Planung des Terminalserver Szenarios
Einer für alle: Terminalserver sind eine standardisierte Methode in Microsoft Netzwerken
Bereits vor der Bereitstellung von Terminalserver in Windows-Domänen muss man sich über dessen Konfigurationsart, die Ausfallsicherheit und die Skalierbarkeit Gedanken machen. In diesem Artikel möchte ich auf die Besonderheiten, aber auch die typischen Wachstumsschmerzen im Mittelstand eingehen.
Betriebsart: Sessionbasierte Sitzungen oder Virtuelle Desktops
Microsoft hat im Gegensatz von Citrix XenDesktop und zu VMware View keine native Desktop-Virtualisierung. Dennoch bieten die Remote Desktop Services (RDS) so etwas Ähnliches: individualisierte Umgebungen innerhalb des Remote Desktop Servers. Microsoft nennt auch dies „Virtueller Desktop“ – mit einem herkömmlicher VDI ist diese jedoch nicht gleichzusetzen.
Dem gegenüber steht die sessionbasierte Sitzung, die -basierend auf den vorherrschenden Berechtigungen- allen Benutzern des Terminalservers Zugriff auf alle freigegebenen Programme gibt. Diese stehen wahlweise in einer vollständigen Desktopumgebung per RDP oder als gehostete Anwendung auf dem eigenen Computer zur Verfügung.
Dies ist sicherlich die „klassische“ Verwendungsart des Terminalservers. Hierdurch können einzelne Programme für Computer verfügbar gemacht werden, auf denen sie nicht installiert werden können oder sollen. Sowohl die Sitzungen als auch die Programme werden dabei auf dem Terminalserver ausgeführt und belasten nicht den Computer, der sie aufruft.
Terminalserver Lizensierung
Die Lizenzierung eines oder mehrerer Terminalserver gestaltet sich einfach.
Die beiden von Microsoft bekannten Modi stehen auch hier zur Verfügung: Lizenzierung per Benutzer (User-CAL) oder Lizenzierung per zugreifendem Gerät (Device-CAL). Jede Terminalserver-Installation beansprucht zusätzlich eine Windows Server Lizenz wie ein regulärer Windows Server.
Dabei ist die Anzahl der in einer Domäne installierten Terminal Server nicht für die CALs relevant. Diese greifen auf die zentral bereitgestellten Lizenzen zu.Diese Art der Lizenzierung hat sich bis dato und seit dem Server 2008R2 nicht geändert.
Ausfallsicherheit
Bereits im Bereitstellungskonzept von Terminalservern sprechen wir das Risiko an, das bei einer Verfügbarkeitslücke eines Terminalservers entsteht: Denn sobald ein Terminalserver ausfällt, sind alle arbeitsunfähig, die mit dessen Applikationen arbeiten. Wo Servicefenster zu Wartungszwecken noch hinzunehmen sind, können technische Probleme wie Installationsfehler oder gar Vireninfektionen den ganzen Betrieb lahmlegen.
Betriebssicherheit durch Replika
Wer seinen einzelnen Terminalserver kostenschonend ausfallsicher gestalten möchte, der kann die Backup-Systeme des Netzwerks nutzen. Eine auf Virtualisierung spezialisierte Backup-Software kann während des regulären Betriebs eine Synchronkopie (ein Replica) vorhalten. Bei Bedarf steht es quasi sofort zur Verfügung steht. Zur Wiederinbetriebnahme sind nur wenige Handgriffe notwendig, als dass alle Mitarbeiter wie gewohnt weiterarbeiten können.
Dieses denkbar einfache Konzept ist für kleine Umgebungen bzw. für unkritische Anwendungen praktisch. Es bietet allerdings keine autonome Sicherheit.
Verteilte Terminalserver Systeme
Stellt man mehrere Server mit der gleichen Software zur Verfügung, so lassen sich diese im Verbund nutzen und über einen zentralen Knotenpunkt ansteuern. Die Benutzer merken von diesem RDS-Pool nichts, sie verbinden immer auf das gleiche Ziel.
