Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Suche Tipps für Terminal Server Lösung oder ähnliches

Frage Internet

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

23.10.2014 um 21:17 Uhr, 2709 Aufrufe, 31 Kommentare, 4 Danke

Nabend Zusammen,

folgendes Szenario:

Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden.

Die Idee war noch einen zweiten PC bereit zu stellen, der nur für das Internet genutzt wird -> In meinen Augen total übertrieben.

Also war die Idee eines Terminalservers - in meinen Augen aber ebenfalls too much, da es wirklich ausschließlich um die Bereitstellung eines Internetzugangs geht.

Aber irgendwie was in der Art sollte es sein.

Dann bin ich auf xrdp gestoßen. Allerdings ist das wohl immer noch in der Entwicklungsphase - sofern es überhaupt noch entwickelt wird.

Also gewollt ist ein separater Internetzugang um diesen nicht auf dem eigentlichen Arbeitsplatz-PC zu haben.

Ideen?

Gruß und Dank
31 Antworten
Mitglied: emeriks
23.10.2014 um 21:39 Uhr
Hi,
Du suchst eine Lösung, um die Computer vor den Gefahren des Internets zu schützen oder eine um die Benutzer beim Zugriff auf das Internet reglementieren zu können?

Wenn es allein auf das Erste ankommt, dann wäre eventuell "Sandbox" das Stichwort. Suche mal im Web nach "browser in a sandbox" oder ähnlich. z.B. kommt da (Nicht von mir getestet! --> Keine Bewertung von mir!): http://www.secubrowser.com/download.php
Oder einfach nur eine gute Anti Virus Lösung mit integrierter Internet Security?

E.
Bitte warten ..
Mitglied: Xaero1982
23.10.2014, aktualisiert um 22:37 Uhr
Hi Emeriks,

naja wie gesagt ich such schon sowas wie einen TS. Allerdings denke ich ist das für 5 User von denen vielleicht 2 parallel im Netz surfen total übertrieben.

Die Rechner sollen schon vom Internet getrennt sein, aber wie gesagt zwei separate Netze aufbauen finde ich einfach überzogen nur damit die mal im Netz surfen können.

Ich glaube das mit dem Securebrowser wird das nicht ganz dem Sicherheitsempfinden der Nutzer gerecht.

Es soll in erster Linie davor schützen, dass man keinen Zugriff auf die Daten der PCs bekommt - direkt.

Gruß
ps: mir ist klar, dass hier ebenfalls keine 100%ige Sicherheit geben wird so lange sie in irgendeiner Form vernetzt sind.
Bitte warten ..
Mitglied: emeriks
23.10.2014 um 22:45 Uhr
Was wäre mit nem VMware Player o.ä.? Ne VM mit nen schlanken Linux und ner "nonpersistent" VMDK? Um das abzurunden, sollten die VM's in einem anderen VLAN laufen.

E.
Bitte warten ..
Mitglied: Xaero1982
23.10.2014 um 22:50 Uhr
Habe ich auch überlegt, aber die Kisten sind mWn diese komischen kleinen mini-PCs von ... frag mich nicht. Also nicht genug Power.
Bitte warten ..
Mitglied: DerWoWusste
23.10.2014, aktualisiert um 23:27 Uhr
Hi.

Wir nutzen genau dieses Konzept (Recobs=Remote controlled browser) schon seit einem Jahrzehnt, zunächst mit Linux, jetzt mit Win TS 2012 r2, Chrome und IE11 als RemoteApps. Kann Dir alles beantworten, ist nach wie vor mein Projekt, stell Deine Fragen.

Außerdem möchte ich Dich ermutigen, es zu nutzen. Beispielsweise wurden wir von Penetrationstestern (secuvera, BSI-zertifiziert) sehr für diese Umsetzung gelobt.
Bitte warten ..
Mitglied: Xaero1982
24.10.2014 um 00:48 Uhr
Hi DWW,

das hört sich doch schon mal gut an.

Hab das mal kurz überflogen.

Was sind denn die Voraussetzungen?

Was würdest du aus den Erfahrungen empfehlen? Linux oder doch nen TS 2012 r2? Kannst du mir die ungefähren Kosten nennen?
Was für Hardware sollte man verwenden - es geht hier wirklich nur um ~5 Nutzer - eine Erhöhung wird wohl auch nicht stattfinden?

Und wie genau ist dann das Vorgehen?

Hab jetzt erst mal nur ein Dokument vom BSI aus 2006 gefunden. Hast du was aktuelleres wie die Umsetzung erfolgt?

