Zum Inhalt wechseln

Willkommen Gast

Navigation

Links

   

Foto

Windows Terminalserver inkl. 5x RDP Clients - Fragen

- - - - -

  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1
cubik

cubik

    Script Kiddie

  • Premium Member
  • Likes
    26
  • 36 Beiträge
  • 40 Bedankt

Hallo Toolbase-Team!

 

Ein Freund von mir würde sich gerne einen Windows Terminalserver organisieren.

Und da sich besagter Freund mit der EDV gar nicht auskennt und ich mich mit Windows Servern und deren Aufgabe nur sehr mager, wende ich mich an die Ccommunity.

 

Kurz zum allgemeinen Aufbau.

 

Es gibt ein Büro.

Dort steht ein kleiner Server auf dem eine SQL Datenbank mit einem Warenwirtschaftsprogramm läuft.

In dem Büro gibt es 3 lokale Clients die direkt übers lokale NEtzwerk mittels Programm auf die Datenbank zugreift.

Alles wunderbar.

 

Jetzt gibt es 5 Außendienstler die eben praktisch Tag und Nacht unterwegs sind bei Kunden etc. und das selbe Programm nutzen möchten/müssen.

Die seichteste Lösung: 5 PCs mit Win 10 Pro installieren und via RDP draufverbinden. Also jeder Außendienstler hat seinen eigenen PC.

Ist noch halbwegs überschaubar. Kommen aber plötzlich 10 oder 20 Außendienstler ins Spiel wird das ganze schon etwas mühsam.

 

Fazit: Windows Terminalserver (oder bessere Ideen von euch?) muss her.

 

Habe mich bis heute aber 0.0 mit Windows Servern auseinander gesetzt.

 

Jetzt meine Frage, unanbhängig von der benötigten Hardware-Leistung des Servers: Was brauche ich genau für das "Projekt"?

 

1x den eigentlicher Tower PC inkl. einer Windows 2016 Server Lizenz (irgendeine spezielle?)

5x RDP Microsoft License für Windows Server 2016, da sich sonst nur ein oder gar kein Client zum Server verbinden kann? Liege ich damit richtig? Brauche ich sowas?

 

Ich möchte einfach einen Win 2016 Terminalserver haben wo praktisch 5 Maschinen also 5 User/Sitzungen simuliert werdne können via RDP.

Und ALLE User sollen parallel darauf arbeiten können.

 

Mir geht es schlicht drum:

Ist das richtig gedacht?

Welche Lizenzen benötige ich?

 

Kann mir da jemand helfen der schon Erfahrung damit gemacht hat :)?

 

Danke!

 

LG Cubik

 

P.S.: Bitte keine Cloudlösungen, es soll bewusst alles am Bürostandort installiert werden.

Und genauso keine Unix basierten Lösungen (zumindest aus Clientsicht nicht), da das warenwirtschaftsprogramm lediglich unter Windows läuft!



#2
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    77
  • 55 Beiträge
  • 64 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows

Hallo cubik,

der Umfang deines Projektes haengt davon ab wie du die Konfiguration gestalten willst.

 

In einem professionellen Setup wuerde man die Konfiguration folgendermaßen gestalten:

- Web Access Server (Zugang ueber ein Webportal, damit die User sich darueber verbinden koennen von extern)

- Remote Desktop Gateway (stellt die sichere Verbindung von einem externen Netzwerk ins interne Netzwerk ueber einen SSL-Tunnel her)

- Connection Broker (Lastverteilung zwischen den Session Hosts / sorgt auch fuer Redundanz)

- Lizenz Server

- mindestens 2 Remote Desktop Session Hosts (redundanz, Lastverteilung)

- ein Active Directory um die User zentral verwalten und via Gruppenrichtlinien beschraenken zu koennen

- ein Fileserver damit die Daten zentral gelagert werden

- das ganze am besten auf zwei Hypervisorn in einem Cluster-Verbund

 

Natuerlich kann man einige der oberen Rollen auch auf einem Server kombinieren um Ressourcen zu sparen.

 

Soo, da ich annehme dass es bei dir mehr ums funktionieren geht mir jedoch etwas mehr Details fehlen habe ich versucht eine passable Konfiguration fuer deine (vermutete) Situation vorzuzeigen:

- 1x Windows Server 2016 Standard Lizenz

--> auf diesem installierst du die Rollen "Remotedesktop-Sitzungshost" und "Remotedesktoplizenzierung"

--> in deinem Szenario macht nur eine Lizensierung ueber RDS Device CALs Sinn (pro Client kaufen, der sich auf die Farm verbinden moechte; also fuer 5 PCs 5x kaufen)

 

Mehr Informationen zur Lizensierung:

Please Login or Register to see this Hidden Content

 

Installationsanleitung:

Please Login or Register to see this Hidden Content

 
 
 
Alternativer Vorschlag:
Du installierst die Anwendung auf dem Tower und laesst gar keine "echten" RDP Sessions zu sondern realisierst dein Vorhaben ueber eine RemoteApp.
Das kannst du dir vorstellen wie eine RDP-Verbindung, die aber nur die Anwendung auf den Desktop des Users streamt.
Dabei haettest du kostbare Ressourcen vom Tower gespart.
 
