Endlos Fragen Win 2003 Server

Hallo,

Machen wir es ausführlich.

Ich mach derzeit mein Projekt für meine Ausbildung zum IT-Systemkaufmann. Gewähltes Projekt: Einführung eines Terminalservers incl 10 Thin Clients.

Ich natürlich keine Ahnung, fand das Thema so toll. Jetzt macht mich das aber Wahnsinnig.
Allein Terminal Server zu wählen, ein normaler hätte gereicht

Also, fangen wir an, ich werde den Thread extrem stark verfolgen und immer wieder neue fragen stellen, mein Stand:

Ich hab auf meinen heimischen PC jetzt erstmal mit der hier zur verfügung stehenden Anleitung einen Server aufgesetzt. Schön mit Funktionierender AD. Nun erstmal zu meinen Fragen.
Ich habe eine Umleitung der Eigene Dateien durchgeführt, damit diese auf den Server gespeichert werden, sowie ein skript für das Mappen eines laufwerkes. Macht das beim Terminal Server überhaupt sind? Ist das dort nicht standard?
Das gleiche gilt für die gespeicherten profile?

Ich habe schon viel über Partinonierungen gelesen, einige sagen 4, andere 2.
Wie Wichtig ist: Eine eigene Daten Patition, Partiton für den Virtuellen Zwischenspeicher, Für die Active Directory und das BS + Programme.

Hallo,

bei einem TS melden sich die Benutzer quasi direkt auf dem Server an! Das heißt, dort wird ein Benutzerprofil hinterlegt. Man kann das so lassen oder auch die eigenen Dateien weiterleiten, wenn man möchte. Das ist meiner Ansicht nach Geschmackssache!
Benutzerscript mit gemappten Laufwerken macht immer sinn. Normalerweise ist ein TS der TS und es gibt einen extra Fileserver wo die gemappten Laufwerke hinweisen. Alles auf einem Server ist nicht ratsam, da ein TS sehr viel Performance braucht!

Partitionierung ist auch eigentlich Geschmackssache. Ich habe nur eine Extra Partition für Daten. Die Auslagerungsdatei lasse ich auch nie auf der Systempartition.

Ich hoffe das hilft dir erstmal weiter.

Ciao Maik

und weiter gehts, worin unterscheidet sich citrix meta Frame von den Terminal server von win 2003? Ist citrix ehr was für große netzte mit serverlandschaften?

Muss ich bei einen Terminal server jeden benutzer in die AD anlegen?


Sind Zwei server bei terminal Lösungen wirklich notwendig? Auch bei so einen kleinen netzt und nur office anwendungen?

Was für Office Lizenzen werden benutzt? Gibt es dort spezielle?

Hat wer mal eine übersicht über benötigte lizenzen? Das ist bei MS ja ein wahres Chaos.

Hallo,

citrix Metaframe basiert auf dem Terminal Server, bietet aber mehr Möglichkeiten. Rechteverwaltung, Softwareverwaltung, Druckerverwaltung und und und... Dies ist etwas Professioneller. Für große Netze will ich nicht unbedingt sagen. Wir setzen dies für 10 user bei uns ein! Ich denke eher das es eine Preisfrage ist und ob man mit den Features die MS TS bietet zufrieden ist.

Ja, jeder Benutzer sollte im AD erfasst werden. Ich denke das ist ein Muss um eine vernünftige Organisation zu gewährleisten!

Ein Terminal Server reicht aus, er sollte nur ausreichend RAM haben. Wenn man allerdings noch andere Anwendungen wie Mails, Files und Datenbanken oder sowas nutzen will, empfehlen sich weitere Server! Ab wieviel User ein weiterer TS Server benötigt wird, kann ich nicht sagen!

Man braucht nur die Office Lizenz die man haben will, es gibt keine speziellen TS Lizenzen. Es müssen nur ausreichend Lizenzen vorhanden sein, wie User das Office nutzen! Das Office wird auf dem TS in einer speziellen Form installiert, dasmit jeder TS User dies nutzen kann!
http://www.microsoft.com/germany/serverlizenzierung/produkte/windowsserver2003/ts2003_office.mspx

Ich hoffe das hilft erstmal weiter!

und weiter gehts.

