avoigt3
Goto Top

Terminalserver gleichzeitig sekundärer Domänencontroller

Benutzer können sich nicht anmelden

Hallo!

Wir haben in der Firma zwei Windows 2003 SE Prof. am laufen. Einer ist der primäre und einer der sekundäre Domänencontroller. Der zweite soll zusätzlich als Terminalserver laufen. Die Zugriffslizenzen sind korrekt installiert, der Lizenzserver aktiviert, es scheint alles io zu sein. Die Nutzer, welche Terminaldienste nutzen sollen, sind in der Gruppe Remotedesktopbenutzer. Zusätzlich hab ich ihnen noch erlaubt, sich lokal am Server und über Terminaldienste anzumelden (Sicherheitsrichtlinie für Domänencontroller). Nun bekommen normale Nutzer (keine Admins) trotzdem die Fehlermeldung, das sie sich nicht anmelden können (nicht Mitglied der Gruppe Remotedesktopbenutzer bla bla). Die einzige Möglichkeit, die ich gefunden habe, ist die Benutzer unter der Terminaldienstekonfiguration unter Verbindungen --> RDP-TCP Sicherheitseinstellungen manuell einzutragen. Es nützt nicht mal was, wenn man die Gruppe Remotedesktopbenutzer da reinschmeisst. Ich bin mir auch bewusst, daß man einen Domänencontroller eigentlich nicht als Terminalserver laufen lassen sollte (laut Microsoft wegen der Performance). Wir können uns aber nicht wegen jedem Scheiss gleich mal nen neuen Server nebst Software hinstellen. Wie kann ich nun die Terminaldienste normal zum fliegen bekommen? Oder geht das wirklich nur über den manuellen Weg Terminaldienstekonfiguration ... ???

MFG
Andreas

Content-ID: 28250

Url: https://administrator.de/forum/terminalserver-gleichzeitig-sekundaerer-domaenencontroller-28250.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

meinereiner
meinereiner 15.03.2006 um 17:09:15 Uhr
Goto Top
Kann es ein, dass der Gruppe der Remotedesktopuser das Recht zur Anmeldung am TS über eien Richtlinie verweigert wird?

Der Eintrag in den RDP Berechtigungen setzt eigentlich nur das Recht zur Anmeldung am TS in den Richtlinien. Deswegen wundert es mich ein wenig, dass es mit den Remotedesktopusern nicht geht.
Rati
Rati 15.03.2006 um 17:42:31 Uhr
Goto Top
Hallo,

ich würde vermuten den Benutzer fehlt das Log-On Recht für einen Domain Controller. Das haben im Standard der "Default Domain Controller Policy" nur Domain Admins.

Schau vielleicht mal da nach.

Gruß

Rati

PS: MS empfiehlt es aus Sicherheitsgründen nicht, weil du ja normale User auf deinen Domain Controller läßt.
stpe
stpe 15.03.2006 um 19:52:01 Uhr
Goto Top
Neben der Gruppe, in der die Benutzer eingetragen werden müssen (müssen sie das?), sieh in den Benutzereinstellungen im Aktenreiter "Terminaldiensteprofil" nach, ob dort das Häckchen gesetzt ist, dass sich der entsprechende Benutzer auch wirklich am Terminalserver anmelden darf.

Achte weiterhin darauf, dass das Profilverzeichnis für die Terminaldienste ein anderes ist, als das für den lokalen Login. Das hat zwar nichts mit Rechten zu tun, erleichtert einem das Adminleben aber ziemlich ;)

Auch ich würde allerdings keinen Terminalserver auf einem Domaincontroller für User freigeben. Wenn der Server performant genug ist, könntet Ihr doch auch VMWare-Server benutzen, um auf der Hardware mehrere virtuelle Server einzurichten. Das würde die Sicherheitsproblematik auf jeden Fall entschärfen und dabei keine neue Hardware erfordern.

Gruss
Stefan
avoigt3
avoigt3 15.03.2006 um 20:22:47 Uhr
Goto Top
Ich glaub ich hab das Häkchen in der Benutzerkonfiguration vergessen (peinlich ;) ) - muss ich morgen gleich mal nachschauen. Ja und das Sicherheitsrisiko ist mir schon bewusst, wir haben allerdings keine sooooooooo wichtigen Daten, das die Nutzer unbedingt in eine VM verbannt werden müssten. Danke für die Tips!
Rati
Rati 16.03.2006 um 10:16:17 Uhr
Goto Top
Hallo,

den Tip mit der VM läßt sich schwer durchsetzen, da sich Vmware nicht auf einem Domain Controller installieren läßt. Da muss man dann schon zu den MS Pendants greifen (Virtual Server/PC).

Gruß

Rati
stpe
stpe 16.03.2006 um 20:25:29 Uhr
Goto Top
Der VMWare-Server wuerde als Basis installiert (die Servervariante braucht keinen Windows-Unterbau), der DC als virtuelle Maschine eingerichtet. Prinzipiell ließe sich das Ganze also schon aufsetzen.

Gruss
Stefan
Rati
Rati 16.03.2006 um 20:30:30 Uhr
Goto Top
Hi Stefan,

also für den Preis von nem ESX Server bekomme ich schon nie ziemlich vernünftige zusätzliche Serverhardware.

Gruß

Rati
stpe
stpe 16.03.2006 um 20:53:02 Uhr
Goto Top
Ok, für den ESX hatte ich mich beim Preis etwas verhauen, hatte den nicht so teuer in Erinnerung... face-smile

Naja, beim dritten Server wäre der dann wieder sinnvoll ... *g*

Gruss
Stefan