Dies ist vor allem sinnvoll, wenn viele Benutzer gleichzeitig auf die Terminalserver zugreifen sollen, oder aber auch die Benutzer an unterschiedlichen Standorten ohne merkliche Verzögerung auf Terminalservern arbeiten möchten.
In diesem Jahr sind wir mit unserem Systemhaus das erste mal auf der Bildungsmesse Fulda vertreten und stellen euch den Beruf Fachinformatiker*in für Systemintegration, auch gerne “Administrator” oder “Sysadmin” vor.
Als absolute Neulinge auf der Bildungsmesse ließen wir uns vom sonst oft schnöden Auftreten der “Local Players” nicht beeinflussen. Für die Besucher unseres Messestandes haben wir uns etwas Besonderes einfallen lassen, damit die Präsentation auch begreiflich wird.
Esperanto-Halle, STAND 20
Besucht uns in der Esperantohalle, STAND 20 und nascht ein Praktikumsplätzchen, ein Ausbildungsplätzchen oder ein Arbeitsplätzchen!
Wer denkt, dass Fachinformatiker*innen für Systemintegration einen langweiligen Job haben, der irrt gewaltig. Denn auf der Bildungsmesse Fulda zeigen wir Teile unserer täglichen Arbeit – und zwar nicht auf Bildern.
Server zum Anfassen auf der Bildungsmesse 2018
Wir haben gleich zwei Server zur Bildungsmesse mitgebracht. Einer der beiden ist komplett in Funktion und betreibt die Applikationen auf unserem Stand. Du siehst hier eine vollständige Virtualisierung mit VMware vSphere, die unter anderem ein Monitoring-System zur 24/7 Überwachung von anderen Systemen betreibt.
Der andere Server ist außer Dienst und offen. Hier könnt ihr sehen, wie so ein Server aufgebaut ist, welche Komponenten enthalten sind und was er wirklich kann.
Die Anbindung des Standes wird über zwei CISCO-Switches realisiert. Sogar die Konfiguration der Switches liegt aus.
IP-Telefonie zum Anfassen
Auf dem Stand befindet sich eine voll funktionsfähige IP-Telefonanlage von innovaphone. Diese ist über eine mobile LTE-Internetverbindung mit dem Telefonnetz verbunden und damit in Funktion.
Cloud Managed Hardware zum Anfassen
Professionelles Equipment, das sich aus der Ferne übers Internet verwalten lässt, hat noch nicht jeder gesehen. Hier zeigen wir euch eine Möglichkeit, wie man Netzwerkgeräte über eine Webseite verwalten und konfigurieren kann. Dabei haben wir die Produktpaletten von CISCO und ZyXEL Nebula on Board.
Praktikumsplätzchen und Ausbildungsplätzchen… zum Essen :)
Na, das bedarf doch keiner Erklärung? Kommt zum Schauen und Naschen vorbei! Unser Messe-Team erwartet euch und freut sich auf eure Fragen.
Facts
- Die Bildungsmesse Fulda findet statt am 18. und 19.2.2018
- Kommt zum “Kongresszentrum”, d.h. zum ESPERANTO HOTEL nach Fulda
- Öffnungszeiten: Sonntag von 10.30 bis 17.00 Uhr, Montag 8.00 – 16.00 Uhr
- Der Eintritt ist frei
Credits
Wir danken unseren Partnern und Freunden, besonders Markus von ZyXEL und Lars von innovaphone sowie Hr. Armin Gerbeth von der IHK Fulda, dem Tobias von der ESPERANTO-Technik und Charles Baker mit seinem Team, ohne den wir echt arm ausgesehen hätten :)
Schaut auch bei unserer Karriereseite vorbei…
Scam – Betrug durch E-Mails
Scam ist eine besonders gefährliche Art, auf räuberische Art und Weise per E-Mail an Geld zu gelangen. Täter sind in seltenen Fällen Mail-Bots. Meistens hat man es bei Scammern mit echten Menschen zu tun, die der eigenen Sprache mächtig sind. In ihren E-Mails laden sie zu vermeintlich einfachen Tätigkeiten ein, die für sich genommen nachvollziehbar sein können und in der Konsequenz das Opfer nachhaltig schädigen. Perfide, denn nur sehr wenige Sicherheitsmechanismen können die gut getarnten E-Mails als gefährlich einstufen und den Empfänger warnen.
