5
RDP-Link auf physischen Client in RD-WEB
Hallo zusammen,
folgende Situation:
Es läuft ein RD Gateway für verschiedene RDS-Farmen im Rechenzentrum hinter einer ASA und funktioniert einwandfrei.
Nun gibt es verschiedene CAD-Workstations mit sehr speziellen Konfigurationen. Damit die Kollegen auch mal ins Homeoffice können, dachte ich man könnte sich 1:1 einfach per RDP auf diese Maschinen verbinden. Jedem User genau eine Maschine geben und den RDP-Link über das RD-Gateway laufen lassen. RDGW ist mit 2-FA abgesichert. Die meisten Kollegen würden dazu gerne ihre private Maschine nutzen um nicht noch ein Gerät zu Hause aufbauen zu müssen.
Das würde die VPN-Verbindung sparen (weniger Lizenzkosten, eine Fehlerquelle weniger etc.)
Laut zentraler IT, kann im RDGW aber nur entweder eine RDS oder VDI Sammlung eingebunden werden, keine Einzelclients, ich konnte dazu auch bei MS nichts finden.
Kennt jemand einen Trick wie das geht oder den technischen Hintergrund, warum das ohnehin völlig unmöglich ist?
Es geht hier erstmal nur um weniger als 20 Benutzer mit sehr heterogenen Konfigurationen, da lohnt sich keine eigene RDS, Citrix oder was auch immer Serverfarm..
Schöne Grüße
Drohnald
folgende Situation:
Es läuft ein RD Gateway für verschiedene RDS-Farmen im Rechenzentrum hinter einer ASA und funktioniert einwandfrei.
Nun gibt es verschiedene CAD-Workstations mit sehr speziellen Konfigurationen. Damit die Kollegen auch mal ins Homeoffice können, dachte ich man könnte sich 1:1 einfach per RDP auf diese Maschinen verbinden. Jedem User genau eine Maschine geben und den RDP-Link über das RD-Gateway laufen lassen. RDGW ist mit 2-FA abgesichert. Die meisten Kollegen würden dazu gerne ihre private Maschine nutzen um nicht noch ein Gerät zu Hause aufbauen zu müssen.
Das würde die VPN-Verbindung sparen (weniger Lizenzkosten, eine Fehlerquelle weniger etc.)
Laut zentraler IT, kann im RDGW aber nur entweder eine RDS oder VDI Sammlung eingebunden werden, keine Einzelclients, ich konnte dazu auch bei MS nichts finden.
Kennt jemand einen Trick wie das geht oder den technischen Hintergrund, warum das ohnehin völlig unmöglich ist?
Es geht hier erstmal nur um weniger als 20 Benutzer mit sehr heterogenen Konfigurationen, da lohnt sich keine eigene RDS, Citrix oder was auch immer Serverfarm..
Schöne Grüße
Drohnald
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3409185825
Url: https://administrator.de/contentid/3409185825
Printed on: April 19, 2024 at 07:04 o'clock
5 Comments
Latest comment
Moin,
das RDGW wird mit dem RDCB verbunden. Daher ist dem RDGW erst einmal egal, ob RDS und/oder VDI. Vermutlich meinst du das RDCB. Hier wäre ein weiteres notwendig, damit RDS und VDI über das selbe RDGW realisiert werden kann. Das sollte in 15 Minuten erledigt sein und kein Hürde darstellen.
Gruß,
Dani
das RDGW wird mit dem RDCB verbunden. Daher ist dem RDGW erst einmal egal, ob RDS und/oder VDI. Vermutlich meinst du das RDCB. Hier wäre ein weiteres notwendig, damit RDS und VDI über das selbe RDGW realisiert werden kann. Das sollte in 15 Minuten erledigt sein und kein Hürde darstellen.
Gruß,
Dani
Moin,
wenn ich das recht verstanden habe, willst Du Clientsysteme (Win10 oder 11) per RDP zur Verfügung stellen und keine RDS. Das geht afaik nur über einen Umweg:
Per Gateway verbindet sich der User mit einem RDS als Hop-Server. Dann ist er im selben Netz wie die Clients und kann sich von dort aus mit seinem Client per RDP verbinden und hat so Zugriff auf die lokale Maschine.
hth
Erik
wenn ich das recht verstanden habe, willst Du Clientsysteme (Win10 oder 11) per RDP zur Verfügung stellen und keine RDS. Das geht afaik nur über einen Umweg:
Per Gateway verbindet sich der User mit einem RDS als Hop-Server. Dann ist er im selben Netz wie die Clients und kann sich von dort aus mit seinem Client per RDP verbinden und hat so Zugriff auf die lokale Maschine.
hth
Erik
Hi,
vielen Dank @Dani .
Also kann der Connection Broker auch physische Maschinen ansprechen und wir bräuchten nur einen zweiten Broker der auf VDI anstatt RDS konfiguriert ist?
Ist denn ein Connection Broker überhaupt nötig an der Stelle? Die Zuweisung muss zwingend 1:1 sein und auch immer die gleiche Maschine. Es wird also keinen Pool geben sondern wirklich pro Computer eine eigene RDP-Datei.
Ich hatte gehofft man könnte über das Gateway einfach die RDP Verbindung zum Client herstellen.
Also Internet -> RDGW -> Client anstatt Internet -> RDGW -> RDCB -> Session Host/VM
@erikro
Genau so hast du das richtig verstanden.
Auch eine Variante, quasi 2x RDP statt VPN + RDP. Auch eine Variante, muss ich mit den Kollegen aus Security und IT Ops mal diskutieren was hier sinnvoller ist.
