RDS 2019, GPO und Office-Microsoft-365

departure69
Goto Top
Hallo.

Wir wollen demnächst einen Windows-2019-RDS einsetzen.

Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals), aber ich habe noch ein paar wenige, weitere Fragen:

- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung

- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen

- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?

Danke Euch erstmal.


Viele Grüße

von

departure69

Content-Key: 1665719158

Url: https://administrator.de/contentid/1665719158

Ausgedruckt am: 13.08.2022 um 07:08 Uhr

Mitglied: ukulele-7
Lösung ukulele-7 28.12.2021 um 10:36:10 Uhr
Goto Top
Zitat von @departure69:

Wir wollen demnächst einen Windows-2019-RDS einsetzen.
ok

Die Lizenzangelegenheit wird gerade bei Comparex/SoftwareONE geklärt (Lic. für Server, Zugriffs-Cals für Server, RDS-Cals)
kann man auch als 2022 Lizensieren, ist grundsätzlich downgradeable. Sollten die vielleicht auch die Einrichtung übernehmen oder jemand anderes vom Fach?

- gibt es für einen RDS-Server GPO-Empfehlungen? Wichtig wäre, daß die User den Server nicht herunterfahren oder neu starten können, und daß Systemlaufwerk C:\ unsichtbar ist, desweiteren Ordnerumleitung
Ordnerumleitungen ist einfach, genau wie überall auch. C:\ kann nicht unsichtbar sein, Programme, Windows, Profilpfad, etc. müssen natürlich im Zugriff sein. Grundsätzlich gelten aber entsprechende NTFS Rechte damit User nicht alles dürfen, wie beim normalen Windows auch. Beim Herunterfahren bin ich nicht sicher was der Standard ist, da gibt es aber natürlich eine GPO und die wirst du auch finden.
- gibt es nach Eurer Erfahrung (Online)-Literatur, die den Loopback-Modus bei GPOs erklärt und die Ihr empfehlen könnt? Wir haben natürlich auch schon GPOs/GPPs für die normalen FAT-Client-Rechner unserer User, und ich weiß, daß man den Loopback-Modus braucht, damit sich GPOs/GPPs für einerseits FAT-Clients und andererseits RDS-/Terminalserver nicht in's Gehege kommen. Würde mich dazu gerne einlesen
Mir wäre neu das es nur mit Loopback geht, ich nutze nirgends Loopback und würde dir davon abraten wenn es sich vermeiden läßt. Packe die RD-SH einfach in eine eigene OU und hefte dort eigene GPOs an. Eigentlich sollte man damit auskommen.
- welche Microsoft-365-Version brauche ich speziell für den Einsatz am RDS? Wichtig wäre Word, Excel, PPT, Outlook und Teams in der aktuellen Version, Access wird nicht benötigt. Ich weiß, daß Microsoft 365 nach "Plänen" lizensiert und erworben wird, doch welchen "Plan" braucht es speziell für RDS?
Business Premium oder E3 / E5 erlauben den Einsatz auf Terminal Server, alles unten drunter nicht!

Nach meinem bisherigen Verständnis wird das Office dann nicht aktiviert sondern der User meldet sich in allen Office Anwendungen für die Nutzung (auch lokal) immer an der Cloud an. Das macht eventuell Azure AD Connect sinnvoll für Same Sign On. Aber frag nicht mich, so weit bin ich noch nicht. Ich habe derzeit eine Kauflizenz von Office auf den RD-SH, die gibt es auch noch.
Mitglied: Pjordorf
Lösung Pjordorf 28.12.2021 aktualisiert um 10:47:11 Uhr
Goto Top
Mitglied: lcer00
lcer00 28.12.2021 um 12:49:54 Uhr
Goto Top
Mitglied: ukulele-7
ukulele-7 28.12.2021 um 14:19:36 Uhr
Goto Top
Zitat von @lcer00:
suchst Du vielleicht VDI ?
VDI ist was anderes als Terminal Server.
Mitglied: lcer00
lcer00 28.12.2021 um 16:25:50 Uhr
Goto Top
Hallo,
Zitat von @ukulele-7:

Zitat von @lcer00:
suchst Du vielleicht VDI ?
VDI ist was anderes als Terminal Server.