 
 
Das Problem allerdings an beiden Setups ist, dass der RDP-Server direkt im Internet stehen muesste... was ehmm... sicherheitstechnisch sicherlich nicht so eine gute Idee ist.
Wenn du von Außendienstlern sprichst ist ein Remote Desktop Gateway eigentlich Pflicht.
 
Ich hoffe ich konnte dir weiterhelfen.
 
Mit freundlichen Gruessen
~Cyber Tjak

Bearbeitet von Cyber Tjak, 08 September 2018 - 18:41 Uhr.

  • cubik gefällt das

Posted Image

Ich bin der Stoff aus dem die Traeume sind.


Thanked by 1 Member:
cubik

#3
cubik

cubik

    Script Kiddie

  • Premium Member
  • Likes
    26
  • 36 Beiträge
  • 40 Bedankt

Danke für deinene Input :)

 

"1x Windows Server 2016 Standard Lizenz

--> auf diesem installierst du die Rollen "Remotedesktop-Sitzungshost" und "Remotedesktoplizenzierung"

--> in deinem Szenario macht nur eine Lizensierung ueber RDS Device CALs Sinn (pro Client kaufen, der sich auf die Farm verbinden moechte; also fuer 5 PCs 5x kaufen)"

 

An sowas in die RIchtung habe ich gedacht.

Ich war mir nur nicht sicher, ob hier wirklich dann 5 Geräte gleichzeitig auf dem Server arbeiten können.

Ging davin aus, dass ich zwar 5 RDP-Profile erstellen jann, aber lediglich nur ein User dann wirklich arbeiten kann.

Wenn du aber meinst, dass dies geht, kann ich mal probehalber so ein Setup einrichten und testen.

GIbt ja bestimmt irgendwelche Testlizenzen. Und im worst Case probier ichs mit cracked Versionen.

 

Stichwort Sicherheit:

Mir ist bewusst, dass es praktisch ein gefundenes Fressen ist für diverse Leute in das Netzwerk einzubrechen.

Die RDP User/Profile würden aber praktisch 0,0 Rechte bekommen.

Die Idee dient wirkich nur, den Außendienstlern die Möglichkeit zu geben im Warenwirstschaftsprogramm diverse Tätigkeiten auszuüben.

Sehr eingeschränkt, keinen Zugriff aud Backups und Windows-Rechte sind auch kaum vorhanden. WIrd so gut wie ein Gastkonto ohne irgendwelche Möglichkeiten.

So der Plan.

 

Eine Frage noch, die du mir vlt auch beantworten kannst:

Du sprichst von einer Windows Server 2016 STANDARD Version.

ich gehe davon aus, weil die Essentials (die billigere Versiion)  nicht die Möglichkeit hat "Remotedesktop-Sitzungshost" und "Remotedesktoplizenzierung" zu aktivieren?

Liege ich damit richtig?

 

Und noch was:

DIe Standard Windows Lizenz basiert nicht auf CPUs sondern auf Cores.

Das heißt, wenn die Lizenz 24 Kerne untersützt, könnte ich auch ein Mainboard mit 2 CPUs verbauen aber diese dürfen maximal bis zu 24 Kerne aufweisen?

Weißt du ob hier die Rede von phsyischen Kernen ist, oder auch virtuelle Kerne einberechnet sind?

 

Danke im Vorraus! :)
 

LG



#4
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    77
  • 55 Beiträge
  • 64 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows
Ich war mir nur nicht sicher, ob hier wirklich dann 5 Geräte gleichzeitig auf dem Server arbeiten können.
Ging davin aus, dass ich zwar 5 RDP-Profile erstellen jann, aber lediglich nur ein User dann wirklich arbeite
 
Ich weiß leider nicht was du mit RDP-Profilen meinst, allerdings ist Microsoft's RDS Loesung exakt fuer derartige Zwecke gedacht.
 

Wenn du aber meinst, dass dies geht, kann ich mal probehalber so ein Setup einrichten und testen.

GIbt ja bestimmt irgendwelche Testlizenzen. Und im worst Case probier ichs mit cracked Versionen.

