TerminalServer - Direktes anmelden verhindern?

[g2sm 17]

Hi Zusammen,

 

gibt es die Möglichkeit ein Direktes anmelden am Terminal Server zu verhindern?

Zum Hintergrund:

Wir haben hier eine ganz kleine Farm (2 Server).  Diese lief bis vor kurzem noch über den Session Broker von Windows. Nun hatten wir dass Problem, dass die Nutzer nicht gleichmäßig verteilt wurden (Server 1 hatte 30 User, Server 2 nur 10). 

Nun haben wir zum testen die Free Version von Kemp installiert und eingerichtet. Funktioniert auch ganz gut bisher. Problem jedoch, einige Mitarbeiter kennen die IP von den Einzelnen Servern und melden sich direkt über diese an, wodurch der LB umgangen wird und die Verteilung wieder ungleich ist.

Gibt es eine Möglichkeit dies zu unterbinden, so dass sich die Mitarbeiter nur noch über Namen des LBs anmelden können?

 

Vielen Dank

g2sm

[Sunny61 810]

Was spricht gegen das ändern der IP-Adressen? ;)

[magheinz 110]

Eine Änderung der IP eines Servers weil sich Mitarbeiter nicht an Anweisungen halten?

Das würde ich auch versuchen anders zu lösen. Im dümmsten Fall finden die nämlich drei Tage später die neue IP heraus.

 

Entweder lässt sich die direkte Anmeldung verhindern oder ich würde versuchen die Leute per powershellscript herauszufinden und denen gnadenlos die Session killen. Das würde ich vorher mit den Leuten persönlich versuchen zu klären und bei Wiederholung mit den entsprechenden Vorgesetzten besprechen immer mit dem Hinweis: "aus technischen Gründen darf der Zugriff auf die Server nur so-und-so erfolgen. Bei Verbindungen die das umgehen können wir nicht garantierend das diese stabil sind. Leider droht dann durch Verbindungsabbrüche der Verlust von Daten".

[Sunny61 810]

Eine Änderung der IP eines Servers weil sich Mitarbeiter nicht an Anweisungen halten?

Das würde ich auch versuchen anders zu lösen. Im dümmsten Fall finden die nämlich drei Tage später die neue IP heraus.

Gibt es denn tatsächlich schriftliche oder mündliche Anweisungen? Vermutlich nicht.

 

Die bisher verwendeten IPs könnte man ja an eine passende Website umleiten. Der Phantasie sind dabei keine Grenzen gesetzt! :)

[g2sm 17]

Danke für eure Antworten. Auf die Idee mit der IP-Änderung hatte ich gar nicht im Kopf xD

 

Es gibt eine Mündliche Anweisung von mir. Jeden MA wird eine RDP Verknüpfung auf dem Desktop bereitgestellt mit passenden Einstellungen die benutzt werden soll. 

Aber leider sind einige Mitarbeiter einfach nur lern unfähig und auf Diskussionen habe ich keine Lust. :)

IP wird heute Abend geändert und dann werden die es schon lernen. 

Beschwerden werden die sich auch nicht wenn es nicht mehr funktioniert wie bisher, da sie es ja eh nicht machen sollten :)

 

Vielen Dank

g2sm

 

EDIT:

Jedoch würde mich dann doch interessieren ob es eine Möglichkeit gibt, TS Zugriff zuzulassen, aber nur wenn man über den LB geht. Vllt weiß das ja noch einer :) 

bearbeitet 23. Oktober 2015 von g2sm

[NorbertFe 2.098]

Alternativ den Kemp als "two arm" Konfiguration nutzen. Dann stehen die TS in einem eigenen LAN und sind nur über den Loadbalancer erreichbar. ;)

[magheinz 110]

Das finde ich den besten Ansatz...

Da werde ich nach meinem Urlaub mal mit herumspielen.

[NorbertFe 2.098]

Bei TS hab ich das nie gebraucht bisher, aber bei Exchange ist das sogar eine von MS empfohlene Variante, damit eben die Exchangeserver nicht direkt im Zugriff stehen.

[magheinz 110]

Für Exchange haben wir auch ein Loadbalancerpärchen. Unter anderem damit Exchange nicht in die DMZ muss.

Für TS eigentlich auch. Die sind in der DMZ und verbinden auf das TSGW im internen Netz für den Zugriff von aussen.

Die Umsetzung ist bei uns einfach da eh alles in VMware virtualisiert ist. Ich muss also nur eine Portgruppe anlegen und da die Terminalserver drauf hängen. Mal schaun wann ich zum Testen komme.