Terminal-Server - Infrastruktur und Software

nohbuddi

New Member
Hallo und einen guten Morgen zusammen!

Nach einigem hin- und her bin ich schließlich hier gelandet und habe auch einige gute Ansätze zu meinen Fragen gefunden, die aber dann doch etwas älter waren und ich daher aktuell nachfrage.

Es geht sich darum, dass ich bei meinem Vater einen VM-Host (ESXi) stehen habe, auf welchem seit mehreren Jahren ein "ausgemusterter" PC virtualisiert wurde. Ich habe diese Lösung damals für die Beste gehalten, da in dieser VM proprietäre Software für die Firma betrieben wird, welche bei Neueinrichtung entsprechend großer Planung und weitem Vorlauf bedarf (Hersteller der Software, eine "kleine" Softwareschmiede, benötigt Zugang zum Einrichten; System fällt somit möglicherweise länger aus usw.). Nun ist die Software aber entsprechend veraltet und sollte ohnehin geupgradet werden, sodass ich nunmehr einen kompletten Kahlschlag machen möchte. Bedeutet: saubere, frische VM, eventuelle Anpassungen im Netzwerk (Sicherheit) sowie erneutes durchdenken der Backups.

Jetzt stehe ich aber vor dem Problem der Machbarkeit bzw. was ich am besten machen sollte. Seit jeher hat mich das Thema "Terminal-Server" sehr interessiert, ich hatte aber nie wirklich eine Hand dran (was aber nicht so bleiben muss!). Den Vorteil, den ich habe, ist, dass ich eben testen kann und die Produktivumgebung erst umschwenke, wenn die neue Lösung läuft. Und daher suche ich hier nach euren Meinungen bzw. eurem Rat. Möglicherweise hat sich jemand schon einmal selbst diesem Problem angenommen und kann mir von etwaigen Fallstricken oder anderen Problemen berichten.

Genutzt werden soll die Infrastruktur von mindestens 3 Personen, die sich aber praktisch von jedem Client (auch von außen) einwählen können und jeweils ihren eigenen Desktop mitsamt ihrer Daten auffinden. Weiterhin möchte ich das System "Energie-Effizient" aufbauen, weshalb ich mit Endgeräten, wie beispielsweise Thin-Clients oder Laptops liebäugle). Ungerne und ebenfalls aus Lizenzkostengründen würde ich hier vollwertige Rechner einsetzen müssen, zumal ich hier auch nicht weiß, wie es Lizenzrechtlich mit Windows10 aussieht, wenn ich zu einem Server via RDP eine Verbindung aufbauen möchte.


Aktueller Aufbau (in der Tat ziemlich spartanisch, funktioniert aber alles):

- Hauptserver (VM)
- Thin-Client zum Verbinden zur VM (Client besitzt kein richtiges Betriebsystem, stellt aber Verbindung via RDP zur VM her)
- NAS vor Ort (Backup) <VPN> NAS bei mir Zuhause (inkrementelles Backup vom Backup)
- Unkonfigurierter aber VLAN-fähiger Gigabit-Switch
- VPN-Server (aktuell noch Hardware) für Zugriffe von außen

>Alles befindet sich im gleichen Subnetz wie die restlichen Geräte im Haus auch (TV, AP ..)


Wo ich hin möchte:

- Terminal-Server (VM)
- Mindestens 2 Thin-Clients, ein Laptop (Intra- & Internet), ein Tablet (iPad, Intra- & Internet) sowie ein weiterer Laptop (Internet, Home-Office)
- NAS vor Ort <VPN> NAS bei mir plus eventuelle USB-HDD, die BEWUSST ein- und ausgeschaltet wird (Langzeit-Datengrab, aber anderes Thema)
- Eigenes VLAN, wo sich nur die obige Infrastruktur drin befindet mit einer Firewall ins das darüberliegende Netzwerk und eigenem DHCP (der mir bei Erkennung einer unbekannten, neuen MAC sofort eine Mail schickt..)
- Dazu bekommen die AP's (Cisco WAP121) ein diesem VLAN zugeordnetes, weiteres WLAN
- VPN-Server (OpenVPN oder WireGurad..(?)) als eigenständige VM


Zwischenfrage: macht das so Sinn oder denke ich hier gegen eine Wand? Gibt es noch andere Lösungen bezüglich der Tatsache, dass die Nutzer ihren Desktop samt Daten "mitnehmen" möchten?

