Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remote Desktop Lizenzierung über Firewall

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

10.01.2012 um 13:49 Uhr, 4094 Aufrufe, 5 Kommentare

Hallo,
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.

Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.

Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.

Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.

Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Mitglied: OliverHu
10.01.2012 um 14:07 Uhr
Hallo,

gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
Bitte warten ..
Mitglied: dduchardt
10.01.2012 um 18:27 Uhr
Sicherheitsgründe.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Bitte warten ..
Mitglied: OliverHu
10.01.2012 um 20:10 Uhr
Bei dem was du vor hast, müsstest du aber etliche Ports öffnen. Eventuell machst du dir da mehr Probleme als du vorbeugen willst.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.

Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Bitte warten ..
Mitglied: Pjordorf
10.01.2012 um 21:49 Uhr
Hallo,

Zitat von dduchardt:
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Und ist deine Aussage von oben
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
nicht genau dann dein Sicherheitsproblem?

Macht irgendwie dann keinen Sinn.

Gruß,
Peter
Bitte warten ..
Mitglied: dduchardt
16.01.2012 um 14:03 Uhr
Die Benutzer sind nicht identisch mit lokalen Benutzern, jedoch im AD verankert.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.

Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.

Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.

Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.

Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Server 2008 R2 Aero-Design auf Remote Desktop geht nicht (3)

Frage von Motherboard33 zum Thema Windows Server ...

Mac OS X
Problem mit Microsoft Remote Desktop App auf macOS Sierra (10.12) (5)

Frage von lordzwieback zum Thema Mac OS X ...

Windows 10
Raspberry Windows 10, Domäne, Remote Desktop (4)

Frage von opc123 zum Thema Windows 10 ...

Microsoft
Remote Desktop Connection (9)

Frage von jacktheape zum Thema Microsoft ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...