also das AWS dort ein einfaches AD aufgespannt hat und damit dort seine Kunden Verwaltet bzw. darüber einordnet?

Gruß,
Peter