Weiterhin muss ich in diesem Falle wissen, was ich alles an Betriebsystemen und Lizenzen benötige.
Alleine die Tatsache, dass man eben den RDS-Server (sollte es hier drüber realisiert werden) NICHT in der gleichen Maschine betreiben sollte, wie den AD-Controller, lässt mich wieder gedanklich gegen "diese Wand" laufen (Juhuu, zwei Windows-Server.. Kostet ja nichts ..). Ich benötige keine Domäne, der RDS will aber laut Doku zwingend eine haben. Eine Workgroup würde mir hier vollkommen reichen. Es sind im Schnitt 3 Personen, die hier gleichzeitig arbeiten..

Und bevor ich jetzt hier Geld zum Fenster rauswerfe, nur weil ich eventuell einen Denkfehler hatte oder eben vor lauter Möglichkeiten dran vorbei denke und gegebenenfalls sogar einen Layer-8-Fehler provoziere, bitte ich einmal um eure Sichtweise.

Danke und euch einen angenehmen Tag!

mfg_nohbuddi.
 

d4f

Kaffee? Wo?
weshalb ich mit Endgeräten, wie beispielsweise Thin-Clients oder Laptops liebäugle
Meines Erachtens hast du mit Endgeräten wie HDMI-fähigen Tablets (egal ob Android, iPad, Windows ARM/x86) oder Laptops ein besseres Nutzungsszenario als mit echten Thin-Clients. Die Geräte sind einfach sehr flexibel und an ändernde Umgebungen anpassbar oder mit kleinen Anpassungen von überall zugriffsfähig.

Bei Laptops würde ich darauf achten dass sie dock-fähig sind. Bei einigen Hersteller kann man auch recht günstig auch vernünftige Supportverträge mit Ersatzteillieferung per UPS-Overnight oder inhouse-Support kriegen je nachdem wie kritisch Ausfälle sind. Da es sich um Clients für Remotedesktop handelt würde natürlich der Gang zum nächsten Saturn auch aushelfen können.

Gibt es noch andere Lösungen bezüglich der Tatsache, dass die Nutzer ihren Desktop samt Daten "mitnehmen" möchten?
Es gibt immer Lösungen, wie Sand am Meer. Welche für dich passend ist, ist die Millionen-Frage ;)
Klassisch gibt es im Windows-Umfeld die deutlich simplere/flexiblere AD-DC Lösung mit Roamingprofilen und VPN für Fernzugriff.
Vorteil ist ganz sicher dass die Applikation lokal läuft - BEEEP - geht hier ja nicht... oder doch? Muss der ganze Desktop "gestreamt" von einem zentralen Server gestreamt werden oder etwa nur diese eine Applikation? Letzteres kann per Remote Desktop schön in einen bestehenden Desktop integriert werden was die Reaktivität der anderen Applikationen deutlich verbessert und auch die Ressourcenlast auf dem Server einfacher planbar und günstiger ausfallen lassen sollte.

NAS vor Ort <VPN> NAS bei mir plus eventuelle USB-HDD, die BEWUSST ein- und ausgeschaltet wird
Bitte mindestens 2, besser 3 Festplatten, sonst hast du einen Punkt wo es kein offline Backup gibt. Bestenfalls jeweils eine Platte zwischen Firma und deinem Standort (etwas "paranoider": deinem Standort und einem Bankschliessfach) rotieren. Immer relevanter heutzutage ist auch dass die Backups danach (getrenntes System) zumindest stichprobenartig validiert werden um klügere Ransomware zu vereiteln.

