Über den Author / Internet / Server / Terminalserver mit AD auf Windows 2008 R2

Terminalserver mit AD auf Windows 2008 R2

~2 Min. Lesezeit

Eigentlich wollte ich gewisse Applikationen von überall im Internet zugreifen können ohne Probleme.

Da ich nicht auf ein Remote Desktop verbinden möchte um die Applikation zu starten, sondern am liebsten nur die Applikation selbst starten (seamless genannt) musste ein Terminalserver her.

Auch möchte ich ein Web Gateway einrichten, falls ich mal an einem Ort mit Firewall bin, dennoch auf die Applikation komme.

Windows 2008 R2 wurde flink installiert.
In den Rollen aktivieren wir die Punkte auf dem Bild. Es ist möglich das mehrere Neustarts nötig sind um alle Rollen zu installieren. Auch wird abgeraten von Active Directory und Terminalserver auf dem ein und dem selben Server zu installieren. Da ich nicht mehrere wollte, installierte ich dies auf dem gleichen Server!

Ist Alles installiert, erstellen wir ein brauchbares Zertifikat. Dazu müssen wir uns überlegen auf welcher Domain/URL der Webserivce und Server am Ende erreichbar sein sollte.

Ich habe dazu „ts.testserver“ genommen. Im RD Gateway Manager klicken wir auf den Server und öffnen die Properties und wechseln zum Tab SSL Certificate. Wichtig ist das beim Name der Domainname angegeben wird!

Anschliessend gehen wir zum RemoteApp Manager und ändern auch dort die Digitale Signature auf das neue Zertifikat.

Auch im ISS unter den SSL Settings muss das entsprechende Zertifikat noch ausgewählt werden.

In diesem Manager erstellen wir auch gleich die Applikationen welche freigegeben werden sollten. Dies ist sehr einfach und sollte keinerlei Probleme bereiten.

Da auf dem Server Terminalserver und auch das AD installiert ist, sind die RDP rechte eingeschränkt auf Administratoren. Dies ist in meinem Fall störend.

Dazu starten wir das Group Policy Management und passen 2 Mal die Rechte an. Bei den Gruppen (4 Stk) muss mindestens „Administrators und Terminalserver“ eingetragen sein.
Ist das gemacht, gehen wir unter Ausführen und starten die CMD mit Administratorenrechten und updaten die GPO mit:

gpupdate /FORCE

Ist dies gemacht, müssen wir nur noch unsere User erstellen die auf den TS Zugriffe haben sollten und diese in die Gruppe Domain Users, Remote Desctop Users, Terminalserver legen.

Nun war nur noch ein kleineres Problem da. Die User können dann nicht nur die Apps starten, sondern sich auch auf dem Desktop per RDP direkt einloggen. Dies wollte ich nicht, also habe ich kurzerhand in die Trickkiste gegriffen.

Dazu erstellte ich ein Logon Skript login.bat in folgendem Verzeichnis:

C:\Windows\SYSVOL\sysvol\DEINEAD\scripts

mit dem Inhalt:

if /I "%USERNAME%" == "Administrator" GOTO ENDE
tasklist /FI "SESSIONNAME eq %SESSIONNAME%"  /FI "IMAGENAME eq explorer.exe" > %APPDATA%\tasklist.txt
for /f "Tokens=3,*" %%a in ('find /I /C "No tasks" %APPDATA%\tasklist.txt') do (
	If "%%a" == "0" (
		cd\
		cd "%systemroot%"\
		cd system32
		logoff.exe
	)
)
:ENDE

Beim User muss dann beim Logonscript nur noch Login.bat hinterlegt werden und nach dem Anmelden wird er gleich wieder abgemeldet ohne das er dies umgehen kann. RemoteApps kann er weiterhin nutzen.

PS: Das Ganze kann man mit Testlizenzen aufbauen und auch 120 Tage betreiben.

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Microsofts Mail-Sperre aufheben

~1 Min. LesezeitMicrosoft bannt im Moment einige IP Bereiche, weil von vereinzelten IP Adressen Spam …

Mailversand über mehrere IP Adressen per Postfix

~0 Min. LesezeitEin Linux System kann den Mailversand über mehrere IP Adressen managen. Dies hat …

7 Kommentare

  1. avatar

    Hallo,

    nur Kommentar oder auch Fragen möglich:
    ich bin ein Anfänger, was ist der Zusammenhang zw. Terminalserver, Aktive Direktory und Remotdesktop?

    Danke

  2. avatar

    Active Directory ist die Verwaltung von Servern und Client in einer Firma. Dieser Server steuert alles, von Berechtigungen und Einstellungen etc.
    Remote Desctop ist eine Art und Weise den Desctop von Servern in der Ferne anzuschauen und zu steuern, ohne am Server selbst zu sitzen.
    Terminalserver hier holt man nicht nur ein Desctop in die Ferne, sondern auch einzelne Programme, welche auf einem PC angezeigt werden als ob diese „lokal“ gestartet werden, auch wenn diese in Wirklichkeit auf dem Server installiert und ausgeführt werden. Auch dies funktioniert über das Remote Desctop Internet Protokoll.

    Dies sind 3 verschiedene Dinge. Hierbei jedoch sollte der Terminalserver normalerweise von der AD getrennt sein, bezüglich gewissen Sicherheitsaspekten. Aber nicht jeder will 2 Server installieren für ein wenig TS Funktionalität. Ein TS Server benötigt aber eine AD um zu funktionieren. Daher installierte ich bei der anleitung alles auf einen Server.

  3. avatar

    Hallo noch mal,

    ich versuche zu verstehen wie ein Netzwerk funktioniert, Exchange-Server, Eingang/Ausgang-Server, Was ist MetaDir, IP-Adressen, virtuelle Maschine….
    welche Tip, Empfehlung kannst du mir geben?

    Danke

  4. avatar

    Hallo, nicht mehr da?

  5. avatar

    Hi Azy

    Ich kann nicht innerhalb von 2 Stunden ein komplettes Microsoft Netzwerk und alle Komponenten erklären. Hierzu musst Du wie ich und viele andere auch entweder Bücher kaufen oder Lern-Videos schauen.
    Alles was Du benötigst bezüglich Beitrag ist vorhanden.

    Daher möchte ich nicht weiter darauf eingehen.
    Grüsse Stefan

  6. avatar

    Danke schön

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg