chris911997
Jun 29, 2016
view6821
view13
0
Goto Top

Remote Desktop ohne Terminalserver als Homeoffice Lösung

GermansolvedQuestionWindows NetworkMicrosoft
Hallo zusammen,

da ich gehört hab, dass hier viele Experten unterwegs sind, hab ich mich mal mit meiner Frage angemeldet.

Nun gut, ich bin Projektleiter bei uns in der Firma und es gibt einige Änderungen bei uns, die uns derzeit zu folgender Situation "zwingen".

Wir haben ca 25 Clients- von zuhause aus arbeiten wir über den Terminal Server (benutzen jedoch nur 3-4 Personen).
Nun haben wir eine neue Verschlüsselungslösung, die keinen Terminalserver mehr unterstützt. Soweit kein Problem, wir wollen den Terminalserver eh weg haben. Die, die von zuhause aus arbeiten müssen, bekommen ein Notebook und verbinden sich direkt über VPN mit Ihrem Firmen PC.

Jetz haben wir aber auch vorerst noch ein älteres Navision, worauf man nicht direkt vom Client über VPN zugreifen kann (Beschränkung von Microsoft, hat anscheinend mit dem Aufbau von Navision zu tun) und es gibt auch noch keinen WebClient für dieses.
War erstmal auch kein Problem, da wir sowieso auf das neue Navision updaten wollten.

Jetzt gibts da einige organisatorische Themen, so dass dieses Update erst nächstes Jahr am 1. April vollzogen ist. Bis dahin können also unser Personalleiter und unser Vorstand nicht von zuhause aus arbeiten, da Sie nicht auf Navision draufkommen --> nicht gut face-smile

Meine Idee war nun:
Per VPN und RDP auf den PC schalten, der in der Firma steht. Somit ist es meiner Vermutung nach genauso als würde man im Büro sitzen. Nur das man den Screen seines PC's auf seinen Home Rechner über das RDP bekommt.

In dem sehen unsere IT'ler Sicherheitsprobleme(was führt dazu? Über den terminal Server greift man ja auch über RDP zu) und den Nachteil, dass der PC immer an sein muss.

Meine Frage nun:

Was denkst du über meine Lösung?

Wie bewertest du das Sicherheitsthema?

Welche Lösungen gibt es, den PC automatisch einschalten zu lassen, wenn man sich per RDP verbinden möchte?

Was für Lösungen kannst du dir dafür vorstellen!
Ich bedanke mich schon mal vielmals!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 308491

Url: https://administrator.de/contentid/308491

Printed on: April 25, 2024 at 00:04 o'clock

13 Comments
Latest comment
Goto Top
Member: Chonta
Solution Chonta Jun 29, 2016 at 13:44:01 (UTC)
Goto Top
Hallo,

Was denkst du über meine Lösung?
Lizenztechnisch absichern, so muss der RDP Zugriff auf einen Client von einem Zugelassenen Gerät erfolgen z.B. ein anderer WindowsPC und es darf nicht hinz und kunz sondern der Hauptbenutzer des PC wobei das nicht überprüfbar ist.

Wie bewertest du das Sicherheitsthema?
Über VPN per RDP auf einen TS-Server oder einen Client ist beides gleich unsicher.

Welche Lösungen gibt es, den PC automatisch einschalten zu lassen, wenn man sich per RDP verbinden möchte?
Der PC muss an sein punkt. Man kann den PC zu bestimten Zeiten per WOL anschalten und durch ein anderes Script zu bestimten Zeiten abschalten
Für WOL gibt es verschieden möglichkeiten. Zeitgesteuert vom Server oder vom Benutzer über VPN bzw. durch das ausführen eines Scriptes auf einem Firmennetzserver usw.

Was für Lösungen kannst du dir dafür vorstellen!
Wenns nicht anders geht, geht es nicht anders wobei ein echter TS-Server für sowas besser wäre.
Was noch besser wäre, aber richtig Geld kostet wäre eine VDI Umgebung.