Eigenes VLAN, wo sich nur die obige Infrastruktur drin befindet mit einer Firewall ins das darüberliegende Netzwerk
Ich würde eher ein getrenntes VLAN für Server-Infrastruktur (mit sehr strikter Überwachung) und eins für Client-Infrastruktur aufbauen.
Du scheinst sehr viel Aufwand aktuell in physische Sicherheit zu investieren, bitte prüfe ob das Konzept für digitale Sicherheit mindestens genau so streng ist - schliesslich ist es das üblichste Einfalltor. Layer2-Isolation aller Clients mit Firewall-Routing (bspw Sophos UTM oder pfSense) wäre bei überdurchschnittlicher Sicherheitsanforderung sehr sinnvoll, beachte aber dass DNS-/HTTPS-Filter/SMTP-Gateways wiederum DSGVO-Bedenken auf den Tisch bringen.

Alleine die Tatsache, dass man eben den RDS-Server (sollte es hier drüber realisiert werden) NICHT in der gleichen Maschine betreiben sollte
Meines Wissens braucht man auch bei aktuellen Windows-Server Varianten keinen AD für Terminal Server. Ob AD für 3 Nutzer wirklich sinnvoll ist, musst du also entscheiden, oder ob du das AD nicht doch auf der gleichen Machine laufen willst, oder einen Samba AD betreiben willst, oder oder oder ;)

VPN-Server (OpenVPN oder WireGurad..(?)) als eigenständige VM
Falls du den Weg einer Firewall gehen willst wie oben beschrieben, diese implementieren generell VPN Clientzugriff. Vereinfacht dahingehend also die Infrastruktur etwas.



Zu den Windows Lizenzen muss dir jemand anders helfen, ich bin dahingehend recht unerfahren :)
 

nohbuddi

New Member
Hallo und ein großes Dankeschön für die sehr ausführliche Antwort!

Dahingehend möchte ich gerne meine Gedanken zu deinem Geschriebenen äußern- damit wir möglichts auf dem gleichen Stand sind:


Meines Erachtens hast du mit Endgeräten wie HDMI-fähigen Tablets (egal ob Android, iPad, Windows ARM/x86) oder Laptops ein besseres Nutzungsszenario als mit echten Thin-Clients. Die Geräte sind einfach sehr flexibel und an ändernde Umgebungen anpassbar oder mit kleinen Anpassungen von überall zugriffsfähig.

Das ist korrekt, gerade Mobilgeräte sind prädestiniert dafür, Energie-Effizient zu sein. Dies ist auch der ursprüngliche Plan gewesen. Bisher existieren mehrere Endgeräte - darunter eben ein reiner Thin-Client, ein handelsüblicher Laptop sowie ein iPad mit passendem Tastatur-Dock. Das bestätigt insofern meine Annahme, dass die eingeschlagene Richtung schonmal nicht verkehrt ist.

Bei Laptops würde ich darauf achten dass sie dock-fähig sind. Bei einigen Hersteller kann man auch recht günstig auch vernünftige Supportverträge mit Ersatzteillieferung per UPS-Overnight oder inhouse-Support kriegen je nachdem wie kritisch Ausfälle sind. Da es sich um Clients für Remotedesktop handelt würde natürlich der Gang zum nächsten Saturn auch aushelfen können.

Genau wie Du es schreibst, reicht ein 0-8-15-Laptop vollkommen aus. Wenn der mal kaputt gehen sollte, ist relativ schnell Ausweichhardware nutzbar, die dann lediglich parametriert werden muss.

Es gibt immer Lösungen, wie Sand am Meer. Welche für dich passend ist, ist die Millionen-Frage ;)
Klassisch gibt es im Windows-Umfeld die deutlich simplere/flexiblere AD-DC Lösung mit Roamingprofilen und VPN für Fernzugriff.
Vorteil ist ganz sicher dass die Applikation lokal läuft - BEEEP - geht hier ja nicht... oder doch? Muss der ganze Desktop "gestreamt" von einem zentralen Server gestreamt werden oder etwa nur diese eine Applikation? Letzteres kann per Remote Desktop schön in einen bestehenden Desktop integriert werden was die Reaktivität der anderen Applikationen deutlich verbessert und auch die Ressourcenlast auf dem Server einfacher planbar und günstiger ausfallen lassen sollte.

