Terminalserver-Umgebung von außen erreichbar machen

[Garant 3]

Guten Morgen zusammen,

 

erstmal zu meiner Person. Ich bin Tom und komme aus Bremen.

 

Was wäre der geschickteste Weg einen bzw. zwei Terminalserver von außen und ohne VPN erreichbar zu machen?
Über WebAccess kann ich dem Anwender über das Internet ja eine URL zur Verfügung stellen, worüber er Desktops bzw. RemoteApps aufrufen kann.

Der Traffic läuft dann über den Gateway zu den Session Hosts.

 

Die Frage ist nun, welche der Komponenten setze ich in einer DMZ ab? WebAccess und Gateway? Oder auch der eigentliche Session Host?

Vielleicht kann mir jemand etwas Licht in das Dunkle bringen, bevor ich ohne größeres Vorwissen irgendeine Testumgebung installiere.

 

Gruß

[Nobbyaushb 1.484]

Moin,

willkommen an Board auch-Bremer!

 

Früher konnte man das prima mit dem TMG von MS machen, da hatte man die passende AUTH

Heute setzt man entweder den WAP von MS ein oder die Firewall, so diese denn sowas kann, z.B. ein SecurePoint.

 

Ich würde trotzdem zu VPN raten...

[Garant 3]

vor 2 Minuten schrieb Nobbyaushb:

Ich würde trotzdem zu VPN raten...

Danke für die erste Antwort.

Ich denke, es kommt drauf an, wie sich der Aufbau der RDS-Farm gestaltet und ob die Konfiguration am Ende über den RDS-Webaccess und das Gateway sicherer ist.

 

Ich hätte noch folgende Möglichkeit,

dass ich über die Firewall nach außen ein Webaccess-VPN zur Verfügung stellen kann, wo sich der Benutzer anmeldet und eine RDP-Verbindung im Browser zum Terminalserver aufbauen kann. Allerdings ist das natürlich nicht so komfortabel wie direkter RDP-Zugriff mit der Windows-Anwendung.

Die Firewall ist eine FortiGate.

 

 

[testperson 1.728]

Hi,

 

der ein und andere Loadbalancer / Application Delivery Controller kann das auch (mit Pre-Authentication) veröffentlichen. Wenn die Limitierungen nicht stören sogar gratis: https://freeloadbalancer.com/

 

 

Alternative kannst du das auch mit einem HAProxy (http://www.haproxy.org/) oder auch Apache bzw. nginx erledigen.

 

Gruß

Jan

[Garant 3]

vor 3 Minuten schrieb testperson:

Hi,

 

der ein und andere Loadbalancer / Application Delivery Controller kann das auch (mit Pre-Authentication) veröffentlichen. Wenn die Limitierungen nicht stören sogar gratis: https://freeloadbalancer.com/

Wie sieht das Konstrukt dann aus? Ich haeng den FBL in die DMZ und veröffentliche darüber einfach die Terminalserver, die bei mir im internen Netzwerk stehen?

 

Einen Reverse-Proxy in Form von Apache habe ich bereits schon für andere Veröffentlichungen (Exchange) im Einsatz.

bearbeitet 5. März 2020 von Garant

[testperson 1.728]

Hi,

 

eine Option wäre den "Reverse Proxy" in die DMZ und darüber werden dann RDWeb und/oder RDGW veröffentlicht.

 

Gruß

Jan

[Garant 3]

vor 4 Minuten schrieb testperson:

Eine Option wäre den "Reverse Proxy" in die DMZ und darüber werden dann RDWeb und/oder RDGW veröffentlicht.

Ich hoffe, ich beanspruche euer Know-How nicht zu sehr, jedoch würde ich hier gerne noch einmal nachhaken.

 

Mein/unser Reverse-Proxy steht aktuell auch schon in der DMZ, wie oben beschrieben handelt es sich um einen apache2.

Damit könnte ich dann die RDweb-Seite veröffentlichen und den RDP-Gateway?

Wie würdet ihr das Sicherheitsrisiko bewerten?

[mwiederkehr 384]

Bei neueren Versionen von Windows gab es in der Vergangenheit nur selten Sicherheitslücken bei RDP bzw. dem Gateway und von denen waren noch weniger ohne Authentifizierung ausnutzbar. Von daher halte ich das Risiko für vertretbar, wenn man seine Systeme aktuell hält.

 

Als wichtiger erachte ich den Schutz gegen fremde Logins wegen schwachen oder (ehemaligen) Mitarbeitern bekannten Passwörtern. Wenn ein Mitarbeiter geht, gibt es den Schlüssel ab. Er weiss jedoch vielleicht das Passwort eines Kollegen und dank Terminalserver kann er sich immer noch einloggen, auch wenn er keinen Zutritt zur Firma mehr hat. Deshalb halte ich es für ratsam, den Zugriff von aussen auf die Benutzer zu beschränken, die ihn benötigen und mittels Zwei-Faktor-Authentifizierung abzusichern. Da haben wir mit Duo gute Erfahrungen gemacht.

[Garant 3]

An 2FA habe ich sowieso schon gedacht.

 

Wir müssen (leider) noch auf Server 2012 R2 zurückgreifen, ich hoffe, dass das noch soweit in Ordnung geht. Gepatched wären die Systeme so oder so.

Zusammendfassend gehe ich jetzt mit haproxy/apache/kemp davon aus, dass dieser in der DMZ arbeitet und den RDG sowie Session Host, die im internen Netz stehen, veröffentlicht, korrekt?

 

[Nobbyaushb 1.484]

Von Kemp hast du nichts im OP geschrieben - der kann das auch

[Garant 3]

vor 3 Minuten schrieb Nobbyaushb:

Von Kemp hast du nichts im OP geschrieben - der kann das auch

KEMP war auf den Beitrag von testperson bezogen.

In Betrieb haben wir aktuell kein KEMP, nur den Apache als Reverse-Proxy, welchen ich auch eigtl. erstmal dafür verwenden möchte.

[Nobbyaushb 1.484]

Achso... dann sorry

[Garant 3]

Eine Frage hätte ich noch,

wenn ich nun mehrere Session Hosts habe, kann ich die dort hinterlegten Sammlungen/RemoteApps alle in einem RDWeb anzeigen lassen?

[Sunny61 809]

vor 2 Stunden schrieb Garant:

wenn ich nun mehrere Session Hosts habe, kann ich die dort hinterlegten Sammlungen/RemoteApps alle in einem RDWeb anzeigen lassen?

Ja, kannst Du in RDWeb alle anzeigen lassen.

[Garant 3]

vor 13 Stunden schrieb Sunny61:

Ja, kannst Du in RDWeb alle anzeigen lassen.

Guten Morgen,

 

hast du ein Stichwort, wonach ich suchen kann um das zu konfigurieren?
Aktuell werden die Sammlungen nur auf dem jeweiligen Session Host im Webaccess angezeigt.