6
Zugriff auf Clienten über SBS2008 auf RD
Hallo liebe Forumgemeinde 
Hallo.
Ich habe folgendes Problem:
in einem Unternehmen, läuft ein Small Buissnenes Server 2008.
An diesem hängen mehrere Clienten.
Jeder Client, hat seinen Nutzer. Alle IP´s sind statisch.
der Server, dient gleichzeitig als Gateway.
Jetzt möchte ich die Remote Administration der Desktops vergeben, und stoße dabei stets auf folgende Probleme:
1. - Entweder, können sich Remote Benutzer gar nicht einwählen, oder landen auf dem Server Desktop
2. - Generell ist es Remote Nutzern nicht möglich auf "ihrem" Desktop heraus zu kommen.
d.h., Beispiel:
die Domain z.B. heißt : "Domain"
nun kann man sich unter "domain" ja anmelden
Problem:
diese teilt sich auf in :
Domain-server
Domain-Arbeitsplatz1
Domain-Arbeitsplatz2
usw.
Für Arbeitsplatz1 und Arbeitsplatz2 sind bereits für ihre Nutzer, sämtliche Remote Berechtigungen erstellt.
Sie haben also das Recht dazu, sich auf ihrem Rechner anzumelden, und selbigen fernzusteuern.
Jedoch gelangen sie ausschließlich auf den Server, nicht auf ihren Rechner.
Wieso?
Die Ports für die Remotesteuerung sind alle bereits da + vorhanden.
Die Remotesteuerung des Servers, funktioniert hervorragend.
wo liegt das Problem?
Was habe ich übersehen?
Hinweis:
die Clienten betreiben Windows7.
Auch auf den Clienten, ist die Remotesteuerung bereits eingerichtet / erlaubt.
Nemosnautilus
Ich habe folgendes Problem:
in einem Unternehmen, läuft ein Small Buissnenes Server 2008.
An diesem hängen mehrere Clienten.
Jeder Client, hat seinen Nutzer. Alle IP´s sind statisch.
der Server, dient gleichzeitig als Gateway.
Jetzt möchte ich die Remote Administration der Desktops vergeben, und stoße dabei stets auf folgende Probleme:
1. - Entweder, können sich Remote Benutzer gar nicht einwählen, oder landen auf dem Server Desktop
2. - Generell ist es Remote Nutzern nicht möglich auf "ihrem" Desktop heraus zu kommen.
d.h., Beispiel:
die Domain z.B. heißt : "Domain"
nun kann man sich unter "domain" ja anmelden
Problem:
diese teilt sich auf in :
Domain-server
Domain-Arbeitsplatz1
Domain-Arbeitsplatz2
usw.
Für Arbeitsplatz1 und Arbeitsplatz2 sind bereits für ihre Nutzer, sämtliche Remote Berechtigungen erstellt.
Sie haben also das Recht dazu, sich auf ihrem Rechner anzumelden, und selbigen fernzusteuern.
Jedoch gelangen sie ausschließlich auf den Server, nicht auf ihren Rechner.
Wieso?
Die Ports für die Remotesteuerung sind alle bereits da + vorhanden.
Die Remotesteuerung des Servers, funktioniert hervorragend.
wo liegt das Problem?
Was habe ich übersehen?
Hinweis:
die Clienten betreiben Windows7.
Auch auf den Clienten, ist die Remotesteuerung bereits eingerichtet / erlaubt.
Nemosnautilus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 169786
Url: https://administrator.de/contentid/169786
Printed on: April 16, 2024 at 07:04 o'clock
6 Comments
Latest comment
moin,
lass mich raten....
Gruß
lass mich raten....
Alle IP´s sind statisch.
- außer der öffentlichen?
der Server, dient gleichzeitig als Gateway.
- das soll bedeuten, der macht NAT und eine VPN Firewall gibts nicht?
wo liegt das Problem?
- das man aus Scheibeinkleister kein Gold zaubern kann.
Hinweis:
- Selbst wenn du das hinbekommst, mußt du sicherstellen, dass die User abends Ihre Kisten nicht ausschalten, also eine doppeltbillige Lösung incl. unnötigen Stromverbrauch in Kauf genommen - eher nix für mich.
Gruß
Hallo lieber TimoBeil.
-> Vorwort erst mal:
Klar + natürlich hast Du Recht, aber - das lässt sich schon "bedienen / managen".