Das wäre eine Option. Was aber eben wichtig ist, dass man seinen Desktop- mit allen gerade laufenden Progammen natlos direkt auf ein anderes Gerät umleiten kann. Werden also beispielsweise bei einem Kunden mit dem iPad Notizen gemacht, wäre es von Vorteil, sich nach Ankunft in der Firma an einem anderen Endpunkt anzumelden und exakt dort weiterzumachen, wo man aufgehört hat - ohne im Kopf haben zu müssen, welche Tabs im Browser offen waren, wo die Notizen gespeichert oder aber gar, welche Punkte gerade in dem proprietären, speziell auf den Betrieb angepassen Programm bearbeitet wurden. Meines Erachtens quasi genau das (seitens Microsoft nicht erlaubte) Verhalten, wie wenn man -einmal angenommen- eine reguläre Windows-10-Maschine via RDP mit nur einem Nutzer benutzen würde. Der Server ist zwar nicht der aktuellste, sollte aber meiner Erachtens locker mindestens 40 Nutzer gleichzeitig bedienen können, würde ich das denn überhaupt wollen.

Etwas offtopic: einen identischen Server habe ich nochmals bei mir stehen und parallel via ESXi 7 VM's laufen. Selbst der Freizeit-Test mit mehreren parallelbetriebenen Spiele-Servern und einigen Spielern hat diesen nicht annähernd belastet. Ob sich diese Erfahrung allerdings auf meine Lösung anwenden lässt, steht auf einem anderen Blatt.

Bitte mindestens 2, besser 3 Festplatten, sonst hast du einen Punkt wo es kein offline Backup gibt. Bestenfalls jeweils eine Platte zwischen Firma und deinem Standort (etwas "paranoider": deinem Standort und einem Bankschliessfach) rotieren. Immer relevanter heutzutage ist auch dass die Backups danach (getrenntes System) zumindest stichprobenartig validiert werden um klügere Ransomware zu vereiteln.

Aktuell werden zwei 2-Bay-NAS'se verwendet, welche ebenfalls jeweils im RAID1 konfiguiert sind. Weitere NAS'se sind zwar vorhanden, werden aber aktuell nur für private Zwecke genutzt. Sicherlich lässt sich noch eins dieser NAS'se an einem dritten Standort platzieren, welches dann mit im Bund hängt und jeweils eigenständige, inkrementelle Backups macht. Ohne, dass dieses NAS überhaupt von irgendeinem Rechner in diesem Verbund direkt ansprechbar ist.

Allerdings kann ich die Kirche auch im Dorf stehen lassen- die Daten sind zwar Wichtig- mir würde aber an dieser Stelle ein "externes" Backup pro Quartal reichen (USB-HDD etc.). Wir reden hier über eine sehr überschaubare Menge an Daten.

Ich würde eher ein getrenntes VLAN für Server-Infrastruktur (mit sehr strikter Überwachung) und eins für Client-Infrastruktur aufbauen.
Du scheinst sehr viel Aufwand aktuell in physische Sicherheit zu investieren, bitte prüfe ob das Konzept für digitale Sicherheit mindestens genau so streng ist - schliesslich ist es das üblichste Einfalltor. Layer2-Isolation aller Clients mit Firewall-Routing (bspw Sophos UTM oder pfSense) wäre bei überdurchschnittlicher Sicherheitsanforderung sehr sinnvoll, beachte aber dass DNS-/HTTPS-Filter/SMTP-Gateways wiederum DSGVO-Bedenken auf den Tisch bringen.

Dies werde ich mir nochmals durch den Kopf gehen lassen. Klingt allemal sehr logisch und wäre in der Tat auch eine Herangehensweise, welche ich befürworten würde.

