31
Suche Tipps für Terminal Server Lösung oder ähnliches
Nabend Zusammen,
folgendes Szenario:
Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.
Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.
Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.
Aber irgendwie was in der Art sollte es sein.
Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.
Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.
Ideen?
Gruß und Dank
folgendes Szenario:
Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.
Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.
Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.
Aber irgendwie was in der Art sollte es sein.
Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.
Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.
Ideen?
Gruß und Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252889
Url: https://administrator.de/contentid/252889
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
31 Kommentare
Neuester Kommentar
Hi,
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?
Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?
E.
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?
Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?
E.
Hi Emeriks,
naja wie gesagt ich such schon sowas wie einen TS. Allerdings denke ich ist das für 5 User von denen vielleicht 2 parallel im Netz surfen total übertrieben.
Die Rechner sollen schon vom Internet getrennt sein, aber wie gesagt zwei separate Netze aufbauen finde ich einfach überzogen nur damit die mal im Netz surfen können.
Ich glaube das mit dem Securebrowser wird das nicht ganz dem Sicherheitsempfinden der Nutzer gerecht.
Es soll in erster Linie davor schützen, dass man keinen Zugriff auf die Daten der PCs bekommt - direkt.
Gruß
ps: mir ist klar, dass hier ebenfalls keine 100%ige Sicherheit geben wird so lange sie in irgendeiner Form vernetzt sind.
naja wie gesagt ich such schon sowas wie einen TS. Allerdings denke ich ist das für 5 User von denen vielleicht 2 parallel im Netz surfen total übertrieben.
Die Rechner sollen schon vom Internet getrennt sein, aber wie gesagt zwei separate Netze aufbauen finde ich einfach überzogen nur damit die mal im Netz surfen können.
Ich glaube das mit dem Securebrowser wird das nicht ganz dem Sicherheitsempfinden der Nutzer gerecht.
Es soll in erster Linie davor schützen, dass man keinen Zugriff auf die Daten der PCs bekommt - direkt.
Gruß
ps: mir ist klar, dass hier ebenfalls keine 100%ige Sicherheit geben wird so lange sie in irgendeiner Form vernetzt sind.
Was wäre mit nem VMware Player o.ä.? Ne VM mit nen schlanken Linux und ner "nonpersistent" VMDK? Um das abzurunden, sollten die VM's in einem anderen VLAN laufen.
E.
E.
Habe ich auch überlegt, aber die Kisten sind mWn diese komischen kleinen mini-PCs von ... frag mich nicht. Also nicht genug Power.
Hi.
Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.
Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.
Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
1
Hi DWW,
das hört sich doch schon mal gut an.
Hab das mal kurz überflogen.
Was sind denn die Voraussetzungen?
Was würdest du aus den Erfahrungen empfehlen? Linux oder doch nen TS 2012 r2? Kannst du mir die ungefähren Kosten nennen?
Was für Hardware sollte man verwenden - es geht hier wirklich nur um ~5 Nutzer - eine Erhöhung wird wohl auch nicht stattfinden?
Und wie genau ist dann das Vorgehen?
Hab jetzt erst mal nur ein Dokument vom BSI aus 2006 gefunden. Hast du was aktuelleres wie die Umsetzung erfolgt?
Grüße und Dank
das hört sich doch schon mal gut an.
Hab das mal kurz überflogen.
Was sind denn die Voraussetzungen?
Was würdest du aus den Erfahrungen empfehlen? Linux oder doch nen TS 2012 r2? Kannst du mir die ungefähren Kosten nennen?
Was für Hardware sollte man verwenden - es geht hier wirklich nur um ~5 Nutzer - eine Erhöhung wird wohl auch nicht stattfinden?
Und wie genau ist dann das Vorgehen?
Hab jetzt erst mal nur ein Dokument vom BSI aus 2006 gefunden. Hast du was aktuelleres wie die Umsetzung erfolgt?
Grüße und Dank
In Kürze:
Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).
Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.
Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).
Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.
Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Moin,
klingt ja erst mal vielversprechend.
Wenn ich dich aber richtig verstehe brauche ich zusätzlich zum TS auch einen DC? Derzeit haben die Nutzer alle nur lokal an ihren PCs.
So viel zur Theorie, aber wie wird das umgesetzt?
Muss der Nutzer vorher eine RDP Session aufbauen oder wird eine Verknüpfung lokal hinterlegt?
Und wie wird das ganze letztlich konfiguriert? Hast du da irgendwo ein How-To?
Grüße
klingt ja erst mal vielversprechend.
Wenn ich dich aber richtig verstehe brauche ich zusätzlich zum TS auch einen DC? Derzeit haben die Nutzer alle nur lokal an ihren PCs.
So viel zur Theorie, aber wie wird das umgesetzt?
Muss der Nutzer vorher eine RDP Session aufbauen oder wird eine Verknüpfung lokal hinterlegt?
Und wie wird das ganze letztlich konfiguriert? Hast du da irgendwo ein How-To?
Grüße
Zitat von @DerWoWusste:
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).
Moin,
Das ist sicherheitstechnisch sowieso eine Fehlentwicklung in den MUAs, daß aktive Inhalte und Klickbare Links Einzug gehalten haben. Sicherheitsbewußte Admins soltlen das soieso abschalten, daß man aus dem Mail-programm Heraus Links klicken oder sogar html-inhalte nachladen kann. Natürlich ist das bequem, aber ich empfehle schon seit Jahren, daß man eben diese Konfortfunktionen in Firmenumghebungen deaktivieren sollte. Manchmal finde ich sogar Gehör.
lks
@Xaero1982
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Naja:
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Dann arbeite ich vom client via rdp auf dem TS?
Oder wie genau geht das vonstatten? Wenn ich via rdp auf dem ts arbeite verstehe ich den Zusammenhang mit ReCoPs nicht.
Die Idee dahinter ist mir klar ... aber so richtig hilfreiches informatives find ich im Netz nicht, außer Firmen die das anbieten.
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Dann arbeite ich vom client via rdp auf dem TS?
Oder wie genau geht das vonstatten? Wenn ich via rdp auf dem ts arbeite verstehe ich den Zusammenhang mit ReCoPs nicht.
Die Idee dahinter ist mir klar ... aber so richtig hilfreiches informatives find ich im Netz nicht, außer Firmen die das anbieten.
Zitat von @Xaero1982:
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Ja.
Dann arbeite ich vom client via rdp auf dem TS?
Nein. Du nimmst eine Remote App. Das ist im wesentlichen nichts andere wie eine verknüpfung, die den Browser auf dem TS aufruft und das Fenster Dir direkt auf Deinem Desktop anzeigt. (oder ein Client, der dir eben nur den Browser auf Deinem desktop anzeigt, je nach Sichtweise).
lks
1
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne Verknüpfung auf den Client?
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
Grüße
ps: hach danke ihr zwei
werde mir mal den Artikel zu Gemüte führen.
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
Grüße
ps: hach danke ihr zwei
werde mir mal den Artikel zu Gemüte führen.Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
Ich würde SQUID oder Ähnliches als Proxy installieren und dort Berechtigungen vergeben. Das mit dem Gateway ginge natürlich auch, wenn denn anderweitig kein Routing gebraucht wird.Zitat von @Xaero1982:
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?
so unfgefähr.
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
nein eine FW mit zwagsproxy, der nur den terminalserver per http/https nah daufßen läßt und die anderen auf eine "Warnseite" leitet.
man köntne den Proxy natürlich auch gleich so gestalten, daß man mit den lokalen browsern nur authentifiziert raus darf, um dem administrator die möglichkeit zu geben, auch mit den lokalen browser mal raus zu dürfen.
lks
Hi,
Ich nehme dafür privat x2go. Läuft auf einen alten Server auf dem OpenSUSE rennt. Vom Win7 Client wird sich mit dem X2Go-Client (Verknüpfung auf dem Desktop) verbunden, automatisch ein Firefox am Server gestartet und das Fenster am Win7 Client gerendet. Läuft äußerst flüssig.
mfg
Cthluhu
Ich nehme dafür privat x2go. Läuft auf einen alten Server auf dem OpenSUSE rennt. Vom Win7 Client wird sich mit dem X2Go-Client (Verknüpfung auf dem Desktop) verbunden, automatisch ein Firefox am Server gestartet und das Fenster am Win7 Client gerendet. Läuft äußerst flüssig.
mfg
Cthluhu
1
Hi Cthluhu,
sieht auch interessant aus - danke. Mal testen.
Gruß
sieht auch interessant aus - danke. Mal testen.
Gruß
Nabend,
ich hab mir mal den 2012 r2 herunter geladen und installiert. Habe dann die RDP Dienste installiert und bekomme die Meldung wenn ich über den Manager zugreifen will:
"Sie sind momentan als lokaler Administrator auf dem Computer angemeldet. Zum Verwalten von Servern und Sammlungen mpssen Sie als Domänenbenutzer angemeldet sein."
Also doch nen DC?
Gruß
ich hab mir mal den 2012 r2 herunter geladen und installiert. Habe dann die RDP Dienste installiert und bekomme die Meldung wenn ich über den Manager zugreifen will:
"Sie sind momentan als lokaler Administrator auf dem Computer angemeldet. Zum Verwalten von Servern und Sammlungen mpssen Sie als Domänenbenutzer angemeldet sein."
Also doch nen DC?
Gruß
Das wusste ich nicht mehr. Google mal fragen, ob es einen Ausweg gibt. Wusste bislang nur, dass sso eine Domäne braucht.
https://support.microsoft.com/kb/2833839?wa=wsignin1.0 beschreibt, dass remote Desktop mit nur einem Server zwar geht, aber nicht RemoteApps, leider.