Grüße und Dank
Bitte warten ..
Mitglied: DerWoWusste
24.10.2014, aktualisiert um 01:47 Uhr
In Kürze:

Das recobs-Dokument des BSI ist das übliche BSI-Geblubber. Würde ich gar nicht weiter beachten, ich wollte nur den Namen mal eingebracht haben.
Da wir seit 2009 Remotedesktopserver dafür nutzen, kann ich dir über aktuelle Linuxmöglichkeiten nichts sagen, obwohl wir xrdp sogar benutzen, nur eben nicht zum Browsen. Wir haben früher auf Linux gesurft und das Bild mittels nomachine (Freeware) übertragen - keine Lizenzkosten, jedoch auch einiger Trouble, der immer wieder Zeit verschlang. Mit der aktuellen Lösung auf 2012 R2 bin ich hochzufrieden und würde sie empfehlen. Jede Standardserverlizenz reicht (600€ ca.) und dann noch RDP-CALs (etwa 70€ pro User bei Gebrauchtkauf).

Bei deiner kleinen Zahl an Usern klingt ein Server wirklich übertrieben, aber ohne illegales "frisieren" von Client-OS bleibt eben keine andere Lösung auf Windows. Von der Leistung her braucht das nicht viel Power, wir kommen für 50 User mit einem Server aus (8-Core, 16 GB RAM, SSD).
Wenn Dir "Browser als RemoteApp" noch nichts sagt: es ist aus Sicht der Nutzer kaum von einem lokalen Browser zu unterscheiden, die Leistung ist wirklich sehr gut, selbst ohne RemoteFX können Videos problemlos gesehen werden, Scrolling flutscht auch. Chrome kommt dafür bei den Usern am besten an. Die Verbindung erfordert keinen weiteren Logon (single sign on) und ist in 5 Sekunden aufgebaut.

Damit es einen Sicherheitsgewinn gibt, sollte man am Server Applocker einsetzen mit Whitelist. Applocker erlaubt nur den Browser und ein paar Viewer/Plugins. Das ist weitaus besser als jeder Virenscanner. Zudem sollte der Server, damit auf keinen Fall irgendwie Daten abfließen können, nicht beschreibbar sein, also keine beschreibbare Freigabe anbieten, es sei denn, es soll auch regelmäßig etwas hochgeladen werden. Abgesehen davon wird der Remoteserver vom Netzwerk komplett isoliert, er kann nur mit dem DC reden, und von den Clients per RDP angegangen werden.

Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden). Aber generell ist die Akzeptanz sehr hoch.
Bitte warten ..
Mitglied: Xaero1982
24.10.2014 um 08:30 Uhr
Moin,

klingt ja erst mal vielversprechend.

Wenn ich dich aber richtig verstehe brauche ich zusätzlich zum TS auch einen DC? Derzeit haben die Nutzer alle nur lokal an ihren PCs.

So viel zur Theorie, aber wie wird das umgesetzt?

Muss der Nutzer vorher eine RDP Session aufbauen oder wird eine Verknüpfung lokal hinterlegt?
Und wie wird das ganze letztlich konfiguriert? Hast du da irgendwo ein How-To?

Grüße
Bitte warten ..
Mitglied: Lochkartenstanzer
24.10.2014 um 08:47 Uhr
Zitat von DerWoWusste:

Einzig negativ: Der Nutzer muss sich etwas eingewöhnen. Nicht jeder wird sofort verstehen, warum er in seinem lokalen
Mailclient nun nicht mehr auf Links klicken kann, sondern diese eben bei Bedarf mit Copy&Paste in den RemoteBrowser
transportieren muss (die RemoteApp kann clientseitig nicht dem Protokoll HTTP zugeordnet werden).

Moin,

Das ist sicherheitstechnisch sowieso eine Fehlentwicklung in den MUAs, daß aktive Inhalte und Klickbare Links Einzug gehalten haben. Sicherheitsbewußte Admins soltlen das soieso abschalten, daß man aus dem Mail-programm Heraus Links klicken oder sogar html-inhalte nachladen kann. Natürlich ist das bequem, aber ich empfehle schon seit Jahren, daß man eben diese Konfortfunktionen in Firmenumghebungen deaktivieren sollte. Manchmal finde ich sogar Gehör.

lks
Bitte warten ..
Mitglied: DerWoWusste
24.10.2014, aktualisiert um 09:34 Uhr
@Xaero1982
Du bräuchtest den DC nicht zwingend.
Was meinst Du denn mit "aber wie wird das umgesetzt" - was konkret hast Du nicht verstanden?
Bitte warten ..
Mitglied: Xaero1982
24.10.2014 um 10:05 Uhr
Naja:

Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...