Meines Wissens braucht man auch bei aktuellen Windows-Server Varianten keinen AD für Terminal Server. Ob AD für 3 Nutzer wirklich sinnvoll ist, musst du also entscheiden, oder ob du das AD nicht doch auf der gleichen Machine laufen willst, oder einen Samba AD betreiben willst, oder oder oder ;)

Ich habe es bereits am lebenden Objekt erprobt, in einer Test-VM. Einen Terminal-Server kann ich innerhalb der Rollenverwaltung erst aktivieren, wenn es mindestens einen AD-Kontroller in der zugewiesenen Domäne gibt. Das Setup lässt mich sonst nicht weiter. Die Frage, ob eventuell auch Third-Party-AD-Controller unterstützt werden, habe ich mir bisher garnicht gestellt. Dies wäre eine hinnehmbare Lösung, dahingehend werde ich mich noch weiter belesen.

Falls du den Weg einer Firewall gehen willst wie oben beschrieben, diese implementieren generell VPN Clientzugriff. Vereinfacht dahingehend also die Infrastruktur etwas.

Ja, es gibt neben der reinen Hardware-Lösung auch fertige komplett-VM's, die ich vorkonfiguiert kaufen und auf meinem Host einbinden kann. Dies wollte ich mir ebenfalls einmal genauer anschauen. Nur stehe ich mir diesbezüglich noch ein wenig selbst im Weg. Nutze ich die altbewährte- aber sehr Trafficintensive und dadurch langsame openVPN-Lösung oder lohnt sich ein Blick richtung WireGuard ..

Diese Frage kann und muss ich wohl mit mir selbst klären.

Zu den Windows Lizenzen muss dir jemand anders helfen, ich bin dahingehend recht unerfahren :)

Ich leider auch :) Habe mittlerweile einige gute online-Seminare zu dem Thema gefunden, wobei ich mir nach den 2,5h Dauerberieselung mehr Fragen hatte als vorher. Leider macht es Microsoft es hier in meinen Augen den Anwendern nicht wirklich einfach. Dennoch ist mein Interesse, eine (möglichst) einwandfreie Lizensierung der kompletten Umgebung zu realisieren.

Wie ich mittlerweile aber noch herausgefunden habe, beeinhaltet eine Datacenter-Lizenz unendlich viele Lizenzen für eigens betriebene VM's in dieser Umgebung. Inwiefern sich dies auf die Standart-Lizenz runterbrechen lässt, gilt noch herauszufinden. Sonst wäre die Lösung relativ einfach: Windows Server Standart (mit der Möglichkeit, zwei weitere VM's hinzuzufügen) mit zwei Windows Server Standart als VM auf diesem Host. Diese ließen sich dann problemlos auf dem Host selbst aktivieren. Eine VM wäre mein AD-Controller, die andere mein Terminal-Server..



Weiterhin kann ich mich aber diesbezüglich ein wenig glücklich schätzen, denn diesen Teil der Informatik liebe ich. Eine direkt laufende Maschine ist (leider) irgendwie langweilig. Das spannende ist für mich definitiv der Weg dahin.

Bis dahin Dir und euch eine gute Nacht und einen schönen Sonntag :)

mfg_nohbuddi
 

d4f

Kaffee? Wo?
Was aber eben wichtig ist, dass man seinen Desktop- mit allen gerade laufenden Progammen natlos direkt auf ein anderes Gerät umleiten kann.
Ganz nahtlos klappt es generell leider nicht. Spätestens wenn die Geräte unterschiedliche Bildschirmauflösungen (FHD vs 2K, ...) verwenden, kommen sehr viele Applikationen (und Windows-Teile) nicht damit klar und man muss die entsprechenden Applikationen schliessen.

Werden also beispielsweise bei einem Kunden mit dem iPad Notizen gemacht, wäre es von Vorteil, sich nach Ankunft in der Firma an einem anderen Endpunkt anzumelden und exakt dort weiterzumachen, wo man aufgehört hat - ohne im Kopf haben zu müssen, welche Tabs im Browser offen waren, wo die Notizen gespeichert
Ich bin aus persönlicher Erfahrung dafür, möglichst viele Applikationen auf der jeweiligen Plattform nativ zu verwenden, zumal Eingabemethode, Anzeige und Verwendbarkeit deutlich optimisiert werden können was dann die Bequemlichkeit erhöht.