Gruß

Chonta
Member: Kraemer
Solution Kraemer Jun 29, 2016 at 13:45:32 (UTC)
Goto Top
Moin,
durch ein VPN auf einen Client per RDP zuzugreifen ist in meinen Augen unproblematisch was die Sicherheitsfrage angeht (vorausgesetzt eure Firewall / VPN ist sauber konfiguriert).

Du schreibst nichts darüber, welche VPN-Lösung ihr einsetzt. Denkbar wäre zum Thema Rechner einschalten, das man scriptgesteuert die Rechner mittels wake on lan in dem Moment aufwachen lässt, in dem die VPN aufgebaut wird. Dann muss man mit der RDP-Verbindung halt so lange warten, bis der Rechner gestartet ist (Ruhezustand könnte die Zeit verkürzen).
Generell würde ich aber an der Terminalserverlösung festhalten wollen.

Gruß Krämer
Member: emeriks
emeriks Jun 29, 2016 at 13:51:23 (UTC)
Goto Top
Hi,
Nun haben wir eine neue Verschlüsselungslösung, die keinen Terminalserver mehr unterstützt.
Kannst Du das bitte mal genauer darlegen? Ich sehe hier zunächst keinen Zusammenhang.

E.
Member: Chris911997
Chris911997 Jun 29, 2016 at 14:02:29 (UTC)
Goto Top
Wir hatten bis jetzt für unsere Fileverschlüsselung auf dem Fileserver Sophos Safe Guard Lan Crypt eingesetzt. Dies haben wir aufgrund verschiedener zukünftigen vorhaben (OwnCloud, MDM, Windows 10 Update... usw) auf das Sophos SafeGuard Enterprise upgedatet.

SafeGuard Enterprise unterstützt jedoch keinen Terminal Server --- bzw noch nicht.
Member: Chris911997
Chris911997 Jun 29, 2016 at 14:08:16 (UTC)
Goto Top
Vielen Dank.
Wie unten beschrieben, unterstützt SafeGuard Enterprise noch keinen Terminal Server.
Somit bräuchten wir bis spätestens 1. April 2017 eine Übergangslösung.
Das mit Wake on LAn hatte ich bereits vorgeschlagen....hier meinten unsere IT'ler, dass man dazu Ports in der Firewall öffnen muss und man dann total offen ist - ist das so?
Member: Kraemer
Kraemer Jun 29, 2016 at 14:10:51 (UTC)
Goto Top
Zitat von @Chris911997:
Das mit Wake on LAn hatte ich bereits vorgeschlagen....hier meinten unsere IT'ler, dass man dazu Ports in der Firewall öffnen muss und man dann total offen ist - ist das so?
Ich will auch bei euch arbeiten. Das Zeug was die Jungs da rauchen ist ja der Hammer!
Member: Chris911997
Chris911997 Jun 29, 2016 at 14:11:34 (UTC)
Goto Top
Vielen Dank.
VDI schwirrt mir auch im Kopf...ist aber derzeit leider nicht drin.

Nur mal angenommen der PC in der Firma schaltet sich an sobald eine VPN Verbindung hergestellt wird.
Wo müsste man dieses Script platzieren und wie?
Member: Lochkartenstanzer
Solution Lochkartenstanzer Jun 29, 2016, updated at Jun 30, 2016 at 07:14:33 (UTC)
Goto Top
Zitat von @Chris911997:

Jetz haben wir aber auch vorerst noch ein älteres Navision, worauf man nicht direkt vom Client über VPN zugreifen kann

Jetz sag nicht, das ältere Navision wäre das "blaue" Navision 3.x. face-smile

Denn das kann man über VPN betreiben, wenn auch mit Tricks. Auch das Navision Financials müßte eigentlich gehen.

Aber das will man nicht wirklich, weil die Latenz für den Client zu hoch ist und man dann nur sehr langsam arbeitet.


