Windows Server 2008 hat die Terminaldienste deutlich erweitert. Unter anderem lassen sich RDP-Verbindungen nun über https durchs Web tunneln. Dieses neue Feature heißt „TS Web Access“.

Dieser Artikel im PDF-Format beschreibt eine konkrete Implementierung der Terminaldienste für den sicheren Zugriff durch Benutzer, die sich außerhalb des Unternehmensnetzwerks befinden.

  Veröffentlichen von TS Web Access über ISA (1,7 MiB, 7.883-mal heruntergeladen, letzte Änderung am 30. August 2008)

Als Grundlage eines TS 2008 dient in diesem Beispiel ein Server 2008 Standard Edition. Hierbei ist zu beachten, dass zur Aktivierung des Servers unter Umständen ein KMS benötigt wird (Lizenzkey). Nach abgeschlossener Installation und Aktivierung werden die nötigen Rollen für die Terminal-Dienste installiert.

Voraussetzung für einen funktionierenden Terminalserver 2008 sind die Installationen vom IIS7 und dem Network Policies und Access Service. Zur Nutzung des TS Web sind Clients mit Windows XP SP3 oder Vista SP1 erforderlich. Der Webdesktop benötigt das letzte RDP6.0 Update bei XPSP2 und Server 2003. Dazu am Ende nochmal Hinweise. Ebenfalls ist in diesem Beispiel eine interne Zertifizierungsinstanz vorhanden, um Computer wie Webserverzertifikate automatisiert zur Verfügung zu stellen.

Die Screenshots sind teilweise nachträglich anonymisiert worden, da es sich um eine Produktivinstallation und deren Dokumentation handelt.

… weiterlesen

Die Remotedesktopverwaltung ist jedem Administrator sicherlich ans Herz gewachsen. Dass durch das Aktivieren der Remotedesktopverbindungen auch User zumindest schon einmal bis zum Logonfenster des Servers kommen, ist hier aber ein kleines Ärgernis bzw. Sicherheitsrisiko. Zumindest wird der eine oder andere User versuchen, ob ihm eine erfolgreiche Anmeldung möglich ist. Man könnte natürlich den Zugriff auf RDP durch entsprechende Firewallregeln schützen. Das ist aber unter gewissen Umständen nicht so einfach möglich.

Ein nützliches Tool, was ich schon länger in meiner Werkzeugkiste habe, ist „2xSecureRDP4“. Mit diesem Tool hat man die Möglichkeit, seine RDP Zugänge besser abzusichern. Der Administrator kann hier die RDP Verbindungen auf Basis der IP-Adresse, der MAC Adresse, des Client Computernamens, der Clientversion oder auch der Tageszeit festmachen. Dadurch ist diese Lösung wesentlich flexibler als das Einrichten von Firewallregeln. Wer es möchte, kann dann auch noch für die einzelnen Filter eigene Popup Meldungen definieren, die dem User dann angezeigt werden, wenn er einen Verbindungsversuch startet, der auf einen Filter passt. Alles in allem ein sehr nützliches Tool, was zudem auch noch Freeware ist und unter Windows Server 2000 und Windows Server 2003 installiert werden kann. Heruntergeladen werden kann es z.B. unter http://www.download25.com/2x-securerdp-for-terminal-services-download.html.

Gestern bin ich auf ganz was Altes reingefallen: Das Kommando „Move“ zum Verschieben oder Umbenennen von Ordnern in der CMD-Konsole (den Älteren unter uns noch bekannt aus DOS-Zeiten, aber natürlich auch in Vista enthalten). Das hat die lustige Eigenschaft, dass es quasi ein „move here“ durchführt: Ich gebe den Pfad zu dem existierenden Ordner an und dann nur den neuen Namen – ohne Pfad. Beispiel:

move C:\Ordner\Unterordner NeuerName

Dieser neue Name bezieht sich nicht etwa auf den Originalpfad (man will ja vielleicht gar nicht umbenennen, sondern tatsächlich verschieben), sondern auf das aktuelle Verzeichnis. Wenn ich nun aber gar nicht im gemeinten Zielordner bin, verschiebt Windows natürlich trotzdem den Ordner in das aktive Verzeichnis.

Sehr lustig. Ich wollte das Default-Profil umbenennen. Stattdessen ist es verschwunden. (Weil ich im system32 den Fokus hatte.)

Ich hab schon Mörder-was gedacht – hat Vista da etwa einen Schutz gegen das Umbenennen? Wäre ja komisch implementiert: Wir schützen den Ordner, indem wir ihn verschwinden lassen, wenn man ihn umbenennt. Ähh …

Aufgefallen ist es mir dann erst heute morgen … einmal im system32 geguckt, und da war mein Default-Profil.

Ab und zu kommt einen bei der Arbeit auch die eine oder andere kuriose Sache unter. Für eine Demonstration wollte ich die msgina.dll manipulieren.

