Jump to content
Sign in to follow this  
svenider

Remotedesktop zusammen mit AD

Recommended Posts

Moin,

 

was spricht eigentlich gegen die Verwendung von RDP-Diensten (inkl. Gateway mit SSL) auf einem Server mit AD?

 

Klar, es wird kategorisch davon abgeraten. Aber warum? Logisch, wenn einfach nur RDP ohne Verschlüsselung genutzt wird, dann spricht die Sicherheit dagegen.

 

Habe derzeit einen Kunden wo ich überlege es so zu realisieren. Ist ein kleiner Kunde mit nur einem Server. Extra die RDP zu dedizieren mittels eigenen Server ist etwas zu viel Aufwand.

 

Würde dann AD/ADCS/DNS/TS/IIS auf einem laufen lassen......

 

Oder vielleicht RDP virtualisieren?

 

Was meint ihr?

 

Grüße

Share this post


Link to post
Share on other sites
Moin,

 

was spricht eigentlich gegen die Verwendung von RDP-Diensten (inkl. Gateway mit SSL) auf einem Server mit AD?

 

Klar, es wird kategorisch davon abgeraten. Aber warum? Logisch, wenn einfach nur RDP ohne Verschlüsselung genutzt wird, dann spricht die Sicherheit dagegen.

 

Habe derzeit einen Kunden wo ich überlege es so zu realisieren. Ist ein kleiner Kunde mit nur einem Server. Extra die RDP zu dedizieren mittels eigenen Server ist etwas zu viel Aufwand.

 

Würde dann AD/ADCS/DNS/TS/IIS auf einem laufen lassen......

 

Oder vielleicht RDP virtualisieren?

 

Was meint ihr?

 

Grüße

 

Da du die kategorische Ablehnung ja gefunden hast, wirst du doch sicher auch die eine oder andere Diskussion zum Thema gefunden haben, oder? Es geht meist darum, dass ein DC ein/das sicherheitsrelavante Gerät innerhalb einer Domäne ist. Demzufolge möchte man auf diesem weder Software installieren, welche durch die RemoteUser verwendet werden soll, noch möchte man überhaupt User auf so einem System "toben/arbeiten" lassen, da wir alle sicher schon bemerkt haben, wie sich Nutzer auf Systemen verhalten (können). Das Abschotten/hardening eines Terminalservers wird lang und breit bei MS erklärt, wird aber durch die gleichzeitige Verwendung als DC erschwert, da dieser eben einige Sonderanforderungen benötigt, die sich einfach widersprechen mit der Nutzung als TS.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hmmm.

 

Ja, habe mich natürlich informiert. Bin aber noch immer unschlüssig.

 

Hast du einen Link von MS bzgl. der Sicherheitsaspekt eines TS?

 

Im TechNet z.B. wird hiervon kaum etwas erwähnt.....

 

Mann kann ja die User derart einschränken, dass es einen gesunden Kompromiss darstellt?!

 

Wie ist das eigentlich mit den RDP-Usern. Wenn USER-A ein servergespeichertes Profil hat, und ich im selbiges in den AD-Settings für RDP einstelle, dann hat er ja bei RDP-Sessions exakt das selbe. Soweit klar. Und die GPOs? Er liegt ja mit seinem Benutzernamen in der gleichen OU. Bedeutet er arbeitet die gleichen GPOs wie auf einer lokalen Anmeldung ab?! Ist ja auch logisch, aber in diesem Fall ****.

Share this post


Link to post
Share on other sites
Mann kann ja die User derart einschränken, dass es einen gesunden Kompromiss darstellt?!

 

Nein, auf einem DC kann man das nicht, denn der Kompromiss bedeutet in diesem Fall immer ein höheres Sicherheitsrisiko für das Active Directory.

 

Wie ist das eigentlich mit den RDP-Usern. Wenn USER-A ein servergespeichertes Profil hat, und ich im selbiges in den AD-Settings für RDP einstelle, dann hat er ja bei RDP-Sessions exakt das selbe. Soweit klar. Und die GPOs? Er liegt ja mit seinem Benutzernamen in der gleichen OU. Bedeutet er arbeitet die gleichen GPOs wie auf einer lokalen Anmeldung ab?! Ist ja auch logisch, aber in diesem Fall ****.

 

Ich hab jetzt nicht genau verstanden, was deine Überlegung für ein Ergebnis hat, aber ich vermute du suchst den Loopback Modus.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
Ja, die Loopback-Verarbeitung. Aber das würde ja in meinem Fall bedeuten, dass ich die GPOs (Benutzerrichtlinien) auf den DC richten muss.

 

Oder?

 

Häh? Ja, die Loopbackverarbeitung zeigt immer auf den Loopbackverarbeitenden Computer. In deinem Fall der DC. Und bei der Konfiguration wirst du auch recht schnell die Nachteile eines Terminalservers auf einem DC feststellen.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Jetzt kommen wir der Sache schon näher....

 

Das war auch ein Grundaspekt der Überlegung; die Umsetzung. Wie z.B. das Sperren der lokalen Laufwerke.

 

Und wenn ich TS virtualisiere?

Share this post


Link to post
Share on other sites
Jetzt kommen wir der Sache schon näher....

 

Das war auch ein Grundaspekt der Überlegung; die Umsetzung. Wie z.B. das Sperren der lokalen Laufwerke.

 

Ja, das habe ich dir in meiner ersten Antwort bereits geschrieben.

Das Abschotten/hardening eines Terminalservers wird lang und breit bei MS erklärt, wird aber durch die gleichzeitige Verwendung als DC erschwert

 

Und wenn ich TS virtualisiere?

 

Dann isser virtuell. Oder was war der Grund deiner Frage? Hyper-V auf einem DC ist auch nicht gut. Also Hyper-V und DC und TS jeweils in eigene VMs packen, dann hast du ein relativ gutes System. ;)

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Jetzt habe ich keine Lust mehr. Und das schon am Montag. Jetzt kommt ein kleiner ausrangierter Dell-Server mit Pentium D hin. Der macht das TS/RDS und gut is....

 

Danke dir.....

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...