Ich antworte mal zwischen den Zeilen:
lass mich raten....
Alle IP´s sind statisch.
außer der öffentlichen?
Ja und nein.
Die öffentliche ist eine aktualisierte DNS ( keine Standleitung )
Macht so weit aber nüscht, da die ebenfalls gut funktioniert.
( würde hier zu weit führen, das alles aufzusplitten, es steckt halt ne
Menge Arbeit bereits in dem Mist)
der Server, dient gleichzeitig als Gateway.
das soll bedeuten, der macht NAT und eine VPN Firewall gibts nicht?
Anders:
Firewall gibt es für:
internet Portal, und jeden einzelnen Rechner.
D.h. - die Zugriffsberechtigungen sind alle ausschließlich per Ports und
locale IP´s durchgeschleift. d.h. - VPN Einwahl klappt ohne Probleme,
mir geht es eher um die Frage, warum ich nur den Server fernsteuern, aber
nicht die Nutzercomputer erreichen kann.
d.h. - Wahrscheinlich (meine Theorie) muß ich für jede statische IP deren Rechner
ferngesteuert werden soll, einen eigenen Remotport einrichten, und diesen dann
durch die Firewalls bringen.
Das Problem wäre dann aber, das ich unnötig Löscher in die Firewall reiße.
D.h. - Ich habe ja bereits Ports durchschleifen müssen ( logisch ) ich will die
Portzahl so gering wie möglich halten, sonst - und da hast Du Recht, brauche ich
ja keine Firewall.
= mein Problem ist schlicht und einfach:
Nachdem alle sich eingeloggt haben, bzw. die 2 für die die Fernnutzung in Frage kommt,
landen die nur auf dem Server.
Theoretisch aber, müßte der direkt an ihre Rechner verweisen.
Macht er aber nich.
wo liegt das Problem?
das man aus Scheibeinkleister kein Gold zaubern kann.
Das ist der Unterschied:
Scheibenkleister, kostet weniger.
Darum diese Lösung.
Hinweis:
Selbst wenn du das hinbekommst, mußt du sicherstellen, dass die User abends Ihre Kisten nicht ausschalten, also eine doppeltbillige Lösung incl. unnötigen Stromverbrauch in Kauf genommen - eher nix für mich.
Genau das Problem besteht nicht.
Die Rechner sind via Arbeitszeit sowieso 100% an.
D.h. - jeder Nutzer, lässt eh den Tag über seinen Rechner durchlaufen.
Abends, bei Feierabend, dackeln alle brav heim, dann braucht kein Nutzer seinen Rechner mehr - und macht ihn aus.
Klar hast Du Recht damit, eigentlich ist das unnötiger Stromverbrauch (auch unnötiger Hardwareverschleiß usw.) mir alles klar.
aber da die das eh schon seit Jahren so machen, spielt das keine Rolle.
Damit steht also nur die Frage, wie die Nutzer auf ihre sowieso laufenden Rechner während der Arbeitszeit von außen zugreifen können.
( Nein, komplett anfreunden kann ich mich mit der Lösung auch nich, aber ich kann nich den Zentralserver für alle möglichen Nutzer konfigurieren,
der hat ja auch noch andere Aufgaben, als "Dsktopcomputer" zu spielen...)
Nemonautilus.
-> Vorwort erst mal:
Klar + natürlich hast Du Recht, aber - das lässt sich schon "bedienen / managen".
Ich antworte mal zwischen den Zeilen:
lass mich raten....
Alle IP´s sind statisch.
außer der öffentlichen?
Ja und nein.
Die öffentliche ist eine aktualisierte DNS ( keine Standleitung )
Macht so weit aber nüscht, da die ebenfalls gut funktioniert.
( würde hier zu weit führen, das alles aufzusplitten, es steckt halt ne
Menge Arbeit bereits in dem Mist)
der Server, dient gleichzeitig als Gateway.
das soll bedeuten, der macht NAT und eine VPN Firewall gibts nicht?
Anders:
Firewall gibt es für:
internet Portal, und jeden einzelnen Rechner.
D.h. - die Zugriffsberechtigungen sind alle ausschließlich per Ports und
locale IP´s durchgeschleift. d.h. - VPN Einwahl klappt ohne Probleme,
mir geht es eher um die Frage, warum ich nur den Server fernsteuern, aber
nicht die Nutzercomputer erreichen kann.
d.h. - Wahrscheinlich (meine Theorie) muß ich für jede statische IP deren Rechner
ferngesteuert werden soll, einen eigenen Remotport einrichten, und diesen dann
durch die Firewalls bringen.