Vielen Dank, das bringt mich weiter.
vielen Dank @Dani .
Also kann der Connection Broker auch physische Maschinen ansprechen und wir bräuchten nur einen zweiten Broker der auf VDI anstatt RDS konfiguriert ist?
Ist denn ein Connection Broker überhaupt nötig an der Stelle? Die Zuweisung muss zwingend 1:1 sein und auch immer die gleiche Maschine. Es wird also keinen Pool geben sondern wirklich pro Computer eine eigene RDP-Datei.
Ich hatte gehofft man könnte über das Gateway einfach die RDP Verbindung zum Client herstellen.
Also Internet -> RDGW -> Client anstatt Internet -> RDGW -> RDCB -> Session Host/VM
@erikro
Genau so hast du das richtig verstanden.
Das geht afaik nur über einen Umweg
Schade, das hatte ich befürchtet.Auch eine Variante, quasi 2x RDP statt VPN + RDP. Auch eine Variante, muss ich mit den Kollegen aus Security und IT Ops mal diskutieren was hier sinnvoller ist.
Vielen Dank, das bringt mich weiter.
Moin,
Der Connection Broker spricht nie physische Maschinen an, sondern einen Remote Desktop Server. Das ist Software.
Dabei ist es vollkommen egal, ob die Software auf einer virtuellen Maschine oder direkt auf dem Blech läuft. Entscheidend ist, ob die Software geeignet ist, vom Connection Broker angesprochen zu werden. Das ist - ich habe jetzt nochmal nachgelesen - nur bei Serversoftware der Fall. Clientsoftware geht definitiv nicht.
Ich würde immer den Weg über den Hop-Server bevorzugen. Das hat den großen Vorteil, dass auf dem Client nichts weiter installiert werden muss. Eine Internetverbindung reicht. Die Variante mit VPN setzt aber voraus, dass ein VPN-Tunnel aufgebaut wird. Das setzt voraus, dass die entsprechende Software auf dem Client installiert und konfiguriert werden muss. Das ist bei den gewünschten Privatgeräten schonmal die erste Hürde. Dann kann es immer noch sein, dass der Aufbau des VPN-Tunnels auf Grund der Verhältnisse vor Ort scheitert. Auch da hast Du es dann wieder mit Privatanschlüssen zu tun. Realisierst Du das alles per Hop-Server, der über ein RDGW ansprechbar ist, dann fällt das ganze Geraffel weg und Du brauchst dem User eigentlich nur die URL mitzuteilen.
Das freut mich.
Liebe Grüße
Erik
Zitat von @Drohnald:
vielen Dank @Dani .
Also kann der Connection Broker auch physische Maschinen ansprechen und wir bräuchten nur einen zweiten Broker der auf VDI anstatt RDS konfiguriert ist?
vielen Dank @Dani .
Also kann der Connection Broker auch physische Maschinen ansprechen und wir bräuchten nur einen zweiten Broker der auf VDI anstatt RDS konfiguriert ist?
Der Connection Broker spricht nie physische Maschinen an, sondern einen Remote Desktop Server. Das ist Software.
Dabei ist es vollkommen egal, ob die Software auf einer virtuellen Maschine oder direkt auf dem Blech läuft. Entscheidend ist, ob die Software geeignet ist, vom Connection Broker angesprochen zu werden. Das ist - ich habe jetzt nochmal nachgelesen - nur bei Serversoftware der Fall. Clientsoftware geht definitiv nicht.@erikro
Genau so hast du das richtig verstanden.
Auch eine Variante, quasi 2x RDP statt VPN + RDP. Auch eine Variante, muss ich mit den Kollegen aus Security und IT Ops mal diskutieren was hier sinnvoller ist.
Genau so hast du das richtig verstanden.
Das geht afaik nur über einen Umweg
Schade, das hatte ich befürchtet.Auch eine Variante, quasi 2x RDP statt VPN + RDP. Auch eine Variante, muss ich mit den Kollegen aus Security und IT Ops mal diskutieren was hier sinnvoller ist.
Ich würde immer den Weg über den Hop-Server bevorzugen. Das hat den großen Vorteil, dass auf dem Client nichts weiter installiert werden muss. Eine Internetverbindung reicht. Die Variante mit VPN setzt aber voraus, dass ein VPN-Tunnel aufgebaut wird. Das setzt voraus, dass die entsprechende Software auf dem Client installiert und konfiguriert werden muss. Das ist bei den gewünschten Privatgeräten schonmal die erste Hürde. Dann kann es immer noch sein, dass der Aufbau des VPN-Tunnels auf Grund der Verhältnisse vor Ort scheitert. Auch da hast Du es dann wieder mit Privatanschlüssen zu tun. Realisierst Du das alles per Hop-Server, der über ein RDGW ansprechbar ist, dann fällt das ganze Geraffel weg und Du brauchst dem User eigentlich nur die URL mitzuteilen.
Vielen Dank, das bringt mich weiter.
Das freut mich.
Liebe Grüße
Erik
1
Moin,
mir war nicht klar, dass du von physikalischen Workstations redest. Ich bin von CAD in VMs ausgegangen. In diesen Fall gibt es keine saubere Lösung wie es bei Citrix und VMware der Fall ist.
Gruß,
Dani
mir war nicht klar, dass du von physikalischen Workstations redest. Ich bin von CAD in VMs ausgegangen. In diesen Fall gibt es keine saubere Lösung wie es bei Citrix und VMware der Fall ist.
Gruß,
Dani