 

Die Lizensierungsfrist betraegt 120 Tage, kannst sogar die Umgebung waehrend dieser Frist auch ohne Lizenz-Server/Rolle betreiben kannst. Gibt im Technet sogar ein Script um den Counter zu resetten fuer Development-Zwecke, habe es aber nie getestet: 

Please Login or Register to see this Hidden Content

 

 

Stichwort Sicherheit:

Mir ist bewusst, dass es praktisch ein gefundenes Fressen ist für diverse Leute in das Netzwerk einzubrechen.
Die RDP User/Profile würden aber praktisch 0,0 Rechte bekommen.
Die Idee dient wirkich nur, den Außendienstlern die Möglichkeit zu geben im Warenwirstschaftsprogramm diverse Tätigkeiten auszuüben.
Sehr eingeschränkt, keinen Zugriff aud Backups und Windows-Rechte sind auch kaum vorhanden. WIrd so gut wie ein Gastkonto ohne irgendwelche Möglichkeiten.
So der Plan.

 

Nehmen wir mal an du hast ein perfektes Setup mit AppLocker, Ueberpruefung auf Signatur und co. und laesst via Policy nur alleine deine Anwendung ausfuehren, waehrenddessen sind jegliche Shells, Zugriff auf Explorer etc. verboten.

 

Ich als Angreifer koennte mir schoen aus der folgenden Liste AppLocker bypassen:

Please Login or Register to see this Hidden Content

 

Da du die Shell blockiert hast ueber eine DLL eine MS-signierte PowerShell-Instanz starten ohne dass das OS bemerkt dass es sich um die PowerShell handelt: 

Please Login or Register to see this Hidden Content

 

Ueber die Shell den aktuellen ALPC Local Privilege Escalation Bug verwenden und mir SYSTEM Rechte gewaehren:

Please Login or Register to see this Hidden Content

 

Damit kann ich sowohl eine Reverse Shell spawnen als auch mich weiter in deinem Netzwerk durchhangeln.

 

Sobald eine Kopplung ins interne Netzwerk vorhanden ist gibt es immer einen Weg.

Ich waere da vorsichtig und wuerde hier netzwerktechnisch hart trennen, die Entscheidung bleibt aber dir ueberlassen.

 

Du sprichst von einer Windows Server 2016 STANDARD Version.

ich gehe davon aus, weil die Essentials (die billigere Versiion)  nicht die Möglichkeit hat "Remotedesktop-Sitzungshost" und "Remotedesktoplizenzierung" zu aktivieren?
Liege ich damit richtig?

 

Korrekt. Falls dich die Hintergruende interessieren gibt es an dieser Stelle ein ziemlich gutes Write-Up zum Thema: 

Please Login or Register to see this Hidden Content

 

 

DIe Standard Windows Lizenz basiert nicht auf CPUs sondern auf Cores.

Das heißt, wenn die Lizenz 24 Kerne untersützt, könnte ich auch ein Mainboard mit 2 CPUs verbauen aber diese dürfen maximal bis zu 24 Kerne aufweisen?
Weißt du ob hier die Rede von phsyischen Kernen ist, oder auch virtuelle Kerne einberechnet sind?

 

Die Lizensierung von Server 2016 ist eigentlich ziemlich simpel:

1.) Jeder zu lizensierende Server muss mit 16 Kernen berechnet werden (daher ist auch die kleinste Basis-Lizenz fuer 16 Cores ausgelegt)

2.) für jede physische CPU werden 8 Core Lizenzen benoetigt

3.) virtuelle Cores wie Hyperthreading fließen nicht in die Kalkulation mit ein

 

Fuer deinen Fall dass du dir eine 24 Core Lizenz besorgst wuerde das heißen:

- 1x 24 Core CPU

ODER

- 2x 12 Core CPU

ODER

- alles was darunter liegt

 

Mehr Infos zum Thema Server 2016 Lizensierung gibt's im MS Datasheet:

Please Login or Register to see this Hidden Content

 

Mit freundlichen Gruessen

~Cyber Tjak


Bearbeitet von Cyber Tjak, 09 September 2018 - 05:05 Uhr.

  • cubik gefällt das

Posted Image

Ich bin der Stoff aus dem die Traeume sind.


Thanked by 1 Member:
cubik

#5
cubik

cubik

    Script Kiddie

  • Premium Member
  • Likes
    26
  • 36 Beiträge
  • 40 Bedankt

Mit RDP-Profilen meinte ich einfach die RDP BenutzerLogins.

Also schlicht weg die Windows Profile.

War blöd ausgedrückt.

