Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remote Desktop Lizenzierung über Firewall

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

10.01.2012 um 13:49 Uhr, 4296 Aufrufe, 5 Kommentare

Hallo,
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.

Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.

Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.

Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.

Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Mitglied: OliverHu
10.01.2012 um 14:07 Uhr
Hallo,

gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
Bitte warten ..
Mitglied: dduchardt
10.01.2012 um 18:27 Uhr
Sicherheitsgründe.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Bitte warten ..
Mitglied: OliverHu
10.01.2012 um 20:10 Uhr
Bei dem was du vor hast, müsstest du aber etliche Ports öffnen. Eventuell machst du dir da mehr Probleme als du vorbeugen willst.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.

Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Bitte warten ..
Mitglied: Pjordorf
10.01.2012 um 21:49 Uhr
Hallo,

Zitat von dduchardt:
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Und ist deine Aussage von oben
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
nicht genau dann dein Sicherheitsproblem?

Macht irgendwie dann keinen Sinn.

Gruß,
Peter
Bitte warten ..
Mitglied: dduchardt
16.01.2012 um 14:03 Uhr
Die Benutzer sind nicht identisch mit lokalen Benutzern, jedoch im AD verankert.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.

Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.

Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.

Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.

Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Statt Remote Desktop nur RemoteApp (6)

Frage von IrgendEinName zum Thema Windows Server ...

Batch & Shell
Powershell Remote Desktop Manager Session löschen (1)

Frage von blackhawk17 zum Thema Batch & Shell ...

Windows 10
gelöst Windows 10 Remote Desktop Vollbild Fokus Vordergrund Mehrere Bildschirme (8)

Frage von hannsgmaulwurf zum Thema Windows 10 ...

Batch & Shell
gelöst Powershell modul laden remote desktop manager (11)

Frage von blackhawk17 zum Thema Batch & Shell ...

Neue Wissensbeiträge
Rechtliche Fragen

Heiseshow, live ab 12 Uhr: Steht die Vorratsdatenspeicherung vor dem Aus?

Tipp von sabines zum Thema Rechtliche Fragen ...

Outlook & Mail

Outlook Probleme nach Juni Updates - KB3203467 ist Schuld

(1)

Information von Deepsys zum Thema Outlook & Mail ...

Microsoft Office

Windows 7, Office 2016 RTM und Updates ohne WSUS

Tipp von chgorges zum Thema Microsoft Office ...

E-Mail

Thunderbird 52 hat Druckprobleme

(3)

Tipp von magicteddy zum Thema E-Mail ...

Heiß diskutierte Inhalte
Server-Hardware
Einem Stromausfall entgegen wirken (22)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Server-Hardware ...

Festplatten, SSD, Raid
PC stellt nach dem Bios ab (20)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows 7
Freeware MSI Tool (13)

Frage von uridium69 zum Thema Windows 7 ...

DSL, VDSL
gelöst Ständige Störungen - Internet (12)

Frage von gamerff zum Thema DSL, VDSL ...