RDS Verbindungen für fünf Benutzer einrichten

[Lendrin 0]

Ich habe keinerlei Erfahrung mit Windows Server, aber bei einem Freund soll einen Branchensoftware vom Vertrieb dieser Software per Fernsteuerung auf Windows Server 2022 (2025) installiert werden. Danach sollen bis zu vier Mitarbeiter auch parallel auf diese Software zugreifen und mit ihr arbeiten können. Es muss also ein Desktopzugriff für jeden eingerichtet werden. Den Windowsserver wollen sie physisch hinter einen Router setzen und es soll auch über das Internet zugegriffen werden können.

Kann da jemand eine Hilfestellung geben?

[chrismue 99]

Hi, 

 

dann muss auf dem Server die RDS Rolle installiert werden, du benötigst hierzu entsprechende Cals. 

 

Dann den Zugriff via VPN einrichten. 

 

Gruß 

chrismue 

[cj_berlin 1.356]

vor 21 Minuten schrieb chrismue:

dann muss auf dem Server die RDS Rolle installiert werden, du benötigst hierzu entsprechende Cals. 

Und die RDS-Lizenzserver-Rolle, in die Du dann diese CALs einspielen kannst  Und es wäre super, wenn der Hersteller der Branchensoftware vorher bestätigt, dass sie
a. generell unter Terminalserver lauffähig und supported ist

b. unter der Windows-Version, die Du vorhast einzusetzen, lauffähig und supported ist

vor 23 Minuten schrieb chrismue:

Dann den Zugriff via VPN einrichten. 

Wenn der Router das kann. Kann er das nicht, musst Du dich mit dem Remote Desktop-Gateway vertraut machen. Ich habe das im IT-Administrator-Sonderheft für Server 2022 ausführlich beschrieben, aber man findet auch Anleitungen im Internet.

Machst Du das über VPN, musst Du ganz genau schauen, welches Protokoll es nutzt. Ist es ein SSL-VPN und nutzt daher TCP, solltest Du für RDP den UDP-Zugriff deaktivieren (obwohl er gerade in WAN-Szenarien eigentlich wünschenswert wäre).

Und der letzte Punkt: Haben sie Active Directory am Start und werden diese User aus diesem Active Directory kommen? Falls ja, kannst Du mit User CALs arbeiten. Falls nein, brauchst Du zwingend Device CALs, und zwar ACHTUNG! so viele, wie verschiedene GERÄTE auf die Umgebung zugreifen werden.

Wenn sie kein AD haben, tu bitte eins NICHT: AD auf demselben Server installieren und praktisch alle per RDP auf einem Domain Controller über VPN oder RDG arbeiten lassen...

[Lendrin 0]

Ja, vielen Dank, der Tipp enthält eine Menge Neuland für mich. Ich habe auf dem Server die RDS-Rolle aktiviert und es funktionieren zwei RemoteDesktopVerbindungen parallel im Netz. Bisher ging ich von der Annahme aus, dass es reichen würde, zusätzlich einen Zugriff von außerhalb des Netzwerks zu realisieren und zwei Lizenzen - CALs - und die Lizenz für den Server  dazuzukaufen, damit 4 Personen gleichzeitig arbeiten können. 
"Terminalserver": Ich habe Windows Server 22 in der "Desktop"-Version installiert. 
"ActiveDirectory" habe ich nicht aktiviert und auch keinerlei Erfahrung damit.

"Ziel ist:" Bis zu vier Benutzer gehen mit RemoteDesktop in den Server, jeder hat für die Software einen eigenen Account und sie können parallel damit arbeiten - was die Software auch können soll.
Zugang über Router vom Internet auf den Server:  Bisher besteht nur ein Zugang ohne feste IP im Vertrag. Es könnte ein neuer Vertrag mit dem Internetanbieter gemacht werden, der eine feste IPs4 hat. Ist dies gegeben, so hoffe ich, dass die Benutzer der Software sich direkt und auch gleichzeitig über RemoteDesktop anmelden können und per "Portforwarding im Router" direkt zum Server gelangen.

 

 

[cj_berlin 1.356]

Moin,

 

seltsame Formatierung, Ist es ein Copy/Paste aus einem anderen Forum? Dann bitte auf Cross-Post hinweisen.

 

Das Wichtigste vorab:

 

Du willst NICHT Port 3389 per NAT ins Internet stellen.

Es sei denn, alle zugreifenden Clients haben feste IPs, und Du erlaubst nur diese auf der Firewall Deines Routers. Aber eigentlich auch dann nicht.

 

Tust Du es dennoch, wird Dein Server nur damit beschäftigt sein, falsche Anmeldungen abzuweisen, bis die erste nicht falsch ist, und dann ist es nicht mehr Dein Server.

 

Ansonsten: Neben RDS-Rolle aktivieren, musst Du dem Server noch den zuständigen RDS-Lizenzserver und den Lizenzierungstyp mitteilen. Der Typ, falls Du kein AD hast, kann nur "per Device" sein, der Lizenzserver kann auf demselben Windows Server aktiviert sein, und dort musst Du die RDS CALs einspielen - so viele, wie es unterschiedliche Devices gibt, von denen aus Deine User zugreifen werden. Aber da gibt es eine Karenzzeit. Dass bereits jetzt immer noch zwei Sessions möglich sind, ist ein Hinweis darauf, dass - vielleicht, nur vielleicht? - Deine "User" alle lokale Admins auf dem Server sind. Das ist natürlich auch nicht zielführend. Die Gruppe der Remotedesktop-Benutzer existiert auch lokal.

 

[NorbertFe 2.104]

vor einer Stunde schrieb cj_berlin:

Du willst NICHT Port 3389 per NAT ins Internet stellen.

Und auch sonst keinen anderen Port der RDP als Protokoll dahinter stehen hat (PAT). :)

[cj_berlin 1.356]

vor 2 Minuten schrieb NorbertFe:

Und auch sonst keinen anderen Port der RDP als Protokoll dahinter stehen hat (PAT). :)

"PAT" ist das, was sein Router als "NAT" anbietet.

[NorbertFe 2.104]

Ich wollte damit zum Ausdruck bringen, dass das ändern des listening Ports am Router für Typ genauso gefährlich ist als würde man mit dem default 3389 hantieren. Port forwarding ist ja erstmal keine Port translation. 

[Lendrin 0]

Nein, kein Copy/Past.. und danke für die für mich wichtige Information!    Ich entnehme Deinen ( cj_Berlin ) Worten, dass eine VPN die sicherste und einfachste Lösung ist. Da ich mit AD nicht im geringsten Vertraut bin, ist die Lizenz für die RDS CALs "per device" wohl die Richtige. Der RDS-Lizenzserver liegt wohl in meinem Fall direkt im eigenen Server. Ich stelle mir das so vor: Ich aktiviere ihn und kann dann die von Microsoft oder einem Händler gekauften  Geräte- und Serverlizenzen eingeben. Die Gerätelizenzen erfordern wahrscheinlich die MAC-Adresse des Gerätes. 

Als User habe ich nur einen Administrator und sonst nur Windows "Benutzer". RDS ging trotzdem mit zwei Benutzern gleichzeitig.

 

Und sehe ich das richtig: Jetzt habe ich zwei RDS Zugänge ohne Lizenzen. Wenn ich zwei RDS CALs "per device" von wahrscheinlich einem Händler dazu kaufe, dann kann man in den Server mit vier Benutzern  gleichzeitig per RDS hineingehen? Also, die zwei kostenlosen Zugänge bleiben erhalten?

Ich habe mich für Windows Server 22 entschieden, weil die RDS- und Serverlizenzen günstiger im Preis waren. War das ein akzeptable Entscheidung oder wäre es doch klüger gewesen, Windows Server 2025 zu wählen? 

 

 

[Nobbyaushb 1.492]

Moin,

nein, die zwei "kostenlosen" RDP-Sessions sind ausschließlich für Administrative Zwecke

Wenn also 5 User damit arbeiten sollen brauchst du auch 5 Lizenzen

Ja, das kann/darf alles auf einen Server

[cj_berlin 1.356]

Moin,

 

RDS-Lizenzierung ist niemals "concurrent" und ist es nie gewesen, daher schrieb ich oben 

Zitat

so viele, wie es unterschiedliche Devices gibt, von denen aus Deine User zugreifen werden. 

 

Ansonsten, was @Nobbyaushb und ich auch bereits angemerkt haben - vergiss die zwei gleichzeitigen Sitzungen. Die sind für die Verwaltung des Servers und der darauf installierten Anwendungen, NICHT für die Benutzung. Andererseits, wenn ein Device lizenziert wurde (nein, nicht MAC-Adresse, die RDS-Lizenzierung funktioniert anders), können sich von diesem Device beliebige - und beliebig viele - User anmelden, Admin oder nicht.

 

Ich bin generell kein Fan von VPN, aber ALLES ist besser als RDP ungeschützt ins Internet zu stellen, also per dieser Definition auch VPN