Remote Desktop hat zumal im Ausseneinsatz wegen des Bandbreitenverbrauchs und der hohen Latenzempfindlichkeit (ist die Mobilfunk-Landkarte noch immer so grausam in DE mit dorfweise 1 Empfangsbalken Edge?) durchaus auch grössere technische Nachteile während native Applikationen zumindest eingeschränkt verwendbar bleiben.

Natürlich sind beide Alternativen mit ihren jeweiligen Vor- und Nachteile jeweils sehr beliebt und es lässt sich trefflich darüber streiten, ich will hier nur anregen alle Optionen genaustens geprüft zu haben. Ich will nur mal OneNote (oder Nachbauten) und Chrome Sync (oder Nachbauten) für deine Szenarien empfehlen. Die betriebsinterne Applikation als Remote-Desktop lässt sich durch disconnect/reconnect in meinem Vorschlag auf jedem Gerät weiterverwenden.

Allerdings kann ich die Kirche auch im Dorf stehen lassen- die Daten sind zwar Wichtig- mir würde aber an dieser Stelle ein "externes" Backup pro Quartal reichen (USB-HDD etc.). Wir reden hier über eine sehr überschaubare Menge an Daten.
Die Frage müsste umformuliert werden. Wie gross ist der Datenverlust und Schaden wenn die Daten applikativ beschädigt/zerstört sind? Ich gehe hier davon aus dass dein inrementelles Backup keine grössere Periode in die Vergangenheit geht. Falls ja habe ich es falsch verstanden. Ich würde trotzdem mindestens monatlich für ein offline Backup empfehlen (eigentlich eher wöchentlich - freitag abend bei "Kassenschluss" o.ä.), eben zumal wenn die Datenmenge und damit der Aufwand überschaubar ist.

elbst der Freizeit-Test mit mehreren parallelbetriebenen Spiele-Servern und einigen Spielern hat diesen nicht annähernd belastet.
Gaming-Server sind eher Latenz- und Jitter-empfindlich mit erhöhtem CPU-Verbrauch und je nach Spiel moderatem bis erhöhten Ram-Verbrauch. Desktops sind generell hoch Grafik-, Ram- und Netzwerklastig mit starker IO-Last, also eine durchwegs andere Workload.
Spätestens wenn die Grafik software-emuliert werden muss, können die stärksten CPU schnell in die Knie gehen. Gut möglich dass er es schafft, aber bitte im Vorab testen! Anwender mögen es generell nicht, wenn sie Betatester im Produktivbetrieb spielen dürfen.

Einen Terminal-Server kann ich innerhalb der Rollenverwaltung erst aktivieren, wenn es mindestens einen AD-Kontroller in der zugewiesenen Domäne gibt.
Ich habe aktuell keine Windows-Server in meinen Testumgebungen, aber laut Google-Recherche sollte das sowohl von Microsofts eigenen Dokumentation als auch Drittseiten durchaus möglich sein ausser ich hätte mich (mal wieder) im Lizenzjargon-Djungel verlaufen.

Nutze ich die altbewährte- aber sehr Trafficintensive und dadurch langsame openVPN-Lösung oder lohnt sich ein Blick richtung WireGuard ..
Der Gros des Datenverkehrs von OpenVPN ist klassisch applikativ und nur ein geringfügiger Teil die Header, somit solltest du in einer stabilen Umgebung keine grösseren Unterschiede was die Bandbreite angeht haben. Wiregard hat viele Vorteile, aber auch Nachteile wie reduzierte Kompatibilität mit Firmennetzen oder öffentlichen Hotspots. Ich würde mindestens OpenVPN-fallback anbieten.

Eine direkt laufende Maschine ist (leider) irgendwie langweilig. Das spannende ist für mich definitiv der Weg dahin.
Keine Sorge, es ist die beliebte Kombi Windows + Endanwender. Auch nach Inbetriebnahme wird genug Spannung und Analyse übrig bleiben. :p
 
Top