Anweisungen der Geschäftsleitung ist Folge zu leisten
… dachte sich auch an dem Tag Manfred*, als er die E-Mail von Jürgen* las.
(* Namen geändert)
Manfred vertraut schon seit über 25 Jahren seinem Chef Jürgen, der das mittelständische Produktionsunternehmen bereits in der dritten Generation führt. Vertrauen ist wichtig zwischen den beiden – Manfred ist Prokurist bei der Denkmal Metall GmbH & Co. KG*. Gemeinsam mit Horst, einem Finanzbuchhalter, verwaltet er die Mittel der Firma und gestaltet die Buchhaltung.
So ist es nicht verwunderlich, als er von Manfred um 11:05 Uhr eine E-Mail bekommt. Wie so oft ist Manfred kurz angebunden, was man ihm nicht persönlich nehmen muss. In der Branche ist der Ton rau, und bei einer schnellen Mail (offensichtlich vom Mobilgerät) spart man sich Zeit und Umgangsformen:
Guten Tag, Manfred, bin im Meeting. Haben wir auf unserem KK gerade 108t EUR frei? JD
Ein Blick ins Onlinebanking und nur vier Minuten später antwortet der verlässliche Prokurist seinem vermeintlichen Geschäftsführer.
Hallo Jürgen, ja, wir haben im Moment auf dem Kontokorrent ca. 170′ verfügbar. Darf ich fragen, weshalb? Liebe Grüße Manfred
Die Antwort kommt prompt.
Bitte überweis genau 107.640 EUR auf folgende IBAN: DE12 1234 1234 1234 1234 88. Ich bin bei der Hans Dampf KG* und muss etwas gerade ziehen. Die Rechnung gebe ich dir später!
Nur ein Zufall verhindert Schlimmeres
Allein aus Zeitgründen bleibt das Unternehmen verschont: Manfred geht heute ins Nebenbüro und beauftragt einen weiteren Buchhalter, die Überweisung durchzuführen. Dem Kollegen kommt die untypische Aufforderung seltsam vor. Er betrachtet die Mail von Jürgen genauer und ruft uns an: Er hat den versuchten Betrug entdeckt und unterlässt die Überweisung.
Wie man Scam entlarvt
- Seien Sie wachsam. Prüfen Sie genau die Absendeadresse der E-Mail, nicht bloß den Namen des Absenders. Auch, wenn der Absender in unserem Beispiel “Jürgen Müller” heißt, gibt ein einfacher Unterschied in der Schreibweise der E-Mailadresse die Abweichung preis. Hier lautet der Name immer gleich, dennoch stellen sie zu unterschiedlichen Adressaten zu.
- Jürgen Müller <[email protected]>
- Jürgen Müller <[email protected]>
- Jürgen Müller <[email protected]>
- Prüfen Sie mit alternativen Wegen: Wenn Ihnen eine E-Mail eines vermeintlich Bekannten seltsam vorkommt, rufen Sie ihn/sie doch an! Im Beispiel hätte Manfred einen Rückruf von Jürgen verlangen können. Seine Stimme ist ihm bekannt, er hätte hier die Bestätigung erhalten müssen – spätestens hierbei wäre der Schwindel aufgeflogen.
- Sichern Sie kritische Prozesse mit dem Sechs-Augen-Prinzip ab. In unserer Geschichte konnte der zweite Buchhalter das Schlimmste verhindern.
- Bitten Sie Ihren Administrator um Hilfe. Er kann Ihnen mithilfe eines geschulten Blicks die Herkunft einer E-Mail bestätigen bzw. aufklären.
