Jump to content

Terminalserver-Umgebung von außen erreichbar machen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen zusammen,

 

erstmal zu meiner Person. Ich bin Tom und komme aus Bremen.

 

Was wäre der geschickteste Weg einen bzw. zwei Terminalserver von außen und ohne VPN erreichbar zu machen?
Über WebAccess kann ich dem Anwender über das Internet ja eine URL zur Verfügung stellen, worüber er Desktops bzw. RemoteApps aufrufen kann.

Der Traffic läuft dann über den Gateway zu den Session Hosts.

 

Die Frage ist nun, welche der Komponenten setze ich in einer DMZ ab? WebAccess und Gateway? Oder auch der eigentliche Session Host?

Vielleicht kann mir jemand etwas Licht in das Dunkle bringen, bevor ich ohne größeres Vorwissen irgendeine Testumgebung installiere. :-)

 

Gruß

Link zu diesem Kommentar
vor 2 Minuten schrieb Nobbyaushb:

Ich würde trotzdem zu VPN raten...

Danke für die erste Antwort.

Ich denke, es kommt drauf an, wie sich der Aufbau der RDS-Farm gestaltet und ob die Konfiguration am Ende über den RDS-Webaccess und das Gateway sicherer ist.

 

Ich hätte noch folgende Möglichkeit,

dass ich über die Firewall nach außen ein Webaccess-VPN zur Verfügung stellen kann, wo sich der Benutzer anmeldet und eine RDP-Verbindung im Browser zum Terminalserver aufbauen kann. Allerdings ist das natürlich nicht so komfortabel wie direkter RDP-Zugriff mit der Windows-Anwendung.


Die Firewall ist eine FortiGate.

 

 

Link zu diesem Kommentar

Hi,

 

der ein und andere Loadbalancer / Application Delivery Controller kann das auch (mit Pre-Authentication) veröffentlichen. Wenn die Limitierungen nicht stören sogar gratis: https://freeloadbalancer.com/

 

 

Alternative kannst du das auch mit einem HAProxy (http://www.haproxy.org/) oder auch Apache bzw. nginx erledigen.

 

Gruß

Jan

Link zu diesem Kommentar
vor 3 Minuten schrieb testperson:

Hi,

 

der ein und andere Loadbalancer / Application Delivery Controller kann das auch (mit Pre-Authentication) veröffentlichen. Wenn die Limitierungen nicht stören sogar gratis: https://freeloadbalancer.com/

Wie sieht das Konstrukt dann aus? Ich haeng den FBL in die DMZ und veröffentliche darüber einfach die Terminalserver, die bei mir im internen Netzwerk stehen?

 

Einen Reverse-Proxy in Form von Apache habe ich bereits schon für andere Veröffentlichungen (Exchange) im Einsatz.

bearbeitet von Garant
Link zu diesem Kommentar
vor 4 Minuten schrieb testperson:

Eine Option wäre den "Reverse Proxy" in die DMZ und darüber werden dann RDWeb und/oder RDGW veröffentlicht.

Ich hoffe, ich beanspruche euer Know-How nicht zu sehr, jedoch würde ich hier gerne noch einmal nachhaken.

 

Mein/unser Reverse-Proxy steht aktuell auch schon in der DMZ, wie oben beschrieben handelt es sich um einen apache2.

Damit könnte ich dann die RDweb-Seite veröffentlichen und den RDP-Gateway?


Wie würdet ihr das Sicherheitsrisiko bewerten?

Link zu diesem Kommentar

Bei neueren Versionen von Windows gab es in der Vergangenheit nur selten Sicherheitslücken bei RDP bzw. dem Gateway und von denen waren noch weniger ohne Authentifizierung ausnutzbar. Von daher halte ich das Risiko für vertretbar, wenn man seine Systeme aktuell hält.

 

Als wichtiger erachte ich den Schutz gegen fremde Logins wegen schwachen oder (ehemaligen) Mitarbeitern bekannten Passwörtern. Wenn ein Mitarbeiter geht, gibt es den Schlüssel ab. Er weiss jedoch vielleicht das Passwort eines Kollegen und dank Terminalserver kann er sich immer noch einloggen, auch wenn er keinen Zutritt zur Firma mehr hat. Deshalb halte ich es für ratsam, den Zugriff von aussen auf die Benutzer zu beschränken, die ihn benötigen und mittels Zwei-Faktor-Authentifizierung abzusichern. Da haben wir mit Duo gute Erfahrungen gemacht.

Link zu diesem Kommentar

An 2FA habe ich sowieso schon gedacht.

 

Wir müssen (leider) noch auf Server 2012 R2 zurückgreifen, ich hoffe, dass das noch soweit in Ordnung geht. Gepatched wären die Systeme so oder so.

Zusammendfassend gehe ich jetzt mit haproxy/apache/kemp davon aus, dass dieser in der DMZ arbeitet und den RDG sowie Session Host, die im internen Netz stehen, veröffentlicht, korrekt?

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...