10
RDP-Verbindung zu einem RD-Server verhindern
Guten Morgen,
ich verzweifle gerade an einem Problem, von dem ich nicht gedacht hätte, dass es überhaupt so kompliziert ist.
Lage: Es existiert bis auf Weiteres ein älterer Terminal-Server (Windows Server 2003) und ein neuerer Remotedesktopdienste-Server (Windows Server 2012 R2). Alle Benutzer nutzen den Terminalserver. Der RD-Server soll allerdings nur einem Teil von ihnen zugänglich gemacht werden.
Frage: Wie kann ich den unberechtigten Domänen-Benutzern die Verbindung zu dem RD-Server untersagen ohne gleich RDP zu verbieten? Die Nutzer sollen ja weiterhin den alten Terminal-Server benutzen können.
Problem: Sobald auch nur eine Verbindung zum RD-Server ausgestellt wird, wird dem Domänen-Benutzer eine Lizenz ausgestellt, was unbedingt verhindert werden muss, da es nur eine begrenzte Anzahl von CALs gibt entsprechend den berechtigten Domänen-Benutzern. Diese Lizenzen werden dann zwei Monate blockiert und das Clearinghouse soll nicht ständig kontaktiert werden.
Bereits probierte Lösuungsversuche: Mit Gruppenberechtigungen zu spielen um den Zugriff auf den RD-Server zu beschränken hatte nicht den gewünschten Erfolg. Selbst wenn unmittelbar beim Verbindungsversuch mittels mstsc.exe die Fehlermeldung kommt, dass der Nutzer nicht berechtigt ist sich auf dem RD-Server anzumelden wird trotzdem eine Lizenz ausgestellt. Daher muss wohl schon vorher irgendwo die Verbindung untersagt werden.
Gibt es eine andere Möglichkeit als eine netzwerkseitige Fehlverbindung zu erzeugen, Firewallregeln oder großartig Skripte zu schreiben um die Verbindung für bestimmte Domänen-Benutzern vorab zu verhindern? Kann man den RDP-Client irgendwie nur auf bestimmte Ziele beschränken?
Ich finde es ziemlich kundenunfreundlich, dass bei der Verbindung eine Nutzerlizenz ausgestellt wird, statt nach einer erfolgreichen Anmeldung. Sicher macht es irgendwo Sinn, aber der erschließt sich mir nicht.
Vielen Dank im Voraus.
Gruß Winary
ich verzweifle gerade an einem Problem, von dem ich nicht gedacht hätte, dass es überhaupt so kompliziert ist.
Lage: Es existiert bis auf Weiteres ein älterer Terminal-Server (Windows Server 2003) und ein neuerer Remotedesktopdienste-Server (Windows Server 2012 R2). Alle Benutzer nutzen den Terminalserver. Der RD-Server soll allerdings nur einem Teil von ihnen zugänglich gemacht werden.
Frage: Wie kann ich den unberechtigten Domänen-Benutzern die Verbindung zu dem RD-Server untersagen ohne gleich RDP zu verbieten? Die Nutzer sollen ja weiterhin den alten Terminal-Server benutzen können.
Problem: Sobald auch nur eine Verbindung zum RD-Server ausgestellt wird, wird dem Domänen-Benutzer eine Lizenz ausgestellt, was unbedingt verhindert werden muss, da es nur eine begrenzte Anzahl von CALs gibt entsprechend den berechtigten Domänen-Benutzern. Diese Lizenzen werden dann zwei Monate blockiert und das Clearinghouse soll nicht ständig kontaktiert werden.
Bereits probierte Lösuungsversuche: Mit Gruppenberechtigungen zu spielen um den Zugriff auf den RD-Server zu beschränken hatte nicht den gewünschten Erfolg. Selbst wenn unmittelbar beim Verbindungsversuch mittels mstsc.exe die Fehlermeldung kommt, dass der Nutzer nicht berechtigt ist sich auf dem RD-Server anzumelden wird trotzdem eine Lizenz ausgestellt. Daher muss wohl schon vorher irgendwo die Verbindung untersagt werden.
Gibt es eine andere Möglichkeit als eine netzwerkseitige Fehlverbindung zu erzeugen, Firewallregeln oder großartig Skripte zu schreiben um die Verbindung für bestimmte Domänen-Benutzern vorab zu verhindern? Kann man den RDP-Client irgendwie nur auf bestimmte Ziele beschränken?
Ich finde es ziemlich kundenunfreundlich, dass bei der Verbindung eine Nutzerlizenz ausgestellt wird, statt nach einer erfolgreichen Anmeldung. Sicher macht es irgendwo Sinn, aber der erschließt sich mir nicht.
Vielen Dank im Voraus.
Gruß Winary
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287122
Url: https://administrator.de/contentid/287122
Printed on: April 19, 2024 at 23:04 o'clock
10 Comments
Latest comment
Moin,
schränke doch den Kreis der berechtigten User mit einer Firewall-Regel auf dem RDS Server ein, in der kannst du berechtigte Benutzergruppen eintragen.
Gruß grexit
schränke doch den Kreis der berechtigten User mit einer Firewall-Regel auf dem RDS Server ein, in der kannst du berechtigte Benutzergruppen eintragen.