Das Problem wäre dann aber, das ich unnötig Löscher in die Firewall reiße.
D.h. - Ich habe ja bereits Ports durchschleifen müssen ( logisch ) ich will die
Portzahl so gering wie möglich halten, sonst - und da hast Du Recht, brauche ich
ja keine Firewall.
= mein Problem ist schlicht und einfach:
Nachdem alle sich eingeloggt haben, bzw. die 2 für die die Fernnutzung in Frage kommt,
landen die nur auf dem Server.
Theoretisch aber, müßte der direkt an ihre Rechner verweisen.
Macht er aber nich.
wo liegt das Problem?
das man aus Scheibeinkleister kein Gold zaubern kann.
Das ist der Unterschied:
Scheibenkleister, kostet weniger.
Darum diese Lösung.
Hinweis:
Selbst wenn du das hinbekommst, mußt du sicherstellen, dass die User abends Ihre Kisten nicht ausschalten, also eine doppeltbillige Lösung incl. unnötigen Stromverbrauch in Kauf genommen - eher nix für mich.
Genau das Problem besteht nicht.
Die Rechner sind via Arbeitszeit sowieso 100% an.
D.h. - jeder Nutzer, lässt eh den Tag über seinen Rechner durchlaufen.
Abends, bei Feierabend, dackeln alle brav heim, dann braucht kein Nutzer seinen Rechner mehr - und macht ihn aus.
Klar hast Du Recht damit, eigentlich ist das unnötiger Stromverbrauch (auch unnötiger Hardwareverschleiß usw.) mir alles klar.
aber da die das eh schon seit Jahren so machen, spielt das keine Rolle.
Damit steht also nur die Frage, wie die Nutzer auf ihre sowieso laufenden Rechner während der Arbeitszeit von außen zugreifen können.
( Nein, komplett anfreunden kann ich mich mit der Lösung auch nich, aber ich kann nich den Zentralserver für alle möglichen Nutzer konfigurieren,
der hat ja auch noch andere Aufgaben, als "Dsktopcomputer" zu spielen...)
Nemonautilus.
Salü,
ich machs mal ganz kurz und ganz knapp....
"so" einfach" und so sicher ist das.
Gruß
ich machs mal ganz kurz und ganz knapp....
- VPN bedeutet ich habe zuhause/wo auch immer eine 192.168.0.x Adresse
- Das Netz in der Firma ist 192.168.10.x
- baue ich meinen VPN Tunnel auf, habe ich zuhause sowohl eine 192.168.0.x als auch eine 192.168.10.x Adresse.
- Will ich jetzt per RDP auf meinen Client oder irgendeinen Server, der RDP eingeschaltet hat, nehme ich die Adresse dieser Kiste als Ziel.
"so" einfach" und so sicher ist das.
Gruß
Timo hat wie immer Recht VPN und RDP auf die Kisten ist auf jeden fall die beste und sicherste lösung. Ausserdem könntest du wenn du dir eine Ordentliche Firewall zulegst auch die Gateway lösung umstellen dann muss der Server nicht mehr NAt betreiben. Je nachdem wie gross deine Firma ist und was ihr für anforderungen habt kostet die Firewall hald ein paar €.
Ich würd mir mal einen Fortigate oder eine Cisco anschaun.
Wenn du das nicht willst gibts ne Bastellösung über den Webarbeitsplatz von Windows 2008 SBS. Wenn du den aktivierst und einrichtest können sich die benutzer auf der Webseite anmelden und dann zu dem eigenen PC weiterverbinden. Dafür ist ein zertifikat und ein Plugin im Internet Explorer nötig. Desweiteren können die user von der seite auch direkt ins OWA und ihre mails abrufen.
Wichtig ist aber das jeder benutzer ein SICHERES Passwort haben muss. Zahlen Buchstaben Sonderzeichen !!!!
LG Andreas Ausserwöger
Ich würd mir mal einen Fortigate oder eine Cisco anschaun.