Dann arbeite ich vom client via rdp auf dem TS?

Oder wie genau geht das vonstatten? Wenn ich via rdp auf dem ts arbeite verstehe ich den Zusammenhang mit ReCoPs nicht.

Die Idee dahinter ist mir klar ... aber so richtig hilfreiches informatives find ich im Netz nicht, außer Firmen die das anbieten.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.10.2014, aktualisiert um 10:25 Uhr
Zitat von Xaero1982:

Ich stell mir nen w2k12 r2 hin mit TS Cals. Richte dort denke ich dann mal ohne dc lokal? Benutzer ein ...

Ja.

Dann arbeite ich vom client via rdp auf dem TS?

Nein. Du nimmst eine Remote App. Das ist im wesentlichen nichts andere wie eine verknüpfung, die den Browser auf dem TS aufruft und das Fenster Dir direkt auf Deinem Desktop anzeigt. (oder ein Client, der dir eben nur den Browser auf Deinem desktop anzeigt, je nach Sichtweise).


lks
Bitte warten ..
Mitglied: Xaero1982
24.10.2014, aktualisiert um 10:27 Uhr
Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne Verknüpfung auf den Client?

Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?

Grüße
ps: hach danke ihr zwei werde mir mal den Artikel zu Gemüte führen.
Bitte warten ..
Mitglied: DerWoWusste
24.10.2014 um 10:40 Uhr
Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?
Ich würde SQUID oder Ähnliches als Proxy installieren und dort Berechtigungen vergeben. Das mit dem Gateway ginge natürlich auch, wenn denn anderweitig kein Routing gebraucht wird.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.10.2014 um 10:46 Uhr
Zitat von Xaero1982:

Ah okay ... und diese Remote App gibts vom IE und Chrome u.a.? Und muss ich dann auf dem TS installieren und pack ne
Verknüpfung auf den Client?

so unfgefähr.

Und um zu verhindern, dass die mit ihrem lokalen Browser surfen einfach ein GW ins nirwana?

nein eine FW mit zwagsproxy, der nur den terminalserver per http/https nah daufßen läßt und die anderen auf eine "Warnseite" leitet.

man köntne den Proxy natürlich auch gleich so gestalten, daß man mit den lokalen browsern nur authentifiziert raus darf, um dem administrator die möglichkeit zu geben, auch mit den lokalen browser mal raus zu dürfen.

lks
Bitte warten ..
Mitglied: Cthluhu
24.10.2014 um 12:52 Uhr
Hi,

Ich nehme dafür privat x2go. Läuft auf einen alten Server auf dem OpenSUSE rennt. Vom Win7 Client wird sich mit dem X2Go-Client (Verknüpfung auf dem Desktop) verbunden, automatisch ein Firefox am Server gestartet und das Fenster am Win7 Client gerendet. Läuft äußerst flüssig.

mfg

Cthluhu
Bitte warten ..
Mitglied: Xaero1982
24.10.2014 um 13:24 Uhr
Hi Cthluhu,

sieht auch interessant aus - danke. Mal testen.

Gruß
Bitte warten ..
Mitglied: Xaero1982
24.10.2014 um 22:24 Uhr
Nabend,

ich hab mir mal den 2012 r2 herunter geladen und installiert. Habe dann die RDP Dienste installiert und bekomme die Meldung wenn ich über den Manager zugreifen will:

"Sie sind momentan als lokaler Administrator auf dem Computer angemeldet. Zum Verwalten von Servern und Sammlungen mpssen Sie als Domänenbenutzer angemeldet sein."

Also doch nen DC?

Gruß
Bitte warten ..
Mitglied: DerWoWusste
24.10.2014 um 22:35 Uhr
Das wusste ich nicht mehr. Google mal fragen, ob es einen Ausweg gibt. Wusste bislang nur, dass sso eine Domäne braucht.
Bitte warten ..
Mitglied: DerWoWusste
24.10.2014 um 22:46 Uhr
https://support.microsoft.com/kb/2833839?wa=wsignin1.0 beschreibt, dass remote Desktop mit nur einem Server zwar geht, aber nicht RemoteApps, leider.

Vielleicht doch zuerst die open source Lösungen ausloten.
Bitte warten ..
Mitglied: Xaero1982
27.10.2014 um 20:25 Uhr
So wie gesagt habs in einer Virtual Box installiert.
Hab nun auch mal das AD installiert.

Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.

Ideen?

Gruß
Bitte warten ..
Mitglied: DerWoWusste
27.10.2014 um 21:52 Uhr
Du installierst den remote session host mit der Option"vm basiert", nimm die andere Option"session basiert".
Bitte warten ..
Mitglied: Cthluhu
28.10.2014 um 10:04 Uhr
Hi
Zitat von Xaero1982:
Und nun sagt er mir, dass keine Hardwarevirtualisierung vorhanden ist. Ist aber aktiviert in den Einstellungen.
Welchen Einstellungen? Warum auch immer, aber oftmals gibts im BIOS/UEFI Einstellungen zu virtualisierung welche per default vom Mainboard Hersteller deaktiviert sind.

mfg

Cthluhu
Bitte warten ..
Mitglied: Xaero1982
28.10.2014 um 17:44 Uhr
Da hat der DWW mal wieder recht gehabt

@Cthluhu: Es ist in den Einstellungen von Virtualbox aktiviert. Bios hab ich nicht

Grüße
Bitte warten ..
Mitglied: DerWoWusste
03.11.2014 um 20:50 Uhr
Und nu? Wie schaut's?
Bitte warten ..
Mitglied: Xaero1982
03.11.2014 um 22:01 Uhr
Um ehrlich zu sein bin ich noch nicht ganz durchgestiegen wie ich da weiter vorgehen soll.

Ich glaub ich werde mich erst mal weiter belesen, weil ich noch nicht mitm 2012er gearbeitet habe.

Kannst du mir irgendwelche Literatur empfehlen? Oder besser gleich zu MSPress greifen?
Bitte warten ..
Mitglied: DerWoWusste
03.11.2014 um 22:09 Uhr
Kann nichts empfehlen, wüsste auch nicht, wozu, ist ja alles wizard-gesteuert. Wo steckst Du denn fest?
Bitte warten ..
Mitglied: Xaero1982
03.11.2014 um 23:13 Uhr
Naja im Moment frag ich mich wie ich Remoteapps hinzufügen kann?
Aktuell hab ich nach der Einrichtung nur das Paint,Calc,Wordpad... die kann ich ja z.b. über den Webaccess aufrufen, aber wie z.b. bekomme ich einfach nur einen Link auf den Desktop? Also so, dass der User sich nicht immer erst anmelden muss? Geht vermutlich nur, wenn der Client auch in der Domäne ist?

Im Servermanager hab ich unter Sammlungen nur die QuickSessionCollection mit den o.g. Apps.
Bitte warten ..
Mitglied: Xaero1982
03.11.2014 um 23:16 Uhr
Ich glaub die Fragen hab ich mir fast schon alle beantwortet gerade

Also hinzufügen geht nun ...

Aber das mit dem Anmelden wird wohl nur innerhalb der Domäne gehen oder? Im Moment bekomm ich immer das Anmeldefenster.
Bitte warten ..
Mitglied: Xaero1982
03.11.2014 um 23:20 Uhr
So weit so gut...

Also würde ich zwei Server benötigen... einen TS und einen DC?

Die sollten dann auch noch getrennt sein - abgesehen von den entsprechenden Ports fürs AD, DNS, DHCP?

Also wie sieht eine sinnvolle Konfiguration auf Hardwareebene aus ... also ich mein jetzt nicht was für Server, sondern wie ist eine möglichst sichere Strukturierung?
Bitte warten ..
Mitglied: DerWoWusste
03.11.2014 um 23:30 Uhr
Pass auf, Vorschlag "zur Güte": vergiss zunächst mal RemoteApp und eine "sichere Struktur". Installier einen TS (ohne DC möglich, siehe https://support.microsoft.com/kb/2833839?wa=wsignin1.0 ). Dann bau eine RemoteSitzung auf und browse in dieser. Wenn Dir das leistungstechnisch reicht, dann bau mal Applocker ein um zu sehen, welche Schutzmechanismen möglich sind. Wenn Du dann auf den Geschmack gekommen bist, sehen wir weiter, sonst ist die Kommunikation am Ende für die Tonne.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
SMIME verschlüsselte Mails auf Terminal Server (5)

Frage von Mun-dee zum Thema Windows Netzwerk ...

Microsoft
gelöst DRINGEND: Suche Microsoft SQL SERVER 2008 R2 STANDARD Eval (8)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Netzwerk: All-in-one-Server-Lösung? (4)

Frage von peterla zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...