Gruß grexit
Moin.
Zusatz zu Grexits Ansatz: Um bei einer Firewall nach Benutzern (und nicht Rechnern) eine Filterung einzurichten, braucht man eine ipsec-Infrastruktur, ohne Weiteres geht dies also nicht. Kannst Du nach Rechnern einschränken? Dann mach das.
Nebenbei: nutzt Du NLA? Dann dürfte keine Lizenz ausgestellt werden. Siehe http://scom.aca-computers.nl/image/Windows-XP-RDP-connection-Windows-20 ...
Zusatz zu Grexits Ansatz: Um bei einer Firewall nach Benutzern (und nicht Rechnern) eine Filterung einzurichten, braucht man eine ipsec-Infrastruktur, ohne Weiteres geht dies also nicht. Kannst Du nach Rechnern einschränken? Dann mach das.
Nebenbei: nutzt Du NLA? Dann dürfte keine Lizenz ausgestellt werden. Siehe http://scom.aca-computers.nl/image/Windows-XP-RDP-connection-Windows-20 ...
Hallo,
wie wäre es, wenn du die Benutzer mit Zugang in eine eigene OU packst und dem RDS Server so konfigurierst das nur diese OU Zugriff darauf hat?
edit: Ups. Sorry.... Hab den Text nicht komplett gelesen. Ist halt schon Freitag.
Gruß
Neomatic
wie wäre es, wenn du die Benutzer mit Zugang in eine eigene OU packst und dem RDS Server so konfigurierst das nur diese OU Zugriff darauf hat?
edit: Ups. Sorry.... Hab den Text nicht komplett gelesen. Ist halt schon Freitag.
Gruß
Neomatic
@Neomatic: lies noch mal, was sein Problem ist. Selbst wenn der Zugriff verweigert wird, wird eine Lizenz verbraten - darum geht es.
Hallo,
Danke für die Antworten. Ich wünschte bei meinen bisherigen ADCS-Fragen wäre die Antwortmotivation genauso groß
@122990 In meiner Frage schrieb ich, dass ich im besten Fall eine andere Lösung suche als eine Firewallregel. Sollte es aber nichts anderes geben, welche Regel müsste ich denn erstellen? MSTSC.exe als Blockieren-Programmregel geht nicht, da es für den älteren Terminal-Server noch benutzt werden muss. Auf die Schnelle finde ich keinen Punkt in dem ich die RDP-Verbindung zu einem bestimmten DNS-Name/IP-Adresse blockieren kann. Wo finde ich das und wäre das dann eine ausgehende Regel?
@DerWoWusste Da jeder Nutzer meistens seine eigene Maschine nutzt könnte ich auch nach Rechnern einschränken, würde aber lieber nach Benutzern einschränken; wäre also kein KO-Kriterium. IPSec würde ich aufgrund der geringen Netzwerkgröße und nur für diesen Zweck ungern einrichten.
Witzigerweise war NLA das erste woran ich gedacht habe. Allerdings bekomme ich, wenn ich eine RDP-Sitzung herstellen will, nachdem ich bei NLA eine Sicherheitsgruppe mit nur den Berechtigten darin eingetragen habe, zwar wie erwartet eine Fehlermeldung, dass man nicht berechtigt ist sich anzumelden (mein Nutzer ist nicht Mitglied dieser Gruppe), es wird trotzdem eine Lizenz ausgestellt.
Total verrückt. Warum macht Microsoft das so?
Danke für die Antworten. Ich wünschte bei meinen bisherigen ADCS-Fragen wäre die Antwortmotivation genauso groß
@122990 In meiner Frage schrieb ich, dass ich im besten Fall eine andere Lösung suche als eine Firewallregel. Sollte es aber nichts anderes geben, welche Regel müsste ich denn erstellen? MSTSC.exe als Blockieren-Programmregel geht nicht, da es für den älteren Terminal-Server noch benutzt werden muss. Auf die Schnelle finde ich keinen Punkt in dem ich die RDP-Verbindung zu einem bestimmten DNS-Name/IP-Adresse blockieren kann. Wo finde ich das und wäre das dann eine ausgehende Regel?
@DerWoWusste Da jeder Nutzer meistens seine eigene Maschine nutzt könnte ich auch nach Rechnern einschränken, würde aber lieber nach Benutzern einschränken; wäre also kein KO-Kriterium. IPSec würde ich aufgrund der geringen Netzwerkgröße und nur für diesen Zweck ungern einrichten.
Witzigerweise war NLA das erste woran ich gedacht habe. Allerdings bekomme ich, wenn ich eine RDP-Sitzung herstellen will, nachdem ich bei NLA eine Sicherheitsgruppe mit nur den Berechtigten darin eingetragen habe, zwar wie erwartet eine Fehlermeldung, dass man nicht berechtigt ist sich anzumelden (mein Nutzer ist nicht Mitglied dieser Gruppe), es wird trotzdem eine Lizenz ausgestellt.
Total verrückt. Warum macht Microsoft das so?
Wo finde ich das und wäre das dann eine ausgehende Regel?