Also, die Terminalfunktion, ist das der aufruf über Remotedesktop? Oder gibt es dort noch andere möglichkeiten? Zudem habe ich die Benutzer in der Gruppe Remotedesktop hinzugefügt, allerdings bekomm ich immer die Meldung das keine berechtigung vorhanden ist.

Ja, der Aufruf geschieht über den Remotedesktop. So weit ich weiß kann man auch über den Browser gehen:
IPdesServer/tsweb <-- geht nur mit IE

Der TS Benutzer muss die Berechtigung haben sich auf dem TS server lokal anzumelden (natürlich eingeschränkt!) Dann sollte es gehen!

ich hab die benutzer jetzt nicht in die Remote Gruppe, sondern direkt in die Berechtigung eingetragen dann ging es.

Jetzt gehts weiter, ich kann den benutzern die verwendung von programmen untersagen, allerdings tauchen diese dann immer noch auf den desktop auf, gibt es dort eine Lösung?

ohja, noch eine Frage, wenn ein Benutzer ein Programm deinstaliert, wird das nur für ihn entfernt oder komplett auf den Server?

Wenn ja, kann man das umgehen

Bin mir nicht genau sicher, da wir Citrix haben. Dort gebe ich Software frei die der Benutzer verwenden darf, sonst darf er nichts.

Allerdings kann man über die Benutzerrechte so etwas verhindern! Ich denke so etwas sollte nur der Administrator dürfen und ein Benutzer sollte keine Admin Rechte haben!

So, nach vielen rum geteste hab ich alles in sachen, wer darf was, rausbekommen. Nur Optisch gefällt mir das nicht.


Ich installier als Admin ein programm, geb die benutzerrechte an und gut ist. Nur taucht das bei allen gruppen auf, auch bei denen die darauf kein zugriff haben, wie kann ich das unterbinden? Das soll ansich nur für einzelne Gruppen installiert werden.
Genau das gleiche der Festplatten, die sollen aus den Arbeitsplatz ausgeblendet werden, zugriff verweigern geht ja recht simpel.

Achja, ich habe gestern festgestellt das ich nur programme direkt am server installieren kann, damit diese von allen verfügbar sind, mach ich das per remote, ist das nicht möglich, vermutlich weil ein benutzer, halt ich, angemeldet ist, gibt es dort eine zufriedenstellende möglichkeit?

Hallo, da muss ich leider passen. Da wir Citrix benutzen weiß ich das nicht. Bei uns wir die TS Sitzung auch im Seamless Mode gestartet, dass heißt der User sieht gar nicht den Desktop, sondern die Software wird direkt gestartet.

Ich könnte mir denken das du dann das Profile jedes Benutzers anpassen musst. Ich glaube nicht das MS so weit gedacht hat, lasse mich aber gern eines besseren belehren!

Ich würde sagen, dass es gut ist, nur lokal als Admin eine Software installieren zu dürfen. Gibt es Kommunikationsprobleme beim installieren, kann die Software auch Fehlerhaft installiert werden. Wird der TS durch fremdzugriff manipuliert, dann geht das auch nicht. Ist doch gut... :coolsmiley:

dann noch eine Frage, was kostet Citrix Presentation server?

In deiner Doku solltest du auf keinen Fall schreiben, dass du AD und TS auf dem selben System implementiert hast. Warum machst du keine Testumgbung in deiner Firma mit 2 Servern und einem Client? Warum hast du nicht mal mit deinem Ausbilder über das Projekt gesprochen? So klingt es jedenfalls für mich.

Zum Thema Fehlermeldung wg. fehlender Berechtigung: Leg eine neue Benutzergruppe im AD an, die Remotezugriff am TS erhält. Funktioniert gerne mal mit der im AD voreingebauten Gruppe Remotedesktopbenutzer nicht. Das Problem bei deiner Lösung: Wenn du das so in deiner Doku schreibst, läufst du definitiv im Fachgespräch auf Granit.