Dabei bin ich über diesen Dialog gestolpert. Ab und zu scheinen die Entwickler bei Microsoft, einen eigenwilligen Humor zu entwickeln. Damit auch nicht euer Computer „verarmt“, spendiert ihm doch einfach mal eine neue Platte oder etwas mehr RAM. Man will ja nicht, dass der eigene Rechner in die ewigen Jagdgründe geht…..

In Office 2007 ist ja bekanntlich einiges anders. Aktuell erzeuge ich einige Firmenvorlagen für bestimmte Dokumenttypen und definiere dort Formatvorlagen. Da muss man sich schon etwas einfinden.

Erkenntnis 1: Bei den Ribbon-Menüs gibt es manchmal am unteren rechten Rand eine Art graues Quadrat mit Pfeil. Ein Klick darauf ruft ein zusätzliches Dialogfenster auf. Bei den Formatvorlagen ist dies eine „schwebende“ Formatliste (die ähnlich wie bei Grafikprogrammen auch neben dem Programmfenster geöffnet bleiben kann – praktisch!).

… weiterlesen

Seit einer Woche sind die Karten zur \\ice:2008 in Lingen ausverkauft! Die Community-Konferenz am 30. August in Lingen an der Ems wird auch dieses Jahr ein echtes Highlight werden.

Alle Leserinnen und Leser von faq-o-matic.net, die kurzentschlossen noch hinwollen, aber keine Karte ergattert haben, bekommen nun eine letzte Chance: Wir verlosen 5 Eintrittskarten zur \\ice:2008 – das sind absolut die letzten, sonst gibt es keine mehr!

… weiterlesen

Seit Windows Vista und Windows Server 2008 existiert das „Administration Pack“ (kurz: Adminpak) nicht mehr. Im Adminpak, das es seit Windows 2000 gab, sind sämtliche administrativen Snap-Ins wie z.B. Active Directory-Benutzer und -Computer (ADBuC), das DNS- oder DHCP-Snap-In usw. enthalten. Das Adminpak hat den Vorteil, dass es sich auf einer Windows-2000- bzw. Windows-XP-Admin-Workstation installieren lässt und danach von dem Client aus die Domäne und die Infrastruktur-Dienste administriert werden können. Für jeden Administrator eines der Pflicht-Tools, das auf seiner Workstation nicht fehlen darf.

Lange Zeit gabt es für Windows Vista gar keine Möglichkeit, mit unterstützten Methoden eine Windows-Infrastruktur fernzuverwalten. Nur mit Umwegen gelang es etwa, eine funktionsreduzierte Adminpak-Installation hinzubekommen. Erst anderthalb Jahre nach dem Vista-Release kam die Abhilfe: Der Nachfolger des Adminpaks nennt sich „Remote Server Administration Tools“ (RSAT). Die RSAT können unter den Vista-Versionen Business, Enterprise und Ultimate installiert werden und unterstützen sowohl die x86- als auch die x64-Architektur. Die Voraussetzung für die RSAT ist das Service Pack 1 für Windows Vista. Aber: Ganz vollständig sind die Tools zunächst nicht. Wie man dem für zwei wichtige Fälle abhilft, beschreibt dieser Artikel.

… weiterlesen

Ein schönes Beispiel der Kategorie "Sachen, die die Welt nicht braucht" bringen die Admin-Werkzeuge von Windows Server 2008 mit. Um das Ganze wirklich auszukosten, vergleiche man zunächst die beiden Varianten eines Dialogs aus Windows Server 2003 und Windows Server 2008. Gezeigt wird dasselbe Objekt derselben Domäne. Die Preisfrage: Wer findet den Unterschied?

… weiterlesen

Wer sich für IT-Community interessiert, hat jetzt die Chance auf ein ganz besonderes Bonbon: Gemeinsam mit unseren Partnern von der Community-Konferenz \\ice:2008 (findet statt am 30. August in Lingen) verlosen wir einen Asus Eee PC 4G! Mit seinem Überraschungserfolg, dem ultrakleinen, ultraleichten und ultraportablen Notebook hat Asus eine neue Geräteklasse definiert und den PC-Markt revolutioniert.

Ein Exemplar dieser Spezies verlosen wir nun gemeinsam unter allen, die bis zum 20. August 2008 einen Beitrag bei faq-o-matic.net einreichen. Näheres entnehmt ihr bitte den Teilnahmebedingungen. Eine Eintrittskarte zur \\ice:2008 gehört auch zum Preis, falls der oder die GewinnerIn noch keine hat.

Ein Hinweis von faq-o-matic.net: Eine Community-Konferenz, die keinen Eintritt kostet, ihren Besuchern so viel bietet und noch dazu derartige Preise verlost, ist aus unserer Sicht eine kleine Revanche wert. Daher freuen wir uns über jede Spende zugunsten des Projekts "Com4Children", das von ice-Erfinder Nicki Wruck und seiner Frau Christine ins Leben gerufen wurde. Eine Spende ist freiwillig und hat keinen Einfluss auf die Gewinnchance oder die Teilnahme an der Konferenz.

… weiterlesen