Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remote Desktop Lizenzierung über Firewall

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

10.01.2012 um 13:49 Uhr, 4245 Aufrufe, 5 Kommentare

Hallo,
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.

Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.

Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.

Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.

Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Mitglied: OliverHu
10.01.2012 um 14:07 Uhr
Hallo,

gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
Bitte warten ..
Mitglied: dduchardt
10.01.2012 um 18:27 Uhr
Sicherheitsgründe.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Bitte warten ..
Mitglied: OliverHu
10.01.2012 um 20:10 Uhr
Bei dem was du vor hast, müsstest du aber etliche Ports öffnen. Eventuell machst du dir da mehr Probleme als du vorbeugen willst.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.

Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Bitte warten ..
Mitglied: Pjordorf
10.01.2012 um 21:49 Uhr
Hallo,

Zitat von dduchardt:
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Und ist deine Aussage von oben
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
nicht genau dann dein Sicherheitsproblem?

Macht irgendwie dann keinen Sinn.

Gruß,
Peter
Bitte warten ..
Mitglied: dduchardt
16.01.2012 um 14:03 Uhr
Die Benutzer sind nicht identisch mit lokalen Benutzern, jedoch im AD verankert.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.

Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.

Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.

Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.

Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Remote Desktop Services - Collection - Applikationen freigeben (7)

Frage von MiljanCH zum Thema Windows Server ...

Windows Tools
Remote Desktop clients Update - March 2017 (1)

Link von Dani zum Thema Windows Tools ...

Windows Server
gelöst Remote Desktop Services WIndows Server 2016 - Lastenverteilung - Failover - Zugriff (4)

Frage von Excaliburx zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Hosting & Housing
gelöst Webserver bei WIX, aber DNS Server wo anders (9)

Frage von laster zum Thema Hosting & Housing ...

Windows Server
Benutzer lässt sich nur an einem Clientcomputer anmelden (8)

Frage von Ammann zum Thema Windows Server ...

Microsoft Office
gelöst Excel Dateien durchsuchen und Teile extrahieren (7)

Frage von Beranavan zum Thema Microsoft Office ...