Cloud Server 2012R2 VPN + RDP Access

[juergen0815 0]

Hallo Zusammen,

 

hab seit jahren wieder mal ein Server aufgesetzt, auf diesem eine Applikation läuft, welche RDP Sitzungen benötigt.

Hintergrund ist, dass mehrere User am System mit der Software arbeiten können.

 

Zu den Rahmenbedingungen:

 

• Dedicates Server bei Strato in der Cloud
• Frest IP gleiche Intern wie Extern
• eine Netzwerkkarte für Intern und Extern
• DC installiert

 

Mein Problem ist es die RDP Verbindung sicher aufzubauen, hierzu war mein Gedanke eine VPN Verbindung von Extern aufzubauen und dann RDP zu starten.

 

Die VPN (PPTP) verbindung funktionert, bis auf den Internet zugriff.

 

Lösung bis jezt noch kein Plan, sobald das geklärt ist möchte ich Zertifkate erstellen um richtig zu verschlüsseln.

 

########## RDP nur von Intern erreichbar ###############

 

Ich dachte mir ich deaktiviere in der Windowsfirewall RDP von Öffentlich und lasse Privat und Domäne zu.

Problem ist aber das die Netzwerkkarte sagt sie ist im Domänennetzwerk und somit zieht die Regel öffentlich nie.

 

Was kann ich tun damit sicher auf die RDP Sitzung zugreifen kann?

Vielleicht gibt es einen schöneren Weg.

 

Vielen Dank

 

Jürgen

 

bearbeitet 8. März 2018 von juergen0815

[zahni 558]

Hallo und willkommen  im Forum.

Was willst Du mit einem DC bei Strato? Diese Hoster unterstützen das i.d.R. explizit nicht.

Auch verstehe ich das Setup mit "intern/extern" nicht. Sind das 2 einzelne Netzwerkkarten? Wo geht denn "intern" hin?

Einen DC darfst Du nicht mit 2 Netzwerkkarten betreiben.

Im Übrigen solltest Du kein PPTP VPN verwenden. Das ist unsicher.

Und am Ende brauchst  Du Lizenzen, wenn du per RDP auf  Anwendungen zugreifen willst.

 

 

 

[Nobbyaushb 1.484]

vor 6 Minuten schrieb zahni:

Und am Ende brauchst  Du Lizenzen, wenn du per RDP auf  Anwendungen zugreifen willst.

Moin, ergänzend - wenn der Server nicht dir gehört, brauchst du sogar ganz spezielle Lizenzen.

Und wenn ich das Richtig lese, ist der Server sowohl RDS als auch DC - das mach man nicht und ist meines Wissens nicht zulässig.

[mwiederkehr 384]

Wenn man nur einen Server betreibt, würde ich die Domäne weglassen. Also nur RDS installieren, kein DC.

 

Mit der Lizenzierung ist es nicht so einfach. Wenn Du einen virtuellen Server mietest, muss die Lizenz zwingend vom Provider kommen (SPLA). Wie es bei der Miete eines physischen Servers aussieht, weiss ich leider nicht. SPLA geht auf jeden Fall, habe aber auch schon gelesen, dass man da eigene Lizenzen einsetzen darf. Die Lizenzen dürfen aber nicht gemischt werden, also nicht Windows von Dir gekauft und RDS-CALs per SPLA von Strato gemietet.

 

Für den Zugriff gibt es mehrere Möglichkeiten. RDP selbst verschlüsselt die Daten schon, man braucht also nicht zwingend ein VPN. Wenn Du den Zugriff auf Port 3389 auf gewisse IP-Adressen beschränken kannst, wäre das am einfachsten. Geht das nicht, würde ich das RD-Gateway installieren, evtl. mit Zweifaktor-Authentifizierung. RDP direkt offen ins Internet will man normalerweise nicht. Mir sind zwar in letzter Zeit keine Lücken bekannt, durch die jemand ohne Passwort Code auf dem Server ausführen konnte, aber die ganze Welt kann Passwörter durchprobieren.

 

Braucht es doch ein VPN, könnte man IPSec auf dem Server einrichten, das ist nicht so unsicher wie PPTP. Ist aber nach meiner Erfahrung etwas ein Gebastel (jedenfalls für Site2Site), so dass ich eher Hyper-V aktivieren und in einer VM eine Firewall-Distribution laufen lassen würde. Oder Du gehst zu einem Provider, der das VPN für Dich terminiert.

 

Ganz allgemein würde ich mir überlegen, ob Du einen physischen Server brauchst. Da musst Du für Updates sorgen, im Fehlerfall die Sicherung zurückspielen etc. Viele Anbieter bieten mittlerweile vServer explizit als Terminalserver an. Dort bezahlst Du dann einen fixen Betrag pro Benutzer und hast den Server, die Lizenzen, Updates und Backup inklusive.