Aber die Bereitstellung von RDS auf Basis von VDI isoliert die User wie gewünscht vom Systemlaufwerk des Hosts.

Wenn man die Sache von Grund auf neu aufbaut, sollte man alle Varianten durchspielen.

Grüße

lcer
Mitglied: WoenK0
WoenK0 28.12.2021 um 19:39:47 Uhr
Goto Top
Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Mitglied: departure69
departure69 29.12.2021 um 08:17:20 Uhr
Goto Top
@ukulele-7:

Danke für Deine Antwort.

2019 gibt es aktuell ohnehin nicht mehr zu erwerben, zumindest nicht bei seriösen Distributoren. Es werden 2022er-Lizenzen, und wir werden das Downgraderecht nutzen.

Ordnerumleitungen unterscheiden sich nicht von denen, die wir (bei der FAT-Client-Nutzung) schon haben, O.K..

Eine eigene OU speziell für TS, und die GPOs gelten dann nur dort? O.K., das probiere ich.

Bzgl. Sichtbarkeit/Unsichtbarkeit des Systemlaufwerks: ""Unsichtbar" heißt ja nicht, daß es keinen Zugriff gibt, es geht bloß darum, Laufwerk C:\ optisch auszublenden, die User sollen bloß Ihr Netzwerkhome/Basisverzeichnis auf dem Fileserver sowie weitere, gemeinsame Netzlaufwerke sehen und sich darin bewegen können. Ich bin mir ziemlich sicher, daß man C:\ vor den Usern verbergen kann, und die dortigen Verzeichnisse (die der User natürlich braucht, keine Frage) trotzdem funktional sind.

Wg. Office/Microsoft 365: Business-Plan E3 haben wir schon, der Azure-Connector läuft auch bereits, dann ist dieses Problem schon gelöst, Danke für die Aufklärung.

@Pjordorf:

Danke für die Links, ich probiere es erstmal ohne den Loopback-Modus, ansonsten gibt's ja genügend Lesestoff ... face-wink

@lcer00:

Nein, VDI machen wir ja schon (virtuelle Windows-10-Rechner), aber der Hypervisor platzt deshalb bald aus allen Nähten, genau deshalb möchten einen klassischen Terminal-/RDS-Server aufsetzen, damit das zugrundeliegende Windows-System nur einmal den Platz verbraucht, und nicht mehrmals. Auch der RAM-Bedarf einer vollwertigen RDS-Sitzung (mit Desktop und allem) ist dabei geringer, als wenn jeder User einen eigenen virtuellen Rechner nutzt.

@WoenK0:

Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.


Vielen Dank für alle Antworten, in Kürze beginnt die Umsetzung ...



Viele Grüße

von

departure69
Mitglied: ukulele-7
ukulele-7 30.12.2021 um 12:59:12 Uhr
Goto Top
Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:

Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?
Zitat von @departure69:

Ohne Azure Connect ist aber der Teams-Kalender nicht der gleiche wie beim normalen Exchange-Postfach, dies ist bei uns aber Anforderung, deshalb hatten wir schon M365-Business E3 mit Azure AD Connect, ich wußte bloß nicht, daß das auch auf einem TS installiert werden darf. Trotzdem danke.
Nur Azure AD Connect oder auch ein Exchange Hybrid Setup? Wenn ja welches (scheint mehrere zu geben)?
Mitglied: departure69
departure69 30.12.2021 um 16:13:07 Uhr
Goto Top
@ukulele-7:

So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben face-wink.

- lokale AD-Domäne W2K16, 2 DCs

- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de

- auf dem ersten DC läuft ein Azure-AD-Connector

- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort

- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach


Viele Grüße

von

departure69
Mitglied: WoenK0
WoenK0 31.12.2021 um 13:16:40 Uhr
Goto Top
Zitat von @departure69:

@ukulele-7:

So genau kann ich Dir das - begrifflich - gar nicht sagen. Ich kann's aber beschreiben face-wink.