Im RDP-Client von Windows kann man einen Programm-Pfad vom TS fest mitgeben, dann hat der User ebenfalls keinen vollen Desktop. Du kannst Programme remote installieren, geh dazu am besten auf die Konsolensitzung. Programme müssen TS-fähig sein. Mit taucht überall auf kann ich nichts anfangen. Programm wird installiert, der Rest lässt sich über GPOs und geschickte Implementierung regeln.

Mein problem ist, das mein derzeitiger Ausbilder mit Computern nichts am Hut hat. Ich musste vor einen halben jahr, aufgrund einer insolvenz, den Betrieb wecheseln und mein jetziger ausbilder ist ein Versandhandel, der außer den verkauf von DVB-T Sticks, nichts mit IT zu tuhn hat.

Das war eine notlösung da ich sonst noch nen Jahr hätte dran hängen müssen.

Daher gab es auch keine möglickeit eines realen Projekts und ich hielte Terminal Server für ein intresantes Projekt, ist es auch. Allerdings war mir nicht klar das ein normaler Server als Projekt vollkommen ausgereicht hätte und meine tolle erweiterung des Terminals ein schuss in den Ofen war. Das Problem ist, das das in meinen Projektantarg steht. Das schöne ist, das mein Projektantrag weder die größe des Projekts noch die verwendete Software enthällt. Das einzigste was dort aufgeführt ist, ist die einführung eines Terminal Server inkl. Thin clients.


Funktioniert gerne mal mit der im AD voreingebauten Gruppe Remotedesktopbenutzer nicht.
Wieso funktioniert das oft nicht? Ich hatte ansich nicht vor, das so in die Doku zu schreiben, wie ich das jetzt notgedrungen gelöst habe.

Wieso darf AD und TS nicht auf den selben Server installiert sein? Ich weiß das es unschön ist, aber welche konkreten nachteile hat es. Ich weiß das 2 Server wegen sicherung des AD mehr sinn machen.

Wie läuft das mit den RDP Programmfad? Das meinte ich mit taucht überall auf, die Software die der User nicht verwenden soll, soll er auch nicht sehen.

Und was meinst du mir geschickter Implementierung?

Mein Projekt soll beinhalten: Einführung eines Terminal Servers ohne citrix inkl. 10 Thin Clients. Somit auch 10 User, 3 Benutzergruppen, 4 USB Drucker.

IP adressen sollen über DHCP Server vergeben werden, die Clients mit Drucker erhalten eine reservierte IP Adresse. Gruppen Währen PACE, RAN und Geschäftsleitung. PACE und RAN verwenden nur Office, Geschäftsleitung zusätzlich Banking Software. PACE und RAN haben jeweils ein unterschiedliches gemapptes Datenlaufwerk, die Geschäftsleitung hat beide gemappt.

So war meine bisherige Planung.

Das problem ist, wenn man sich durch diverse seiten über dieses Thema durchließt, hat jeder ein wenig andere Meinung, der eine macht es so, der andere so. Zudem war, bis auf den Guide von Win Total keiner newbie fähig. Die einzigsten Bücher sind seid 4 Monaten in der Bücherrei vergriffen und noch vorreserviert und ein stückpreis von 60 Euro ist wirklich happig und mein Ausbilder kann mir auch kein stück weiter helfen.

Ich will mich auch hier für eure Hilfe und Geduld bedanken.

Vergiß den Citrix!, mach nur TS mit den Thin Clients, lass die Software weg. Das Projekt wird zu groß und anscheinend steht von Software nichts in deinem Projektantrag! Erkläre nur das Aufsetzen des Servers und einrichten der Clients, damit bist du zeitlich sowieso gut bedient. Nicht das Kaufmänische (Angebot, Preise usw.) vergessen! Ist mir passiert, kostete eine Note


Funktioniert gerne mal mit der im AD voreingebauten Gruppe Remotedesktopbenutzer nicht.
Wieso funktioniert das oft nicht? Ich hatte ansich nicht vor, das so in die Doku zu schreiben, wie ich das jetzt notgedrungen gelöst habe. <-- Schreib das in dem Punkt Test-> Fehler -> Fehlerbehebung. Kein Projekt klappt zu 100%.
Macht sich eigentlich gut in der Präsentation und Fachgespräch. Muss man nur Fachgerecht erklären!