 

Jeder User sollte ja andere Login Daten bekommen.

 

Kommt mir gerade noch eine Frage:

Das Buchhaltungsprogramm auf dem die User dann via Remote eben darauf arbeiten sollen ist lizenztechnisch auf ein Gerät ausgelegt.

Jetzt kaufe ich mir aber 5 User Cals als Zusatzlizenz zum Server.

Weißt du zufällig ob damit dann hier auch 5 Lizenzen für das Programm notwendig werden?

Wenn wir mal davon ausgehen, dass besagtes Programm mit einer HWID oder irgendeiner Art Fingerprint Methode unabhängig vom Windows Profil arbeitet.

Funktioniert die Proful/Userberwaltung unter Windows anderes als auf den Clientlizenzen "Home/Pro"?

 

 

Und zu deinem Sicherheitshinweis:

Mir ist bewusst, dass es immer einen Weg reingibt.

Mach mir hier aber weniger Sorgen. Eventuell naiv aber grob gesagt nicht mein Bier.

Die Entscheidung steht nämlich schon fest. Das Unternehmen welches das ganze hier eben umsetzen möchte hat eigene Sicherheitsstandards.

Wenn was nicht passen sollte "fixxen" die das selbst bzw. lassen  das fixxen.

Könnte man dennoch das ganze etwas absichern. Also simple Methoden meine ich?

Irgendeinen Tipp. Rein aus Interesse, oder was ich weiterreichen könnte.

 

LG


Bearbeitet von cubik, 09 September 2018 - 09:26 Uhr.


#6
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    77
  • 55 Beiträge
  • 64 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows

Das Buchhaltungsprogramm auf dem die User dann via Remote eben darauf arbeiten sollen ist lizenztechnisch auf ein Gerät ausgelegt.

[...]

Weißt du zufällig ob damit dann hier auch 5 Lizenzen für das Programm notwendig werden?

Wenn wir mal davon ausgehen, dass besagtes Programm mit einer HWID oder irgendeiner Art Fingerprint Methode unabhängig vom Windows Profil arbeitet.

 

Technisch gesehen ist unter den Bedingungen nur eine Lizenz notwendig.

Rechtlich gesehen bieten viele Hersteller Terminal Server Editionen ihrer Software an, da waere sowas notwendig.

 

Jetzt kaufe ich mir aber 5 User Cals als Zusatzlizenz zum Server.

Das tust du bitte nicht. RDS Device CALs kaufen!

 

Funktioniert die Proful/Userberwaltung unter Windows anderes als auf den Clientlizenzen "Home/Pro"?

Eigentlich nicht, du hast aber Moeglichkeiten die Profileinstellungen nach deinen Beduerfnissen anzupassen.

Kannst beispielsweise einzelne Verzeichnisse auslagern oder sogar das komplette Profil in eine VHDX-Datei packen lassen (UserProfileDisk).

 

Könnte man dennoch das ganze etwas absichern. Also simple Methoden meine ich?

Der Standard Kram.

Komplexe Kennwoerter verwenden, regelmaessig Updates einspielen, User soweit einschraenken wie nur moeglich und einen Administrator haben der Ahnung hat was er da tut.

 

Es vernuenftig zu tun ist aber auch nicht sonderlich kompliziert, just my 2 cents.

Koennt ja beispielsweise eure externen Dienstleister einen VPN in ein dediziertes TSFarm Netzwerk aufbauen lassen, so dass die Server nicht im Internet stehen muessen.


Bearbeitet von Cyber Tjak, 09 September 2018 - 15:33 Uhr.

  • cubik gefällt das

Posted Image

Ich bin der Stoff aus dem die Traeume sind.


Thanked by 1 Member:
cubik

#7
cubik

cubik

    Script Kiddie

  • Premium Member
  • Likes
    26
  • 36 Beiträge
  • 40 Bedankt

Device Cals. Danke!^^

 

Etwas viel Stuff hier und komm durcheinander.

An einem VPn dachte ich mittlerweile auch schon.

Sowas nutzt ein Freund in seiner Arbeitsstelle.

 

Von außen gesehen müsste man sich somit zuerst zum VPN verbinden und erst dann ist eine RDP Verbinung zum Gerät möglich.

Korrekt?

 

LG





  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen: 1

Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0


Dieses Thema wurde von 21 Mitglied(ern) gelesen


    Avni, Ch!ller, Croco, cubik, Cyber Tjak, DeepWater, desmond, funstyler, gr33d, hacked, Henry Dorsett, lolorollo, matrix567, mesagio, mettbrot, Netstat, nibble nibble, nischke, PadX18, shok0, Zerobyte
-->
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.