xaero1982
Goto Top

Suche Tipps für Terminal Server Lösung oder ähnliches

Nabend Zusammen,

folgendes Szenario:

Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.

Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.

Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.

Aber irgendwie was in der Art sollte es sein.

Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.

Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.

Ideen?

Gruß und Dank

Content-ID: 252889

Url: https://administrator.de/forum/suche-tipps-fuer-terminal-server-loesung-oder-aehnliches-252889.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

emeriks
emeriks 23.10.2014 um 21:39:31 Uhr
Goto Top
Hi,
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?

Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?

E.
Xaero1982
Xaero1982 23.10.2014 aktualisiert um 22:37:03 Uhr
Goto Top
Hi Emeriks,

naja wie gesagt ich such schon sowas wie einen TS. Allerdings denke ich ist das für 5 User von denen vielleicht 2 parallel im Netz surfen total übertrieben.

Die Rechner sollen schon vom Internet getrennt sein, aber wie gesagt zwei separate Netze aufbauen finde ich einfach überzogen nur damit die mal im Netz surfen können.

Ich glaube das mit dem Securebrowser wird das nicht ganz dem Sicherheitsempfinden der Nutzer gerecht.

Es soll in erster Linie davor schützen, dass man keinen Zugriff auf die Daten der PCs bekommt - direkt.

Gruß
ps: mir ist klar, dass hier ebenfalls keine 100%ige Sicherheit geben wird so lange sie in irgendeiner Form vernetzt sind.
emeriks
emeriks 23.10.2014 um 22:45:54 Uhr
Goto Top
Was wäre mit nem VMware Player o.ä.? Ne VM mit nen schlanken Linux und ner "nonpersistent" VMDK? Um das abzurunden, sollten die VM's in einem anderen VLAN laufen.

E.
Xaero1982
Xaero1982 23.10.2014 um 22:50:24 Uhr
Goto Top
Habe ich auch überlegt, aber die Kisten sind mWn diese komischen kleinen mini-PCs von ... frag mich nicht. Also nicht genug Power.
DerWoWusste
DerWoWusste 23.10.2014 aktualisiert um 23:27:30 Uhr
Goto Top
Hi.

Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.

Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
Xaero1982
Xaero1982 24.10.2014 um 00:48:00 Uhr
Goto Top
Hi DWW,

das hört sich doch schon mal gut an.

Hab das mal kurz überflogen.

Was sind denn die Voraussetzungen?

Was würdest du aus den Erfahrungen empfehlen? Linux oder doch nen TS 2012 r2? Kannst du mir die ungefähren Kosten nennen?
Was für Hardware sollte man verwenden - es geht hier wirklich nur um ~5 Nutzer - eine Erhöhung wird wohl auch nicht stattfinden?

Und wie genau ist dann das Vorgehen?

Hab jetzt erst mal nur ein Dokument vom BSI aus 2006 gefunden. Hast du was aktuelleres wie die Umsetzung erfolgt?

Grüße und Dank
DerWoWusste
DerWoWusste 24.10.2014 aktualisiert um 01:47:18 Uhr
Goto Top
In Kürze:

Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).

Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.

Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.

Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Xaero1982
Xaero1982 24.10.2014 um 08:30:14 Uhr
Goto Top
Moin,

klingt ja erst mal vielversprechend.

Wenn ich dich aber richtig verstehe brauche ich zusätzlich zum TS auch einen DC? Derzeit haben die Nutzer alle nur lokal an ihren PCs.

So viel zur Theorie, aber wie wird das umgesetzt?

Muss der Nutzer vorher eine RDP Session aufbauen oder wird eine Verknüpfung lokal hinterlegt?
Und wie wird das ganze letztlich konfiguriert? Hast du da irgendwo ein How-To?

Grüße
Lochkartenstanzer
Lochkartenstanzer 24.10.2014 um 08:47:28 Uhr
Goto Top
Zitat von @DerWoWusste:

Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).