Ceru schrieb:

Funktioniert gerne mal mit der im AD voreingebauten Gruppe Remotedesktopbenutzer nicht.
Wieso funktioniert das oft nicht? Ich hatte ansich nicht vor, das so in die Doku zu schreiben, wie ich das jetzt notgedrungen gelöst habe.

Zum Vergrößern anklicken....

So habe ich es in meiner Doku beschrieben, in der TS nur ein kleiner Teil war:

   Um die Funktion des Terminalservers im Einsatz zu testen, wird eine RDP-Datei erzeugt, welche den Programmpfad zum Windows Editor (siehe Anhang A8 „Quelltext Test-RDP“) beinhaltet. Die Anmeldung mit dem Administrator-Account ist erfolgreich und der Windows Editor startet. Die Anmeldung mit einem Benutzer-Account schlägt allerdings fehl. Es erscheint eine  Fehlermeldung, dass der Benutzer nicht die Berechtigung „Anmeldung über Terminaldienste zulassen“ besitzt.
   Es handelt sich um eine bekannte Fehlermeldung. Aus Erfahrung reicht es oft nicht, die Benut-zer der Gruppe „Remotedesktopbenutzer“ im Active Directory hinzuzufügen. Der sicherere Weg führt über die Erstellung einer neuen globalen Sicherheitsgruppe im Active Directory und das Hinzufügen aller Benutzer-Accounts, die auf dem Terminalserver arbeiten sollen. Anschließend wird diese Gruppe in der Terminalserverkonfiguration mit dem Recht „Benutzerzugriff“ hinzugefügt. Ein erneuter Anmelde-Test am Terminalserver ist erfolgreich.

Zum Vergrößern anklicken....

Ich habs einmal in der Berufsschule in einem Projekt durch Rechtevorbiegen auch anders hinbekommen. Dennoch halte ich das Erstellen einer neuen Gruppe für die sauberste Lösung, die auch keine großartigen Nachfragen im Fachgespräch zulässt.

Wieso darf AD und TS nicht auf den selben Server installiert sein? Ich weiß das es unschön ist, aber welche konkreten nachteile hat es. Ich weiß das 2 Server wegen sicherung des AD mehr sinn machen.

Zum Vergrößern anklicken....

Dafür gibts eine klare Empfehlung von MS. Dieses Dokument kennt eigentlich jeder in der Branche, und ich bin mir fast sicher, dass der Fachausschuss dich dazu befragt, solltest du das nicht wenigstens ganz klar in der Doku schreiben, dass du getrennte Server benutzt hast. Wenn du dann dennoch gefragt wirst, heißt die Antwort: Empfehlung von MS.
Das fängt übrigens schon damit an, dass im Falle eines TS auf einem DC immer die Default Domain Controller Policy wirkt, die störend bei einem TS wirken kann.

Wie läuft das mit den RDP Programmfad? Das meinte ich mit taucht überall auf, die Software die der User nicht verwenden soll, soll er auch nicht sehen.

Zum Vergrößern anklicken....

Hier mal der Quellcode meiner Test-RDP:

screen mode id:i:2
desktopwidth:i:1152
desktopheight:i:864
session bpp:i:8
winposstr:s:0,3,0,0,800,600
full address:s:sg-2
compression:i:1
keyboardhook:i:2
audiomode:i:0
redirectdrives:i:0
redirectprinters:i:1
redirectcomports:i:0
redirectsmartcards:i:1
displayconnectionbar:i:1
autoreconnection enabled:i:1
authentication level:i:0
username:s:User
domain:s:domain.de
alternate shell:s:%WINDIR%\notepad.exe
shell working directory:s:%WINDIR%
disable wallpaper:i:0
disable full window drag:i:0
disable menu anims:i:0
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1

Zum Vergrößern anklicken....

