Suche Tipps für Terminal Server Lösung oder ähnliches
Nabend Zusammen,
folgendes Szenario:
Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.
Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.
Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.
Aber irgendwie was in der Art sollte es sein.
Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.
Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.
Ideen?
Gruß und Dank
folgendes Szenario:
Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.
Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.
Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.
Aber irgendwie was in der Art sollte es sein.
Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.
Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.
Ideen?
Gruß und Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252889
Url: https://administrator.de/forum/suche-tipps-fuer-terminal-server-loesung-oder-aehnliches-252889.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
31 Kommentare
Neuester Kommentar
Hi,
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?
Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?
E.
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?
Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?
E.
Hi.
Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.
Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.
Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
In Kürze:
Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).
Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.
Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).
Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.
Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Zitat von @DerWoWusste:
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).
Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).
Moin,
Das ist sicherheitstechnisch sowieso eine Fehlentwicklung in den MUAs, daß aktive Inhalte und Klickbare Links Einzug gehalten haben. Sicherheitsbewußte Admins soltlen das soieso abschalten, daß man aus dem Mail-programm Heraus Links klicken oder sogar html-inhalte nachladen kann. Natürlich ist das bequem, aber ich empfehle schon seit Jahren, daß man eben diese Konfortfunktionen in Firmenumghebungen deaktivieren sollte. Manchmal finde ich sogar Gehör.
lks
@Xaero1982
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Zitat von @Xaero1982:
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...
Ja.
Dann arbeite ich vom client via rdp auf dem TS?
Nein. Du nimmst eine Remote App. Das ist im wesentlichen nichts andere wie eine verknüpfung, die den Browser auf dem TS aufruft und das Fenster Dir direkt auf Deinem Desktop anzeigt. (oder ein Client, der dir eben nur den Browser auf Deinem desktop anzeigt, je nach Sichtweise).
lks
Zitat von @Xaero1982:
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?
so unfgefähr.
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
nein eine FW mit zwagsproxy, der nur den terminalserver per http/https nah daufßen läßt und die anderen auf eine "Warnseite" leitet.
man köntne den Proxy natürlich auch gleich so gestalten, daß man mit den lokalen browsern nur authentifiziert raus darf, um dem administrator die möglichkeit zu geben, auch mit den lokalen browser mal raus zu dürfen.
lks
https://support.microsoft.com/kb/2833839?wa=wsignin1.0 beschreibt, dass remote Desktop mit nur einem Server zwar geht, aber nicht RemoteApps, leider.
Vielleicht doch zuerst die open source Lösungen ausloten.
Vielleicht doch zuerst die open source Lösungen ausloten.
Hi
mfg
Cthluhu
Zitat von @Xaero1982:
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Welchen Einstellungen? Warum auch immer, aber oftmals gibts im BIOS/UEFI Einstellungen zu virtualisierung welche per default vom Mainboard Hersteller deaktiviert sind.Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
mfg
Cthluhu
Pass auf, Vorschlag "zur Güte": vergiss zunächst mal RemoteApp und eine "sichere Struktur". Installier einen TS (ohne DC möglich, siehe https://support.microsoft.com/kb/2833839?wa=wsignin1.0 ). Dann bau eine RemoteSitzung auf und browse in dieser. Wenn Dir das leistungstechnisch reicht, dann bau mal Applocker ein um zu sehen, welche Schutzmechanismen möglich sind. Wenn Du dann auf den Geschmack gekommen bist, sehen wir weiter, sonst ist die Kommunikation am Ende für die Tonne.