- lokale AD-Domäne W2K16, 2 DCs

- lokaler Exchange 2016, Mail-Adressen <nachname>@firma.de

- auf dem ersten DC läuft ein Azure-AD-Connector

- die User haben Microsoft 365 und melden sich daran mit der vorgenannten, hiesigen Mailadresse an, Kennwort dafür (und somit auch bei Microsoft!) ist das hiesige Windows-Kennwort

- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach


Viele Grüße

von

departure69

AD Connector auf nen DC fühlt sich nicht sauber an, die sollten eigentlich sauber bleiben ohne zusätzliche Sachen und quasi identisch(IMHO). Wenns nur die drei Server gibt würde ich vielleicht am ehesten auf den Exchange tun.
Mitglied: departure69
departure69 31.12.2021 um 16:33:54 Uhr
Goto Top
@WoenK0:

AD Connector auf nen DC fühlt sich nicht sauber an, die sollten eigentlich sauber bleiben ohne zusätzliche Sachen

Hhmmm, ein lokaler DC wird mit einem Cloud-DC ("Azure") synchronisiert, also zueinander passender geht doch schon gar nicht mehr, finde ich.

Und dieses überstrenge "ein DC ist ein DC ist ein DC" wirkt mitunter sehr übertrieben. Ich finde, wenn die zentralen Dienste, die darauf laufen, zueinander passen, dann wäre es sogar unsinning, bspw. DNS, DHCP u. ä. auch noch zu separieren, wieviele Server soll ich denn noch installieren?

Deshalb macht unser DC neben der AD-Domäne ansich auch noch DNS, DHCP und eben Azure AD Connect. Und demnächst auch noch Lizenzserver für den RDS, den wir bald einsetzen wollen. Zentrale, klassisch-administrative Dienste, die zusammenpassen, ich meine, das passt wunderbar.

Viele Grüße

von

departure69
Mitglied: ukulele-7
ukulele-7 03.01.2022 um 11:01:20 Uhr
Goto Top
Zitat von @departure69:
- der Teams-Kalender ist der Kalender aus dem hiesigen Postfach
Dann müsste aber eigentlich der Exchange Online eine hybrid Stellung mit deinem onpremise Exchange haben, zumindest hat man mir gesagt das es nicht anders geht, das Teams nur in Exchange online schreiben kann.

AD Connect und RD Lizenzserver würde ich auch separieren.
Mitglied: departure69
departure69 10.01.2022 um 11:46:37 Uhr
Goto Top
@ukulele-7:

Dann müsste aber eigentlich der Exchange Online eine hybrid Stellung mit deinem onpremise Exchange haben

Hat er vermutlich auch. Dafür ist der Connect doch da?


Viele Grüße

von

departure69
Mitglied: WoenK0
WoenK0 13.01.2022 um 08:21:57 Uhr
Goto Top
Zitat von @ukulele-7:

Ich bin selbst ein bischen am grübeln wie ich was mache. Plane auch auf neuen Terminal Servern eine Business Premium zu nutzen statt wie bisher eine Kauflizenz. Teams soll unbedingt getestet werden.
Zitat von @WoenK0:

Microsoft 365 Apps for Enterprise (die für 12 EUR im Monat pro User) bei einen Kunden genommen, Anforderung war hier das _KEIN_ Azure AD Connect verwendet wird, der User aber trotzdem auf allen Geräten die Lizenz bekommt. Lizenztoken deswegen getrennt auf dem Homelaufwerk gespeichert.
User muss sich zwar erstmalig mit seiner onmicrosoft Adresse anmelden, Rest aber einwandfrei.
Das heist ich kann auf dem Terminal Server mit Office 365 die onmicrosoft Anmeldung einmalig eingeben und er cached die dann für zukünftige Sitzungen? Hast du irgendeinen guten Info Link für mich über das Verhalten solcher Tokens?

Weiss nicht mehr wo es genau stand glaube es war https://docs.microsoft.com/de-de/deployoffice/overview-shared-computer-a ...

Im Prinzip muss man nur bei der config.xml angeben wohin der Token gespeichert.
Mitglied: ukulele-7
ukulele-7 13.01.2022 um 08:44:07 Uhr
Goto Top
Danke das muss ich mir dann mal in Ruhe ansehen, sind natürlich wieder 1000 Dinge wichtiger bei mir face-smile