Vielleicht doch zuerst die open source Lösungen ausloten.
Vielleicht doch zuerst die open source Lösungen ausloten.
So wie gesagt habs in einer Virtual Box installiert.
Hab nun auch mal das AD installiert.
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Ideen?
Gruß
Hab nun auch mal das AD installiert.
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Ideen?
Gruß
Du installierst den remote session host mit der Option"vm basiert", nimm die andere Option"session basiert".
1
Hi
mfg
Cthluhu
Zitat von @Xaero1982:
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Welchen Einstellungen? Warum auch immer, aber oftmals gibts im BIOS/UEFI Einstellungen zu virtualisierung welche per default vom Mainboard Hersteller deaktiviert sind.Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
mfg
Cthluhu
Da hat der DWW mal wieder recht gehabt
@Cthluhu: Es ist in den Einstellungen von Virtualbox aktiviert. Bios hab ich nicht
Grüße
@Cthluhu: Es ist in den Einstellungen von Virtualbox aktiviert. Bios hab ich nicht
Grüße
Und nu? Wie schaut's?
Um ehrlich zu sein bin ich noch nicht ganz durchgestiegen wie ich da weiter vorgehen soll.
Ich glaub ich werde mich erst mal weiter belesen, weil ich noch nicht mitm 2012er gearbeitet habe.
Kannst du mir irgendwelche Literatur empfehlen? Oder besser gleich zu MSPress greifen?
Ich glaub ich werde mich erst mal weiter belesen, weil ich noch nicht mitm 2012er gearbeitet habe.
Kannst du mir irgendwelche Literatur empfehlen? Oder besser gleich zu MSPress greifen?
Kann nichts empfehlen, wüsste auch nicht, wozu, ist ja alles wizard-gesteuert. Wo steckst Du denn fest?
Naja im Moment frag ich mich wie ich Remoteapps hinzufügen kann?
Aktuell hab ich nach der Einrichtung nur das Paint,Calc,Wordpad... die kann ich ja z.b. über den Webaccess aufrufen, aber wie z.b. bekomme ich einfach nur einen Link auf den Desktop? Also so, dass der User sich nicht immer erst anmelden muss? Geht vermutlich nur, wenn der Client auch in der Domäne ist?
Im Servermanager hab ich unter Sammlungen nur die QuickSessionCollection mit den o.g. Apps.
Aktuell hab ich nach der Einrichtung nur das Paint,Calc,Wordpad... die kann ich ja z.b. über den Webaccess aufrufen, aber wie z.b. bekomme ich einfach nur einen Link auf den Desktop? Also so, dass der User sich nicht immer erst anmelden muss? Geht vermutlich nur, wenn der Client auch in der Domäne ist?
Im Servermanager hab ich unter Sammlungen nur die QuickSessionCollection mit den o.g. Apps.
Ich glaub die Fragen hab ich mir fast schon alle beantwortet gerade
Also hinzufügen geht nun ...
Aber das mit dem Anmelden wird wohl nur innerhalb der Domäne gehen oder? Im Moment bekomm ich immer das Anmeldefenster.
Also hinzufügen geht nun ...
Aber das mit dem Anmelden wird wohl nur innerhalb der Domäne gehen oder? Im Moment bekomm ich immer das Anmeldefenster.
So weit so gut...
Also würde ich zwei Server benötigen... einen TS und einen DC?
Die sollten dann auch noch getrennt sein - abgesehen von den entsprechenden Ports fürs AD, DNS, DHCP?
Also wie sieht eine sinnvolle Konfiguration auf Hardwareebene aus ... also ich mein jetzt nicht was für Server, sondern wie ist eine möglichst sichere Strukturierung?
Also würde ich zwei Server benötigen... einen TS und einen DC?
Die sollten dann auch noch getrennt sein - abgesehen von den entsprechenden Ports fürs AD, DNS, DHCP?
Also wie sieht eine sinnvolle Konfiguration auf Hardwareebene aus ... also ich mein jetzt nicht was für Server, sondern wie ist eine möglichst sichere Strukturierung?
Pass auf, Vorschlag "zur Güte": vergiss zunächst mal RemoteApp und eine "sichere Struktur". Installier einen TS (ohne DC möglich, siehe https://support.microsoft.com/kb/2833839?wa=wsignin1.0 ). Dann bau eine RemoteSitzung auf und browse in dieser. Wenn Dir das leistungstechnisch reicht, dann bau mal Applocker ein um zu sehen, welche Schutzmechanismen möglich sind. Wenn Du dann auf den Geschmack gekommen bist, sehen wir weiter, sonst ist die Kommunikation am Ende für die Tonne.
