Jump to content

Remotedesktop zusammen mit AD

svenider

Von svenider
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

svenider Proficient

svenider   10

Geschrieben
Geschrieben

Moin,

 

was spricht eigentlich gegen die Verwendung von RDP-Diensten (inkl. Gateway mit SSL) auf einem Server mit AD?

 

Klar, es wird kategorisch davon abgeraten. Aber warum? Logisch, wenn einfach nur RDP ohne Verschlüsselung genutzt wird, dann spricht die Sicherheit dagegen.

 

Habe derzeit einen Kunden wo ich überlege es so zu realisieren. Ist ein kleiner Kunde mit nur einem Server. Extra die RDP zu dedizieren mittels eigenen Server ist etwas zu viel Aufwand.

 

Würde dann AD/ADCS/DNS/TS/IIS auf einem laufen lassen......

 

Oder vielleicht RDP virtualisieren?

 

Was meint ihr?

 

Grüße

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
Moin,

 

was spricht eigentlich gegen die Verwendung von RDP-Diensten (inkl. Gateway mit SSL) auf einem Server mit AD?

 

Klar, es wird kategorisch davon abgeraten. Aber warum? Logisch, wenn einfach nur RDP ohne Verschlüsselung genutzt wird, dann spricht die Sicherheit dagegen.

 

Habe derzeit einen Kunden wo ich überlege es so zu realisieren. Ist ein kleiner Kunde mit nur einem Server. Extra die RDP zu dedizieren mittels eigenen Server ist etwas zu viel Aufwand.

 

Würde dann AD/ADCS/DNS/TS/IIS auf einem laufen lassen......

 

Oder vielleicht RDP virtualisieren?

 

Was meint ihr?

 

Grüße

 

Da du die kategorische Ablehnung ja gefunden hast, wirst du doch sicher auch die eine oder andere Diskussion zum Thema gefunden haben, oder? Es geht meist darum, dass ein DC ein/das sicherheitsrelavante Gerät innerhalb einer Domäne ist. Demzufolge möchte man auf diesem weder Software installieren, welche durch die RemoteUser verwendet werden soll, noch möchte man überhaupt User auf so einem System "toben/arbeiten" lassen, da wir alle sicher schon bemerkt haben, wie sich Nutzer auf Systemen verhalten (können). Das Abschotten/hardening eines Terminalservers wird lang und breit bei MS erklärt, wird aber durch die gleichzeitige Verwendung als DC erschwert, da dieser eben einige Sonderanforderungen benötigt, die sich einfach widersprechen mit der Nutzung als TS.

 

Bye

Norbert

Link zu diesem Kommentar
svenider Proficient

svenider   10

Geschrieben
  • Autor
Geschrieben

Hmmm.

 

Ja, habe mich natürlich informiert. Bin aber noch immer unschlüssig.

 

Hast du einen Link von MS bzgl. der Sicherheitsaspekt eines TS?

 

Im TechNet z.B. wird hiervon kaum etwas erwähnt.....

 

Mann kann ja die User derart einschränken, dass es einen gesunden Kompromiss darstellt?!

 

Wie ist das eigentlich mit den RDP-Usern. Wenn USER-A ein servergespeichertes Profil hat, und ich im selbiges in den AD-Settings für RDP einstelle, dann hat er ja bei RDP-Sessions exakt das selbe. Soweit klar. Und die GPOs? Er liegt ja mit seinem Benutzernamen in der gleichen OU. Bedeutet er arbeitet die gleichen GPOs wie auf einer lokalen Anmeldung ab?! Ist ja auch logisch, aber in diesem Fall ****.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
Mann kann ja die User derart einschränken, dass es einen gesunden Kompromiss darstellt?!

 

Nein, auf einem DC kann man das nicht, denn der Kompromiss bedeutet in diesem Fall immer ein höheres Sicherheitsrisiko für das Active Directory.

 

Wie ist das eigentlich mit den RDP-Usern. Wenn USER-A ein servergespeichertes Profil hat, und ich im selbiges in den AD-Settings für RDP einstelle, dann hat er ja bei RDP-Sessions exakt das selbe. Soweit klar. Und die GPOs? Er liegt ja mit seinem Benutzernamen in der gleichen OU. Bedeutet er arbeitet die gleichen GPOs wie auf einer lokalen Anmeldung ab?! Ist ja auch logisch, aber in diesem Fall ****.

 

Ich hab jetzt nicht genau verstanden, was deine Überlegung für ein Ergebnis hat, aber ich vermute du suchst den Loopback Modus.

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
Ja, die Loopback-Verarbeitung. Aber das würde ja in meinem Fall bedeuten, dass ich die GPOs (Benutzerrichtlinien) auf den DC richten muss.

 

Oder?

 

Häh? Ja, die Loopbackverarbeitung zeigt immer auf den Loopbackverarbeitenden Computer. In deinem Fall der DC. Und bei der Konfiguration wirst du auch recht schnell die Nachteile eines Terminalservers auf einem DC feststellen.

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
Jetzt kommen wir der Sache schon näher....

 

Das war auch ein Grundaspekt der Überlegung; die Umsetzung. Wie z.B. das Sperren der lokalen Laufwerke.

 

Ja, das habe ich dir in meiner ersten Antwort bereits geschrieben.

Das Abschotten/hardening eines Terminalservers wird lang und breit bei MS erklärt, wird aber durch die gleichzeitige Verwendung als DC erschwert

 

Und wenn ich TS virtualisiere?

 

Dann isser virtuell. Oder was war der Grund deiner Frage? Hyper-V auf einem DC ist auch nicht gut. Also Hyper-V und DC und TS jeweils in eigene VMs packen, dann hast du ein relativ gutes System. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...