Damit sieht der User den Windows-Editor, welcher beim Verbinden direkt gestartet wird. Ansonsten nichts. Drucken geht auch.

Und was meinst du mir geschickter Implementierung?

Zum Vergrößern anklicken....

Indem du Gruppenrichtlinien, Rechte, Freigaben, Skripte, etc. geschickt einsetzt, um deine gesteckten Vorgaben umzusetzen.

Gruppen Währen PACE, RAN und Geschäftsleitung. PACE und RAN verwenden nur Office, Geschäftsleitung zusätzlich Banking Software. PACE und RAN haben jeweils ein unterschiedliches gemapptes Datenlaufwerk, die Geschäftsleitung hat beide gemappt.

Zum Vergrößern anklicken....

Per Loginskript machbar.

Das problem ist, wenn man sich durch diverse seiten über dieses Thema durchließt, hat jeder ein wenig andere Meinung, der eine macht es so, der andere so.

Zum Vergrößern anklicken....

Das wird immer so sein, das Projekt soll aber auch eine Eigenleistung sein. Das ist nicht böse gemeint, sondern soll dich ein wenig von der Zeitverschwendung wegbringen und dazu, dass du selber dein Projekt angehst, und nur dann wenn du nicht mehr weiterweist, etwas gezielt nachrecherchierst.
Das wird dir auch im Fachgespräch helfen.

@Ceru
Ich beobachte das Thread seit Anfang an und verfolge die Diskussion.
Nimm es mir bitte nicht übel, doch ich denke, dass dein Projekt nicht besonders klug gewählt ist. Du scheinst nicht viel Praxiserfahrung mit dem Windows 2003 Server sowie der Administration zu haben, welche für dein Projekt jedoch zwingend benötigt wird wenn du sicher und erfolgreich abschliessen willst. Theoretisch über ein Projekt zu referieren, welches man selber vielleicht nur einmal praktisch durchgeführt hat ist sehr schwer. Ich sage das deswegen, da das Projekt welches du gewählt hast, sehr umfangreich ist und erweitertes Wissen zum Windows 2003 Server benötigt.
Sofern die Möglichkeit besteht, würde ich ernsthaft prüfen, ob das Projektthema nachträglich noch zu ändern ist.

Das das Projekt sehr umfangreich ist, habe ich selber festgestellt. Ich habe mir hier auch alle nötige Hardware besorgt und verwalte derzeit 4 PC's in meinen zimmer, IGEL war so nett und hat mir einen Thin Client zu gesendet. Ich bin grade dabei die Sache Softwaretechnisch in die tat um zu setzten und dokumentierte das ganze sehr kleinlich mit und erläutere Die Protokolle/anwendungen.


Desweiteren habe ich die möglichkeit das Kaufmännische in den vordergrund zu stellen, wodurch ich das Technische allgemeiner fassen kann.


Zwischen abgabe der Doku und halten der Präsentation liegen 1,5 Monate, genug zeit um sich auf tiefere, Technische fragen in dem Fachgespräch vor zu bereiten.

Was mir aber evtl. sehr helfen würde, währe eine ICQ nummer, damit ich bei problemen einen ansprechpartner hab, ohne stundenlang rum zu tüfteln.

Mir geht bedauerlicherweise die zeit aus. Ich hab so viel gelesen, was ein ohne etwas zu machen nur verwirrt, wenn man noch nie einen Server aufgesetzt hat. Die Praxis die ich jetzt mache kommt leider ein wenig spät und ich weiß auch nicht sicher, ob das alles korrekt ist was ich da mache. Klar, es zu laufen zu bekommen ist nicht die Welt, das aber auch so zu machen, wie man es machen sollte ist schwer.

Wenn mein Projekt fertig ist, werde ich vermutlich 5 mal von hinten das auge ausstechen, wenn ihr versteht was ich meine.