Moin,

Das ist sicherheitstechnisch sowieso eine Fehlentwicklung in den MUAs, daß aktive Inhalte und Klickbare Links Einzug gehalten haben. Sicherheitsbewußte Admins soltlen das soieso abschalten, daß man aus dem Mail-programm Heraus Links klicken oder sogar html-inhalte nachladen kann. Natürlich ist das bequem, aber ich empfehle schon seit Jahren, daß man eben diese Konfortfunktionen in Firmenumghebungen deaktivieren sollte. Manchmal finde ich sogar Gehör.

lks
DerWoWusste
DerWoWusste 24.10.2014 aktualisiert um 09:34:46 Uhr
Goto Top
@Xaero1982
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Xaero1982
Xaero1982 24.10.2014 um 10:05:59 Uhr
Goto Top
Naja:

Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...

Dann arbeite ich vom client via rdp auf dem TS?

Oder wie genau geht das vonstatten? Wenn ich via rdp auf dem ts arbeite verstehe ich den Zusammenhang mit ReCoPs nicht.

Die Idee dahinter ist mir klar ... aber so richtig hilfreiches informatives find ich im Netz nicht, außer Firmen die das anbieten.
Lochkartenstanzer
Lochkartenstanzer 24.10.2014 aktualisiert um 10:25:18 Uhr
Goto Top
Zitat von @Xaero1982:

Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...

Ja.

Dann arbeite ich vom client via rdp auf dem TS?

Nein. Du nimmst eine Remote App. Das ist im wesentlichen nichts andere wie eine verknüpfung, die den Browser auf dem TS aufruft und das Fenster Dir direkt auf Deinem Desktop anzeigt. (oder ein Client, der dir eben nur den Browser auf Deinem desktop anzeigt, je nach Sichtweise).


lks
Xaero1982
Xaero1982 24.10.2014 aktualisiert um 10:27:54 Uhr
Goto Top
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne Verknüpfung auf den Client?

Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?

Grüße
ps: hach danke ihr zwei face-smile werde mir mal den Artikel zu Gemüte führen.
DerWoWusste
DerWoWusste 24.10.2014 um 10:40:46 Uhr
Goto Top
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
Ich würde SQUID oder Ähnliches als Proxy installieren und dort Berechtigungen vergeben. Das mit dem Gateway ginge natürlich auch, wenn denn anderweitig kein Routing gebraucht wird.
Lochkartenstanzer
Lochkartenstanzer 24.10.2014 um 10:46:55 Uhr
Goto Top
Zitat von @Xaero1982:

Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?

so unfgefähr.

Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?

nein eine FW mit zwagsproxy, der nur den terminalserver per http/https nah daufßen läßt und die anderen auf eine "Warnseite" leitet.

man köntne den Proxy natürlich auch gleich so gestalten, daß man mit den lokalen browsern nur authentifiziert raus darf, um dem administrator die möglichkeit zu geben, auch mit den lokalen browser mal raus zu dürfen.

lks
Cthluhu
Cthluhu 24.10.2014 um 12:52:39 Uhr
Goto Top
Hi,

Ich nehme dafür privat x2go. Läuft auf einen alten Server auf dem OpenSUSE rennt. Vom Win7 Client wird sich mit dem X2Go-Client (Verknüpfung auf dem Desktop) verbunden, automatisch ein Firefox am Server gestartet und das Fenster am Win7 Client gerendet. Läuft äußerst flüssig.

mfg

Cthluhu
Xaero1982
Xaero1982 24.10.2014 um 13:24:42 Uhr
Goto Top
Hi Cthluhu,

sieht auch interessant aus - danke. Mal testen.

Gruß
Xaero1982
Xaero1982 24.10.2014 um 22:24:50 Uhr
Goto Top
Nabend,

ich hab mir mal den 2012 r2 herunter geladen und installiert. Habe dann die RDP Dienste installiert und bekomme die Meldung wenn ich über den Manager zugreifen will:

"Sie sind momentan als lokaler Administrator auf dem Computer angemeldet. Zum Verwalten von Servern und Sammlungen mpssen Sie als Domänenbenutzer angemeldet sein."

Also doch nen DC?

Gruß
DerWoWusste
DerWoWusste 24.10.2014 um 22:35:54 Uhr
Goto Top
Das wusste ich nicht mehr. Google mal fragen, ob es einen Ausweg gibt. Wusste bislang nur, dass sso eine Domäne braucht.
DerWoWusste
DerWoWusste 24.10.2014 um 22:46:03 Uhr
Goto Top
https://support.microsoft.com/kb/2833839?wa=wsignin1.0 beschreibt, dass remote Desktop mit nur einem Server zwar geht, aber nicht RemoteApps, leider.

