Beiträge

Planung des Terminalserver Szenarios

Einer für alle: Terminalserver sind eine standardisierte Methode in Microsoft Netzwerken

Einer für alle: Terminalserver sind eine standardisierte Methode in Microsoft Netzwerken

Bereits vor der Bereitstellung von Terminalserver in Windows-Domänen muss man sich über dessen Konfigurationsart, die Ausfallsicherheit und die Skalierbarkeit Gedanken machen. In diesem Artikel möchte ich auf die Besonderheiten, aber auch die typischen Wachstumsschmerzen im Mittelstand eingehen.

Betriebsart: Sessionbasierte Sitzungen oder Virtuelle Desktops

Microsoft hat im Gegensatz von Citrix XenDesktop und zu VMware View keine native Desktop-Virtualisierung. Dennoch bieten die Remote Desktop Services (RDS) so etwas Ähnliches: individualisierte Umgebungen innerhalb des Remote Desktop Servers. Microsoft nennt auch dies „Virtueller Desktop“ – mit einem herkömmlicher VDI ist diese jedoch nicht gleichzusetzen.

Dem gegenüber steht die sessionbasierte Sitzung, die -basierend auf den vorherrschenden Berechtigungen- allen Benutzern des Terminalservers Zugriff auf alle freigegebenen Programme gibt. Diese stehen wahlweise in einer vollständigen Desktopumgebung per RDP oder als gehostete Anwendung auf dem eigenen Computer zur Verfügung.

Dies ist sicherlich die „klassische“ Verwendungsart des Terminalservers. Hierdurch können einzelne Programme für Computer verfügbar gemacht werden, auf denen sie nicht installiert werden können oder sollen. Sowohl die Sitzungen als auch die Programme werden dabei auf dem Terminalserver ausgeführt und belasten nicht den Computer, der sie aufruft.

Terminalserver Lizensierung

Die Lizenzierung eines oder mehrerer Terminalserver gestaltet sich einfach.

Die beiden von Microsoft bekannten Modi stehen auch hier zur Verfügung: Lizenzierung per Benutzer (User-CAL) oder Lizenzierung per zugreifendem Gerät (Device-CAL). Jede Terminalserver-Installation beansprucht zusätzlich eine Windows Server Lizenz wie ein regulärer Windows Server.

Dabei ist die Anzahl der in einer Domäne installierten Terminal Server nicht für die CALs relevant. Diese greifen auf die zentral bereitgestellten Lizenzen zu.Diese Art der Lizenzierung hat sich bis dato und seit dem Server 2008R2 nicht geändert.

Ausfallsicherheit

Bereits im Bereitstellungskonzept von Terminalservern sprechen wir das Risiko an, das bei einer Verfügbarkeitslücke eines Terminalservers entsteht: Denn sobald ein Terminalserver ausfällt, sind alle arbeitsunfähig, die mit dessen Applikationen arbeiten. Wo Servicefenster zu Wartungszwecken noch hinzunehmen sind, können technische Probleme wie Installationsfehler oder gar Vireninfektionen den ganzen Betrieb lahmlegen.

Betriebssicherheit durch Replika

Wer seinen einzelnen Terminalserver kostenschonend ausfallsicher gestalten möchte, der kann die Backup-Systeme des Netzwerks nutzen. Eine auf Virtualisierung spezialisierte Backup-Software kann während des regulären Betriebs eine Synchronkopie (ein Replica) vorhalten. Bei Bedarf steht es quasi sofort zur Verfügung steht. Zur Wiederinbetriebnahme sind nur wenige Handgriffe notwendig, als dass alle Mitarbeiter wie gewohnt weiterarbeiten können.

Dieses denkbar einfache Konzept ist für kleine Umgebungen bzw. für unkritische Anwendungen praktisch. Es bietet allerdings keine autonome Sicherheit.

Verteilte Terminalserver Systeme

Stellt man mehrere Server mit der gleichen Software zur Verfügung, so lassen sich diese im Verbund nutzen und über einen zentralen Knotenpunkt ansteuern. Die Benutzer merken von diesem RDS-Pool nichts, sie verbinden immer auf das gleiche Ziel.

Dies ist vor allem sinnvoll, wenn viele Benutzer gleichzeitig auf die Terminalserver zugreifen sollen, oder aber auch die Benutzer an unterschiedlichen Standorten ohne merkliche Verzögerung auf Terminalservern arbeiten möchten.

TrendMicro gilt seit 2010 als einer der Marktführer, was Serversicherheit angeht. TrendMicro beschäftigt aktuell ca. 5.200 Mitarbeiter und stellt hochwertige Softwareprodukte her. Dabei wird meist ein Programmpaket angeboten. Dies besteht aus mindestens einer Serverkomponente und entsprechenden Clients (Agents), die auf den Windows-PCs in Unternehmen installiert und zentral über die Serverkomponenten gewartet werden.

In diesem Beitrag beschränke ich mich auf die Vorstellung der TrendMicro Corporate Produkte. TrendMicro bietet darüber hinaus auch gute Antiviren-Programme für Privatbenutzer an, auf die ich hier nicht eingehen möchte.

Das TrendMicro Produktportfolio

AntiVirus und AntiMalware für mittelständische Unternehmen

TrendMicro stellt AntiViren- und AntiMalware-Programme her, die im Windows-Umfeld Anwendung finden. Die für kleine und mittlere Unternehmen konzipierte „WorryFree Business Security“-Produktlinie besteht aus einer Verwaltungskonsole auf dem Windows Server und einem Antivirus-Agent, der auf den Windows-Computern Ihres Unternehmensnetzwerks installiert wird. Über die Verwaltungskonsole kann Ihr Administrator Einstellungen für die Computer-Agents vornehmen, Computergruppen erstellen und Art und Umfang der Richtlinien zum Datenschutz definieren.

Die WorryFree Business Security-Produktlinie lässt sich sowohl auf eigenen Servern als auch in der Cloud verwenden. Zusätzlich bietet TrendMicro optional einen Schutz vor Eintreffen der Mail auf dem eigenen Netzwerk an: Schaltet man einen Cloud-E-Mailserver von TrendMicro in den E-Mailfluss, so filtert TrendMicro im eigenen Rechenzentrum bereits den gefährlichsten Schadcode heraus.

AntiVirus und AntiMalware für Unternehmen ab 250 Mitarbeiter

Unter dem Produktnamen „OfficeScan“ findet der Unternehmenskunde bei TrendMicro eine schlanke, skalierbare AntiVirus und AntiMalware-Lösung, deren Leistungsumfang sich modular an die Kundenwünsche anpassen kann. Seit einiger Zeit verwendet OfficeScan die Komponente XGen Endpoint Security, die eine verhaltensabhängigen Schutz vor Ransomware verspricht. Anders als bei auf Signaturen basierenden Produkten erkennt XGen Endpoint Security die Verschlüsselungsabsichten des Schadcodes und unterbricht diesen bereits vor Beginn der Attacke.

TrendMicro Office Scan

Ein wesentlicher Unterschied zu den SMB-Produkten besteht in der komplexeren Absicherung gegenüber negativen Einflüssen von außen. Im Rahmen der OfficeScan Suite lässt sich der sog. Edge-Server installieren, der zwischen dem Anschluss am Internet und Ihrem eigentlichen Netzwerk steht. Diese „Schleuse“ bietet eine weitere Sicherheitsinstanz und schützt Ihre lokale Infrastruktur bereits außerhalb Ihres Netzwerks vor unerwünschten Eindringlingen.

Gut für den Mittelstand: WorryFree Business Security (advanced)

Lizenzierung von TrendMicro WorryFree Business Security

Gerade in Netzwerken, in denen sich Mitarbeiter Computer teilen, fällt die Wahl aus Lizenzgründen schnell auf TrendMicro. Denn für die Lizenzierung wird die Anzahl der zu schützenden Computer / Server ermittelt. Anders als beispielsweise bei den Marktbegleitern SOPHOS oder Kaspersky, bei denen die Anzahl der Domänenbenutzer zur Abrechnung der Lizenz hergenommen wird. In reinen Terminalserver-Netzwerken spielt das eine große Rolle. Je nach Netzwerkinfrastruktur werden die Lizenzen eben nur einmal je Terminalserver und je (virtuellem) Windows-Server fällig. Die durchaus weit aufwändigere Anzahl an Domänenbenutzer bleibt für die Abrechnung absolut irrelevant.

TrendMicro inkludiert Schutz vor Verschlüsslungstrojanern / RamsomWare

TrendMicro Agents

Die Agents, die auf allen Windows-Computern im Netzwerk installiert werden, bieten Echtzeitschutz vor Bedrohungen wie schadhaften Downloads und verseuchten Datenträgern (Ransomware, Malware). Dazu erkennt die TrendMicro-Software Verschlüsselungsvorgänge und stoppt deren Prozesse. Von Ihnen gewünschte Verschlüsselungen können von dieser effektiven Maßnahme ausgeschlossen und bewilligt werden.

TrendMicro Antivirus für Exchange Server: ScanMail for Exchange (SMEX)

TrendMicro Antivirus Services

Mit dem eigenständig zu installierenden Programm „ScanMail for Exchange“ (SMEX) stellt TrendMicro einen Schutz für Exchange Server zur Verfügung. SMEX ist im Programmpaket „WorryFree Business Security Advanced“ bereits enthalten und scannt eingehende und ausgehende E-Mails auf Postfachebene zuverlässig auf Spam und Viren. Die Exchange-Komponente muss nicht gesondert lizenziert werden. Kunden der TrendMicro Business Security Advanced können ScanMail for Exchange also kostenfrei mitbenutzen.

Zusammenfassung

Mit der WorryFree Business Security platziert TrendMicro ein günstiges uns ziemlich vollständiges Produkt auf dem AntiVirus-Markt.

Vorteile

  • Günstige Anschaffungs- und Unterhaltungskosten
  • große Kompatibilität zu vielen Endgeräten
  • niedrige Systemvoraussetzungen
  • flexible Anwendung, auch für Terminalserver
  • Der Exchange Mailbox-Scan ist mit SMEX inklusive

Nachteile

  • Richtlinien eignen sich nur bedingt für komplexe Szenarien
  • Der technische Support ist hauptsächlich Englisch
  • Die E-Mailfilter sind verglichen mit anderen Herstellern rudimentär

Für weiterführende Informationen um TrendMicro besuchen Sie die Hersteller-Internetseite oder wenden sich direkt an uns.

Gerne vereinbaren wir einen Präsentationstermin und unterstützen Sie beim Testen der Software.
Für Fragen stehen wir Ihnen gerne bereit.

Haben Sie Fragen zu Ihrem AntiVirus oder AntiMalware-Konzept?

Richten Sie sich gleich telefonisch oder mit dem unten stehenden Kommentarfeld an uns. Wir behandeln Ihre Anfrage vertraulich.

„Hallo, unser Terminalserver in Frankfurt steht!“

Als wir diese Anfrage eines Personaldienstleisters erhielten, staunten wir nicht schlecht: Alle Mitarbeiter, die auf dem Terminalserver in Frankfurt arbeiteten, wurden regelmäßig zu einer Arbeitspause gezwungen. In dieser Zeit konnte kein Mitarbeiter am Terminalserver arbeiten, die Sitzungen wirkten wie eingefroren.

Das Büro in Frankfurt und Außenstandorte betroffen

Der Firmensitz in Frankfurt dient dem Unternehmen als Standort für seine Server. Hier arbeiten ca. 30 Mitarbeiter an Thinclients, die auf den Terminalserver angewiesen sind. Ohne den Terminalserver sind buchhalterische Arbeiten oder Verwaltung von Personaleinsätzen nicht durchführbar. Auch die Mitarbeiter, die sich bisweilen über einfache Heim-Router in das Firmennetz einwählten, konnten nicht arbeiten.

Schlechte Verkabelung als Hauptursache – Aufgedeckt mit CISCO Meraki

Unsere Techniker konnten schnell erkennen, dass die mangelhafte Hausverkabelung an den Netzwerk-Konflikten könnte beteiligt sein könnte. Die Firma hatte noch aus Anfangszeiten günstige Switches und Hubs, mit denen die Computer und Server direkt verbunden waren. Die fehlende Beschriftung von Netzwerkdosen und Ports machte den Systemausfall erst möglich, denn einige Switches waren mehrfach miteinander verbunden. Diese Schleifen führen dazu, dass die Netzwerkinformationen nicht den richtigen Weg zwischen Server und Computer finden konnten.
CISCO Meraki Switch

Mithilfe von gemanagten Switches von CISCO Meraki können Netzwerk-Konflikte wie diese schnell dargestellt und sogar gelöst werden. Ein Switch prüft auf Protokollebene die Absender und Empfänger von Netzwerkpaketen und reagiert sensibel auf Fehler. Anschlüsse, auf denen solche Fehler vorkommen, können vom Administrator zur Fehlerbehebung zeitweise oder vollständig deaktiviert werden.

Auf diese Weise konnte bei diesem Auftraggeber innerhalb eines Kalendertags die Produktivität wiederhergestellt werden. Der Kunde investierte schließlich in einen gemanagten CISCO Meraki Switch und einen VPN-Router, mit dem wir die Verbindungen zu den mobilen Mitarbeitern kurzfristig stabiler und sicherer gestalten konnten.

Seither betreuen unsere Cloud-Administratoren das Netzwerk dieses Kunden in Frankfurt und sorgen durch die eigenverantwortliche Wartung für einen reibungslosen Büroalltag. Wir bedanken uns herzlich für das entgegengebrachte Vertrauen und freuen uns auf eine weiterhin erfolgreiche Zusammenarbeit!