Jump to content

Terminal Server und Active Directory auf einem System?

Gill

Von Gill
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gill Enthusiast

Gill   16

Geschrieben
Geschrieben

Hallo,

 

mal eine Frage; ich habe schon öfter gehört, man sollte einen Terminal Server nicht auf dem gleichen System wie dem Active Directory betreiben. Warum? Lediglich aus Sicherheitsgründen?

 

Zukünftig werden wir nur noch einen einzigen Windows-Server besitzen. Auf diesem läuft dann die neue Warenwirtschaft und die Benutzer greifen von Terminals aus via RDP darauf zu.

 

Wenn ich die beiden Dienste von einander trennen müsste, bräuchte ich ja wieder eine zusätzliche Windows-Lizenz (und Installation), welche aber wiederrum Geld kostet und für unsere Zwecke (da nur ein Server vorhanden) doch etwas "überdimensioniert" ist (sprich, wegen einem Terminal Server ein separater Active Directory-Server).

 

Hardware bzw. Ressourcen sind bei dem von uns eingesetzten Server relativ egal, da virtualisiert.

 

Danke!

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

aus Sicherheits- und Stabilitätsgründen. Bei einem Terminalserver haben die User lokale Sessions, sie arbeiten also direkt auf dem Server. Alle Funktionen, an die User nicht randürfen, verbieten sich also auf einem Terminalserver. Umgekehrt ist ein AD-Domänencontroller die zentrale Sicherheitsinstanz. Dort haben nur Administratoren etwas zu suchen, aber keine User.

 

Stabilität: Da auf einem Terminalserver Anwender arbeiten und dort "Client-Software" läuft, kann es schon mal vorkommen, dass der Server ausfällt oder Fehler entstehen. Hier will man die Abhängigkeit zum AD möglichst gering halten, damit nicht auch die zentrale Anmelderessource ausfällt.

 

Ab Windows 2012 kommt hinzu, dass man auf einem Domänencontroller die RDS-Dienste (Terminalserver) nur noch mit argen Klimmzügen überhaupt installiert bekommt. Stabil läuift es dann hinterher i.d.R. nicht.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
Gill Enthusiast

Gill   16

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke für die schnellen und ausführlichen Antworten bzw. Links!

 

"lediglich"?

 

Wegen Sicherheit; die Server-Instanzen sind ausschließlich im internen Netz verfügbar und auf diese kann auch nicht von außen zugegegriffen werden. Auch auf dem Virtualisierungs-Host befindet sich ein Netzwerkfilter, sodass die Benutzer nur via RDP auf das System kommen.

 

Habe aber in den Links auch gelesen, dass es nicht so prickelnd ist, wenn die Benutzer auf dem gleichen System arbeiten auf dem auch das AD läuft. Bisher habe ich den Zugriff für die Benutzer stark eingeschränkt. Diese sehen im Explorer nur ihre eigenen Ordner und das für sie gemountete Netzlaufwerk, aber auch das ist keine so tolle Lösung.

 

Ab Windows 2012 kommt hinzu, dass man auf einem Domänencontroller die RDS-Dienste (Terminalserver) nur noch mit argen Klimmzügen überhaupt installiert bekommt. Stabil läuift es dann hinterher i.d.R. nicht.

 

Gut zu wissen!

 

Mit Windows Server 2012 darfst du das OS zwei mal (virtuell) installieren. Dabei kommen keine weiteren Kosten auf dich zu.

 

Das ist natürlich zuvorkommend von Microsoft. Da dem so ist, werde ich das so lösen.

 

Danke euch!

 

Edit: Überflüssige leere Zeilen entfernt

bearbeitet von Gill
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben (bearbeitet)

Moin,

 


Wegen Sicherheit; die Server-Instanzen sind ausschließlich im internen Netz verfügbar und auf diese kann auch nicht von außen zugegegriffen werden. Auch auf dem Virtualisierungs-Host befindet sich ein Netzwerkfilter, sodass die Benutzer nur via RDP auf das System kommen.

 

 

verabschiede dich von dem Gedanken, dass "Sicherheit" in der IT nur etwas mit externem Zugriff zu tun habe. Die meisten Angriffe kommen technisch gesehen "von innen". Und es müssen ja auch gar nicht unbedingt bewusste Angriffe sein - wenn es du*m kommt, reicht ein bisschen falsches Klicken schon aus.

 

Also, auch wenn es wie großer Umstand aussieht: Richte dir (wie du es ja anscheinend jetzt auch vorhast) jeweils eine VM als DC und als Terminalserver ein. Das ist für Stabilität und Sicherheit deutlich besser.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
Gill Enthusiast

Gill   16

Geschrieben
  • Autor
Geschrieben

Also, auch wenn es wie großer Umstand aussieht

 

Bei Windows-Systemen ist (aus meiner Sicht) der Konfigurationsaufwand generell zwar etwas höher, aber das ist mir völlig egal, solange das System stabil läuft.

 

jeweils eine VM als DC und als Terminalserver ein. Das ist für Stabilität und Sicherheit deutlich besser.

 

Das mache ich dann auch so. :)

 

Und es müssen ja auch gar nicht unbedingt bewusste Angriffe sein - wenn es du*m kommt, reicht ein bisschen falsches Klicken schon aus.

Ja, das sog. PEBKAC-Problem (Problem Exists Between Keyboard And Chair), welches bei Administratoren und vor allem bei Benutzern aufreten kann.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...