Vielleicht doch zuerst die open source Lösungen ausloten.
Xaero1982
Xaero1982 27.10.2014 um 20:25:15 Uhr
Goto Top
So wie gesagt habs in einer Virtual Box installiert.
Hab nun auch mal das AD installiert.

Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.

Ideen?

Gruß
DerWoWusste
DerWoWusste 27.10.2014 um 21:52:32 Uhr
Goto Top
Du installierst den remote session host mit der Option"vm basiert", nimm die andere Option"session basiert".
Cthluhu
Cthluhu 28.10.2014 um 10:04:47 Uhr
Goto Top
Hi
Zitat von @Xaero1982:
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Welchen Einstellungen? Warum auch immer, aber oftmals gibts im BIOS/UEFI Einstellungen zu virtualisierung welche per default vom Mainboard Hersteller deaktiviert sind.

mfg

Cthluhu
Xaero1982
Xaero1982 28.10.2014 um 17:44:30 Uhr
Goto Top
Da hat der DWW mal wieder recht gehabt face-smile

@Cthluhu: Es ist in den Einstellungen von Virtualbox aktiviert. Bios hab ich nicht face-smile

Grüße
DerWoWusste
DerWoWusste 03.11.2014 um 20:50:15 Uhr
Goto Top
Und nu? Wie schaut's?
Xaero1982
Xaero1982 03.11.2014 um 22:01:36 Uhr
Goto Top
Um ehrlich zu sein bin ich noch nicht ganz durchgestiegen wie ich da weiter vorgehen soll.

Ich glaub ich werde mich erst mal weiter belesen, weil ich noch nicht mitm 2012er gearbeitet habe.

Kannst du mir irgendwelche Literatur empfehlen? Oder besser gleich zu MSPress greifen?
DerWoWusste
DerWoWusste 03.11.2014 um 22:09:00 Uhr
Goto Top
Kann nichts empfehlen, wüsste auch nicht, wozu, ist ja alles wizard-gesteuert. Wo steckst Du denn fest?
Xaero1982
Xaero1982 03.11.2014 um 23:13:04 Uhr
Goto Top
Naja im Moment frag ich mich wie ich Remoteapps hinzufügen kann?
Aktuell hab ich nach der Einrichtung nur das Paint,Calc,Wordpad... die kann ich ja z.b. über den Webaccess aufrufen, aber wie z.b. bekomme ich einfach nur einen Link auf den Desktop? Also so, dass der User sich nicht immer erst anmelden muss? Geht vermutlich nur, wenn der Client auch in der Domäne ist?

Im Servermanager hab ich unter Sammlungen nur die QuickSessionCollection mit den o.g. Apps.
Xaero1982
Xaero1982 03.11.2014 um 23:16:40 Uhr
Goto Top
Ich glaub die Fragen hab ich mir fast schon alle beantwortet gerade face-smile

Also hinzufügen geht nun ...

Aber das mit dem Anmelden wird wohl nur innerhalb der Domäne gehen oder? Im Moment bekomm ich immer das Anmeldefenster.
Xaero1982
Xaero1982 03.11.2014 um 23:20:41 Uhr
Goto Top
So weit so gut...

Also würde ich zwei Server benötigen... einen TS und einen DC?

Die sollten dann auch noch getrennt sein - abgesehen von den entsprechenden Ports fürs AD, DNS, DHCP?

Also wie sieht eine sinnvolle Konfiguration auf Hardwareebene aus ... also ich mein jetzt nicht was für Server, sondern wie ist eine möglichst sichere Strukturierung?
DerWoWusste
DerWoWusste 03.11.2014 um 23:30:52 Uhr
Goto Top
Pass auf, Vorschlag "zur Güte": vergiss zunächst mal RemoteApp und eine "sichere Struktur". Installier einen TS (ohne DC möglich, siehe https://support.microsoft.com/kb/2833839?wa=wsignin1.0 ). Dann bau eine RemoteSitzung auf und browse in dieser. Wenn Dir das leistungstechnisch reicht, dann bau mal Applocker ein um zu sehen, welche Schutzmechanismen möglich sind. Wenn Du dann auf den Geschmack gekommen bist, sehen wir weiter, sonst ist die Kommunikation am Ende für die Tonne.