Eine Anmerkung
- Der Fall ist echt und traf Anfang des Jahres einen unserer Kunden.
- Der E-Mailverkehr ist so passiert – zwischen einem professionellen Scammer und einem leitenden, überweisungsberechtigten Angestellten. Sogar der Betrag stimmt.
- Wie auch in der Geschichte ging dieser Fall glimpflich aus und konnte mit einem Aufklärungsgespräch mit der Belegschaft freundschaftlich geklärt werden.
- Fälle wie dieser können wirklich jedem passieren.
Gut zu wissen: Unsere Kunden rufen in dem Fall den IT-Support an. Wir begutachten im Zweifelsfall die E-Mail und können prüfen, ob es sich um eine echte Nachricht handelt, oder ob ein professioneller Scammer dahintersteckt.
Die DSGVO tritt am 25. Mai 2018 in Kraft
Die Datenschutzgrundverordnung (DSGVO) ist bereits am 14. April 2016 beschlossen worden und tritt Ende Mai diesen Jahres in Kraft. Damit löst die europaweit geltende Verordnung die Datenschutzrichtlinie aus dem Jahr 1995 ab – was aufgrund der technischen Veränderungen dringend notwendig ist.
DSGVO – Die neue Datenschutzgrundverordnung
In eigener Sache: Ich bin weder Jurist noch Datenschutzbeauftragter. Demnach darf dieser Artikel nicht als Rechtsberatung oder Vorgabe verstanden werden. Allerdings bediene ich mich als freier Berater in Sachen IT-Sicherheit an meinem Kontakt-Netzwerk und konsultiere in Detailfragen unsere Anwälte und externen Datenschutzbeauftragten. Mein Fachwissen über die gängigen Entwicklungen in der IT-Sicherheit befähigen mich dazu, Aussagen über die Werbeversprechen der Softwarehersteller zu treffen. In der Diskussion um die Datenschutzgrundverordnung ergibt sich für mich eine Schere: einerseits unterschätzen viele Unternehmen die Wichtigkeit des Datenschutzes, so dass es dringend Not tut, per Gesetz Personendaten zu schützen. Andererseits verspricht die Marketingmaschine der Software- und Hardwareprodukte in der IT-Sicherheit das Blaue vom Himmel und vermittelt den Eindruck, dass mit Erwerb der Lösung der Firma XY plötzlich alles gut wird.
So habe ich er mir in diesem Beitrag zur Aufgabe gemacht, den Mythos DSGVO einmal für mich zu entzaubern. Ich verfolge für meine Mandanten und unser eigenes Unternehmen die Frage, wieviel Datenschutz wirklich grundverordnet ist und stelle dem gegenüber, welche Maßnahmen im Bereich IT-Sicherheit meiner Meinung nach sinnvoll in der Umsetzung der DSGVO sind. Deshalb habe ich mir das Datenschutzrecht (DatSchR) in der 9. Auflage 2017 in der gebundenen Ausgabe gekauft und informiere mich – mit Hinblick auf die IT-Sicherheit in der gängigen Praxis für den Deutschen Mittelstand.
Die meisten der namhaften Hersteller von Produkten aus der IT-Sicherheit haben sich inzwischen die DSGVO auf die Fahne geschrieben und verkaufen ihre Produkte als “DSGVO-geprüft”, “GDPR-compliant” oder wie auch immer. Ich finde an immer mehr Stellen im Internet kostenfreie DSGVO-Checklisten, die mit vermeintlich einfachen Fragen in der Produktpalette des Herstellers enden.
Namensgebung: EU-DSGVO / DSGVO / DS-GVO / GDPR?
Die verschiedenen Abkürzungen besagen dasselbe. Die Datenschutzgrundverordnung (DSGVO) ist keine bundesweite, sondern eine europäische Richtlinie. Die allgemeine, englische Bezeichnung lautet GDPR oder EU-GDPR (General Data Protection Regulation).