Wenn du das nicht willst gibts ne Bastellösung über den Webarbeitsplatz von Windows 2008 SBS. Wenn du den aktivierst und einrichtest können sich die benutzer auf der Webseite anmelden und dann zu dem eigenen PC weiterverbinden. Dafür ist ein zertifikat und ein Plugin im Internet Explorer nötig. Desweiteren können die user von der seite auch direkt ins OWA und ihre mails abrufen.
Wichtig ist aber das jeder benutzer ein SICHERES Passwort haben muss. Zahlen Buchstaben Sonderzeichen !!!!
LG Andreas Ausserwöger
Zitat von @Ausserwoeger:
Timo hat wie immer Recht VPN und RDP auf die Kisten ist auf jeden fall die beste und sicherste lösung. Ausserdem
könntest du wenn du dir eine Ordentliche Firewall zulegst auch die Gateway lösung umstellen dann muss der Server nicht
mehr NAt betreiben. Je nachdem wie gross deine Firma ist und was ihr für anforderungen habt kostet die Firewall hald ein paar
€.
Ich würd mir mal einen Fortigate oder eine Cisco anschaun.
Hier muss aber nicht mit Kanonen auf Spatzen geschossen werden, oder?Timo hat wie immer Recht VPN und RDP auf die Kisten ist auf jeden fall die beste und sicherste lösung. Ausserdem
könntest du wenn du dir eine Ordentliche Firewall zulegst auch die Gateway lösung umstellen dann muss der Server nicht
mehr NAt betreiben. Je nachdem wie gross deine Firma ist und was ihr für anforderungen habt kostet die Firewall hald ein paar
€.
Ich würd mir mal einen Fortigate oder eine Cisco anschaun.
Ich nenne hier mal VPN-Lösungen von bspw. Lancom, Draytek, Netgear, Funkwerk, etc als Alternativen.
Beim Zugriff von nur max. 2 Usern reicht eigentlich auch eine bessere Fritzbox und deren VPN.
Wenn du das nicht willst gibts ne Bastellösung über den Webarbeitsplatz von Windows 2008 SBS. Wenn du den aktivierst und
einrichtest können sich die benutzer auf der Webseite anmelden und dann zu dem eigenen PC weiterverbinden. Dafür ist ein
zertifikat und ein Plugin im Internet Explorer nötig. Desweiteren können die user von der seite auch direkt ins OWA und
ihre mails abrufen.
Wichtig ist aber das jeder benutzer ein SICHERES Passwort haben muss. Zahlen Buchstaben Sonderzeichen !!!!
Damit hast du natürlich Recht. einrichtest können sich die benutzer auf der Webseite anmelden und dann zu dem eigenen PC weiterverbinden. Dafür ist ein
zertifikat und ein Plugin im Internet Explorer nötig. Desweiteren können die user von der seite auch direkt ins OWA und
ihre mails abrufen.
Wichtig ist aber das jeder benutzer ein SICHERES Passwort haben muss. Zahlen Buchstaben Sonderzeichen !!!!
Vielleicht sollte erwähnt werden, dass für den RDP-Zugriff generell erst mal ein PW auf dem PC vorhanden sein muss.
Zitat von @goscho:
Hier muss aber nicht mit Kanonen auf Spatzen geschossen werden, oder?
Ich nenne hier mal VPN-Lösungen von bspw. Lancom, Draytek, Netgear, Funkwerk, etc als Alternativen.
Beim Zugriff von nur max. 2 Usern reicht eigentlich auch eine bessere Fritzbox und deren VPN.
Hier muss aber nicht mit Kanonen auf Spatzen geschossen werden, oder?
Ich nenne hier mal VPN-Lösungen von bspw. Lancom, Draytek, Netgear, Funkwerk, etc als Alternativen.
Beim Zugriff von nur max. 2 Usern reicht eigentlich auch eine bessere Fritzbox und deren VPN.
Ja klar reicht das auch aber ich dachte mir wenn schon dann gleich richtig und mit Cisco oder Fortinet hat er auch bei 25 oder 50 Usern kein Problem.
Damit hast du natürlich Recht.
Vielleicht sollte erwähnt werden, dass für den RDP-Zugriff generell erst mal ein PW auf dem PC vorhanden sein muss.
Vielleicht sollte erwähnt werden, dass für den RDP-Zugriff generell erst mal ein PW auf dem PC vorhanden sein muss.
Na ich hoffe doch das alle Mitarbeiter ein passwort haben. Wär schon schlecht wenn nicht aber man kann nie wissen.
LG Andreas Ausserwöger