Aber die Lösung, mit dem Arbeitsplatz zu arbeiten, sollte machbar sein und lizenztechnisch sehe ich da keine Bedenken, solange nur die Leute per RDP mit der Kiste arbeiten, die normalerweise auch davorsitzen.

Und ob Du über VPN auf den Terminalserver oder auf den Client zugreifst ist eigentlich egal, weil die Sicherheit des VPNs vor allem davon abhängt, ob das Laptop von dem aus verbunden wird, genügend abgesichert ist.

Für die Erreichbarkeit der Stationen könnt Ihr verschiedene Lösungen benutzen. Die erste wäre, einfach die Kisten immer anzulassen. Sofern das einigermaßen Moderne Kisten mit passenden Energiesparfunktionen sind, sollte das nicht allzu tragisch sein.

Ansonsten könntet Ihr auch einfach einen Raspberry Pi als WOL-Relay hinstellen, der die Kisten anwirft, sobald jemand was von Euren Workstations will.

Manche Router bieten auch an, ein WOL-Paket auf die Kisten zu schicken (z.B. AVM), wenn von außen per VPN darauf zugegrifffen werden soll.

lks

Edit: Typo+Ergänzung.
Member: Kraemer
Solution Kraemer Jun 29, 2016 updated at 14:38:49 (UTC)
Goto Top
Zitat von @Chris911997:
Wo müsste man dieses Script platzieren und wie?
Mal ein Beispiel:
Angenommen du nutzt einen VPN-Client, der nach dem Herstellen der Verbindung noch Programme automatisch ausführen kann (davon gibt es viele) und weiter angenommen eure Firewall / Router hat ein wakeonlan-Programm an Board und dieses ließe ich per SSH oder TFTP anstoßen (Lancom z.B. kann das) dann hätte man eine Lösung.

Gruß Krämer
Member: Kraemer
Solution Kraemer Jun 29, 2016 updated at 14:38:42 (UTC)
Goto Top
Zitat von @Chris911997:
Wo müsste man dieses Script platzieren und wie?
Eine andere Möglichkeit wäre, eine kleine Website bei euch in der Firma laufen zu lassen und darüber - manuell oder automatisiert - die Rechner auszuwecken. Grobe Informationen zu dem Thema findest du z.B. hier.

Gruß Krämer
Member: Kraemer
Solution Kraemer Jun 29, 2016 at 14:38:31 (UTC)
Goto Top
Zitat von @Chris911997:
Wo müsste man dieses Script platzieren und wie?
Eine weitere Möglichkeit - zumindest bei Lancom-Routern - wäre ein WOL-Magicpacket direkt über ein IPSEC-VPN zu senden. hier beschrieben

Gruß Krämer
Member: LordXearo
Solution LordXearo Jun 30, 2016 at 06:36:05 (UTC)
Goto Top
Oder das Skript auf einem Server in der FIrma einrichten, dass gleichzeitig en Verzeichnis überwacht. In dem Verzeichnis befinden sich dann Textdateien, analog zu den Servern im Unternehmen. Durch ändern des inhalts einer Textdatei, weiss das Skript welche Textdatei geändert wurde, und könnte dann z.B. den Befehl abarbeiten.

Sowas ähnliches in einem anderen Zusammenhang habe ich auch laufen, klappt wunderbar.
https://gallery.technet.microsoft.com/scriptcenter/Powershell-FileSystem ...


Möglichkeiten gibt es viele.

Gruß
Xearo
Member: Chris911997
Chris911997 Jul 05, 2016 at 09:59:00 (UTC)
Goto Top
Vielen Dank für eure Lösungen.
Werde mich jetzt mit unseren IT'lern zusammensetzen und das ganze mal besprechen. Ist ja anscheinend nicht so das große Problem dass mir verklickert wird :D
Ich melde mich nochmal wenn ich eine Frage habe!
Vielen Dank
GermansolvedQuestionWindows NetworkMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments