Domain Server + Terminal Server auf einem Server ausführen

[phatair 39]

Hallo zusammen,

 

wir wollen demnächst einen neuen (unseren 1.) Server anschaffen. Da dieser Server als Domain Server fungieren sollen und wir auch einen Terminal Server nutzen möchten, stellt sich die Frage ob wir diese beiden zusammen auf dem Server laufen lassen können/dürfen/sollten.

 

Da wir noch gar keinen Server haben, kommen wir um einen Domain Server nicht rum. Es wäre nun doch von Vorteil wenn man diesen auch als Terminal Server nutzen könnte. Oder ist es zwingend notwendig dafür einen 2. Server zu kaufen?

 

Es handelt sich um ein kleines Unternehmen, rund 5 User und den Terminal Server wird höchst wahrscheinlich erstmal nur 1-2 User nutzen.

 

Ich wäre für einen Lösungsvorschlag sehr dankbar.

Danke und Gruß,

Steffen

[Dr.Melzer 191]

Auf dem Domaincontroller sollte aus Sicherheitsüberlegungen heraus kein TS ausgeführt werden.

 

Besser wäre es ihr nehmt einen SBS für die Domäne und dazu einen Server 2008 für den TS.

[phatair 39]

Hi Dr.Melzer,

 

das bedeutet also, dass es keine Möglichkeit gibt diese beiden "Server" unter einen Hut zu bekommen? Da der SBS ja schon eine recht hohe Hardware Anforderung hat und man dann noch für den TS einen 2. Server bräuchte, würde dies die Kosten sehr in die Höhe treiben.

 

Budget sind ca. 5000€ und da denke ich wird es schwer 2 Server + 2 OS zu bekommen. oder sehe ich das vielleicht falsch? Da im Moment nur der TS für das Warenwirtschaftssystem gebraucht wird, ist aber die Performance des Servers nicht ganz so wichtig.

[carlito 10]

Besser wäre es ihr nehmt einen SBS für die Domäne und dazu einen Server 2008 für den TS.

 

Dafür empfiehlt sich SBS 2008 Premium Edition bzw. SBS 2011 mit Premium Add-On.

[RobDust 11]

Wir hatten seit der Version Windows 2000 Server - Version 2008 immer alles auf einem Server. (dann erst auf 2 Server gewechselt, weil wir die Mitarbeiterzahl aufstocken).

 

Acht jahre lang hatten wir beides auf einer Maschine! ca. 15 User. immer wieder wechselnde Praktikanten und auch Mitarbeiter. Wenn du alles richtig absicherst gibt es überhaupt keine Probleme damit! Technisch ist es 100% möglich. Auch Lizenztechnisch ist es auch okay es so zu nutzen.

 

1 Grund meiner Meinung nach der dagen spricht. -> Performance. (Weil der Server beides Verwalten muss)... sollte in der heutigen Zeit aber kein Problem mehr sein.

 

@Dr. Melzer

Welche Sicherheitsüberlegungen im Detail meinst du?

 

man kann alles per Gruppenrichtlinien verbieten.

Die User hatten bei uns nur Zugriff auf ein NAS Netzlaufwerk.

alle Lokalen Laufwerke waren ausgeblendet und verboten (dafür gibts hier im Forum auch ne Anleitung.)

Die Hilfe-Systemsteuerung-Netzwerkeinstellungen alles verboten

 

man kann es so einrichten, dass der 08-15 User nur die Netzlaufwerkverknpüfung auf dem Desktop sieht.

und im Startmenü ein Abmelden Button hat. Alles andere Weggeblendet. Da habe ich keine Sicherheitsüberlegungen...

 

Kann auch gerne Screenshots reinstellen. der Alte Server ist noch in "Betrieb". Oder komm selber rum und überzeug dich :-)

[phatair 39]

Danke RobDust,

 

das gleiche Problem haben wir eben auch. Bei der User Anzahl sind 2 Server schon recht happig und somit wäre es eben super wenn man beides auf 1 Server laufen lassen könnte.

 

Wir haben eben nur 5 User und wie shcon erwähnt würden davon vielleicht 2 per Terminal Server arbeiten (vor allem aber der Chef). Wenn man nun die Accounts so beschränken kann, dass es eigentlich keine Sicherheitsbedenken gibt, wäre mir das sehr lieb.

 

Natürlich möchte ich aber auch keine "Sicherheitslöcher" im System haben, aber es wäre schon schön wenn man für die Situation eine gute Lösung finden könnte.

 

P.s. RobDust, vielleicht könntest du mir ja ein paar Tips geben, falls wir dies mit der 1 Server Lösung machen :)

[Dukel 454]

Wenn 2x Hardware zu viel ist kann man virtualisieren.

 

Zwar immer noch nicht optimal, und kostet immer noch 2x das OS aber besser als ales auf eine Installation.

[RobDust 11]

Halloa,

 

für 2 User wären 2 Server wirklich sehr sehr heftig.

 

:-)

 

 

Der Chef soll sich anmelden... ja vielleicht findet er ja eine Sicherheitslücke, die ich in jahrelanger Erfahrung und selbstversuchen nicht gefunden habe.

und womöglich hackt er den Server und schießt ihn ab, dass du den neu installieren musst.... *ironie Ende*

[RobDust 11]

@Dukel warum besser?

[Dukel 454]

Weil man keinen TS auf einen AD Server installiert! Manche Dienste ist es ok zusammen auf eine Maschine zu machen, aber ich würde NIE einen TS auf dem sich User anmelden auf einem AD Server installieren.

[RobDust 11]

Ja nenn mir mal bitte einen konkretes Fall warum du es nicht machen würdest?

oder weißt du es selber nicht? weil du immer irgendwo gelesen hast, das es schlecht ist... aber gar nicht selber es getestet hast?

 

wie gesagt... wir hatten es von der Version 2000-2008 so laufen. NIE Probleme gehabt.

 

 

Stell dir vor du müsstest deinen Kunden überzeugen?

Was ist dein Argument?

 

"ich würde es nie so machen?"

 

mehr kann ich aus deine posting nicht entnehmen...

[phatair 39]

Also ich kann ja irgendwo beide Gedanken verstehen. Allerdings stellt sich bei mir die Frage, wenn ich den Terminal Server einrichte gebe ich doch dem User der sich "aufschalten" kann auch Rechte.

Da ich dem User keine admin Rechte geben werde, kann er ja von daher schon nicht die komplette AD zerstören. Da es dann auch noch der Chef ist der sich aufschaltet, wird wohl auch er nicht umbedngt interesse daran haben seinen eigenen Server zu verpfuschen.

Wenn man dann noch die Oberfläche so minimal halte kann, wie RobDust dies erwähnt hat, ist das doch eingentlich eine ganz elegante Lösung bis man sich einen 2. Server leisten kann.

 

Wenn ich virtualisiere, dann brauch ich ja auch wieder einen deutlich stärkeren Server und 2x das OS.

 

Sehe ich das wirklcih so komplett falsch?

[RobDust 11]

richtig... diesen Ansatz habe ich genau so verfolgt.

 

Der User kommt ja 1. Gar nicht ran an die AD. Weil ja die Oberfläche so minimal ist.

Wie gesagt, netzlaufwerk. evt. Office Verknpüfung oder sonstige Programme... aufm Desktop.

und Rest gesperrt. Laufwerke kann man sperren/ausblenden beides.

Für eine kleine Bürogemeinschaft. wo man sich keinen zweiten Server leisten kann. ist diese Lösung perfekt.

[phatair 39]

Es ist da wirklich schwierig, da es dazu anscheinend keine eindeutige Aussage gibt. Aber ich sehe das irgendwo so wie RobDust.

 

Eine kurze Frage zum Server selber. Ist Thomas-Krenn eine gute Anlaufstelle? Von der Auswal und dem Preis/Leistungsverhältnis fand ich das ganz gut.

[zahni 554]

Keine eindeutige Aussage ?

 

Kurz mal gegoogelt:

 

Terminal Server Best practices: Terminal Services

 

Ist zwar für eine "alte" Windows-Version, hat sich aber im Prinzip nicht geändert:

 

Install Terminal Server on a standalone server and not on a domain controller.

 

Installing Terminal Server on a domain controller can affect the performance of the server because of the additional memory, network traffic, and processor time required to perform the tasks of a domain controller in a domain.