In der Firewall des RDS, eine Deny-Regel erstellen die auf Port 3389 greift, in den erweiterten Eigenschaften der Regel findest du die Tabs zum Einschränken ...
NLA hat nichts mit Gruppen zu tun. Mein verlinktes Bild sollte anzeigen, wie man NLA aktiviert. Es ist bei Dir also aktiviert und dennoch wird eine Lizenz vergeben? Das wäre ein Bug/eine Designschwäche und müsste mit Microsofts Support angegangen werden.
Firewall: Am Server die Remote-Desktop-Regeln im Firewall-Domänenprofil bearbeiten und nur zugelassene IPs eintragen.
Firewall: Am Server die Remote-Desktop-Regeln im Firewall-Domänenprofil bearbeiten und nur zugelassene IPs eintragen.
Zitat von @122990:
In der Firewall des RDS, eine Deny-Regel erstellen die auf Port 3389 greift, in den erweiterten Eigenschaften der Regel findest du die Tabs zum Einschränken ...
In der Firewall des RDS, eine Deny-Regel erstellen die auf Port 3389 greift, in den erweiterten Eigenschaften der Regel findest du die Tabs zum Einschränken ...
Der Deny (Verbindung blockieren) funktioniert, mit dem Zulassen muss ich wohl noch ein wenig herumprobieren.Schöner wäre es jedoch wenn man die Regel so anpassen könnte, dass nur bestimmte IP-Adressen eine Verbindung herstellen können. So muss ich entweder IP-Bereiche oder einzelne Adressen blockieren statt den RDS für ausschließlich z.B. fünf Adressen zuzulassen. Danke dafür, auch wenn ich gehofft habe, dass es eine elegantere Lösung mittels Sicherheitsgruppen gibt.
Zitat von @DerWoWusste:
NLA hat nichts mit Gruppen zu tun. Mein verlinktes Bild sollte anzeigen, wie man NLA aktiviert.
NLA hat nichts mit Gruppen zu tun. Mein verlinktes Bild sollte anzeigen, wie man NLA aktiviert.
NLA ist aktiviert, ja. Mit Select User kann man aber festlegen wer eine Verbindung herstellen darf.
Es ist bei Dir also aktiviert und dennoch wird eine Lizenz vergeben? Das wäre ein Bug/eine Designschwäche und müsste mit Microsofts Support angegangen werden.
Das meinte ich mit "Total verrückt"
Firewall: Am Server die Remote-Desktop-Regeln im Firewall-Domänenprofil bearbeiten und nur zugelassene IPs eintragen.
Wenn ich die Regel auf "Verbindung zulassen" (mit dem "wenn sie sicher ist" muss ich mich noch beschäftigen) stelle und unter dem Reiter "Bereich" die berechtigten IP-Adressen eintrage ändert es nichts, es kann trotzdem jeder eine Verbindung herstellen, da er das scheinbar ohnehin standardmäßig kann. Ich muss also Verbindung blockieren.
Du meinst sicher unter dem Reiter "Remotecomputer" das "Nur Verbindungen der folgenden Computer zulassen". Das geht ja nur wenn die Verbindung zugelassen wird wenn sie sicher ist. Wenn ich unter dem Reiter "Allgemein" auf "Anpassen" gehe, was wähle ich aus wenn ich kein IPSec habe? Nullkapselung?
Danke für die Hilfe.
Dann muss wine weitere Regel aktiv sein. Würde sonst so passen.
Sry, ich kam gestern nicht mehr zum antworten.
Vielen Dank euch beiden. Es ist zwar nicht die Lösung, die ich mir erhofft habe, aber sie funktioniert.
Das wäre eine üble Designschwäche wenn diese Lizenzausstellung bei lediglich einer Verbindung auf einen RD-Sitzungshost unbeabsichtigt wäre. Ich kann aber auch nicht der Einzige sein, der dieses Problem hat(te). Wenn man mehrere RD-Farms mit mehreren RD-Lizenz-Servern hat und die zugreifenden Nutzer voneinander getrennt werden sollen, sollte es doch eine schickere Lösung geben als Firewallregeln. Das Szenerio sollte ja nicht allzu selten sein, wenn in der einen Farm Office auf den Sitzungshosts wäre und in der anderen nicht; Stichwort Lizenzen.
Naja, deal with it.
Grüße
Winary
Vielen Dank euch beiden. Es ist zwar nicht die Lösung, die ich mir erhofft habe, aber sie funktioniert.
Das wäre eine üble Designschwäche wenn diese Lizenzausstellung bei lediglich einer Verbindung auf einen RD-Sitzungshost unbeabsichtigt wäre. Ich kann aber auch nicht der Einzige sein, der dieses Problem hat(te). Wenn man mehrere RD-Farms mit mehreren RD-Lizenz-Servern hat und die zugreifenden Nutzer voneinander getrennt werden sollen, sollte es doch eine schickere Lösung geben als Firewallregeln. Das Szenerio sollte ja nicht allzu selten sein, wenn in der einen Farm Office auf den Sitzungshosts wäre und in der anderen nicht; Stichwort Lizenzen.
Naja, deal with it.
Grüße
Winary
