Er zijn phishingmails in omloop die uit naam van TransIP worden verstuurd. Twijfel je over de echtheid van een e-mail van TransIP, klik dan niet op linkjes en neem contact met ons op via je controlepaneel of via support@transip.nl. Lees meer over phishing in onze Knowledge Base: https://www.transip.nl/knowledgebase/artikel/205-wat-is-phishing/
Hulpartikel overzicht

Hulpartikel

Een Windows Active Directory omgeving met pfSense firewall opzetten

Een netwerk van Windows servers is zeer flexibel en geschikt om bijvoorbeeld met een groot aantal mensen via Remote Desktop op afstand mee te werken, of om mensen op verschillende locaties toegang te geven tot een gedeelde netwerkmap. Je kunt hiervoor meerdere servers inzetten en gebruikersaccounts centraal via een Domain Controller beheren.

In deze handleiding beschrijven we hoe je een netwerk van Windows servers opbouwt dat bestaat uit: een Active Directory Domain Controller, Remote Desktop servers, SMB File Server, en een pfSense-firewall (met VPN-server). Daarnaast beschrijven we hoe je hardware die niet in hetzelfde private network is toegevoegd (bijv een laptop) toevoegt aan hetzelfde Windows domein. Afhankelijk van je use case kun je onderdelen, zoals de SMB File Server weglaten.

Er worden in dit artikel meerdere componenten van een Remote Desktop deployment benoemt (bijvoorbeeld een Remote Desktop Connection Broker). Je vindt hier meer informatie over de componenten waaruit een Remote Desktop omgeving bestaat en waar deze voor dienen.

In de uiteindelijke setup die we in dit artikel beschrijven worden de volgende 'rollen' vervult:

  • Domain Controller: de server die een Active Directory aanbiedt binnen een Windows-netwerk
  • SMB File Server: voor het delen van en opslaan van bestanden op een netwerklocatie
  • Remote Desktop Session Hosts: een of meerdere servers waarop je via Remote Desktop werkt
  • Remote Desktop Connection Broker: beheert inkomende Remote Desktop-verbindingen
  • Remote Desktop Gateway:versleutelt verbindingen naar Remote Desktop Session Hosts
  • Remote Desktop Licensing Server: beheert Remote Desktop licenties
  • Remote Desktop Web Access Server: geeft gebruikers toegang tot Remote Desktops of applicaties via een web portaal
  • Remote Desktop Session Collection: bundelt één of meerdere Remote Desktop Session Hosts en centraliseert gebruikersprofielen.
  • pfSense firewall: beveiligt inkomend en uitgaand netwerkverkeer
  • OpenVPN server: door een VPN server te gebruiken, kun je de bovenstaande servers instellen om alleen via een VPN-verbinding bereikbaar te zijn en kun je ook computers/laptops op afstand toevoegen aan je Windows Domein.
  • Private network: verkeer tussen de servers onderling verloopt via een private network

De stappen in deze handleiding (en verwezen artikelen) zijn getest op Windows Server 2019 en 2022 en pfSense 2.5.2.


Benodigde hardware

De vorige paragraaf toont een aardige lijst met rollen, maar meerdere van deze rollen kun je combineren op één VPS, bijvoorbeeld de Domain Controller en Remote Desktop Connection Broker. Voor de bovengenoemde setup inclusief optionele onderdelen heb je als je bepaalde componenten combineert minimaal de volgende hardware nodig:

Let wel dat dit het absolute minimum is. Vooral een RD Session Host kan veel resources gebruiken en een veel grotere VPS (of meerdere VPS'en) voor nodig zijn. Raadpleeg daarom van tevoren Microsoft's richtlijnen om in te schatten wat voor formaat server je nodig hebt als RD Session Host(s).

Wil je een zo optimaal mogelijke performance voor je RD Session Host? Neem dan een kijkje bij ons PerformanceVPS-platform. Let wel dat de prijs van Windows Server-licenties bij PerformanceVPS'en hoger ligt dan bij een BladeVPS.


RD Gateway vs VPN

 

In deze handleiding bespreken we de configuratie van een RD Gateway en een VPN-server. Het is afhankelijk van je use case of je een van beide, of allebei nodig hebt. We staan daarom eerst stil bij deze keuze:

Het belangrijkste verschil tussen beide is dat een RD Gateway verbindingen naar Remote Desktop Servers versleutelt en alleen het Remote Desktop protocol toestaat. Een VPN-verbinding staat al het verkeer van de VPN-client naar je Windows-netwerk toe.

Moet een gebruiker bijvoorbeeld via Remote Desktop kunnen werken vanaf een computer thuis? Dan is de RD Gateway de veiligste optie. Dit betekent zeker niet dat het gebruik maken van een VPN-verbinding om Remote Desktop servers te beveiligen onveilig is. Een RD Gateway is echter specifiek voor dit doel ontwikkelt en heeft daardoor net een streepje voor. Bovendien is er een (zeer) kleine performancewinst wanneer je via een Remote Desktop Gateway verbindt met een Remote Desktop Session Host, ten opzichte van wanneer je via een OpenVPN-server op een pfSense-firewall met een Remote Desktop Session Host verbindt.

Heeft jouw gebruiker bijvoorbeeld een werknemerslaptop waarop die niet via Remote Desktop werkt, maar wel toegang nodig heeft tot netwerkbronnen (bijvoorbeeld een SMB share) en/of bijvoorbeeld die gebruiker via een Active Directory gebruikersaccount inlogt op zijn/haar laptop? Dan is een VPN-verbinding het handigste.

In de praktijk is het niet ondenkbaar dat je gebruik maakt van een combinatie van deze technieken voor de hierboven beschreven scenario's. Het is vooral belangrijk dat je bewust bent van de opties die je tot je beschikking hebt om jouw setup naar wens aan te passen.


Het Windows Domein opbouwen

 

Stap 1

Bepaal eerst op basis van de inleiding wat voor VPS'en je nodig hebt. Neem deze alvast af samen met een private network. Voeg vervolgens de VPS'en allemaal in het TransIP controlepaneel toe aan het private network.


 

Stap 2

Schakel op de Windows VPS'en alvast Remote Desktop in zodat je eenvoudiger daarop kunt werken dan via de VPS-console in het controlepaneel.

Verderop in dit artikel richten we een VPN-server en firewall in, maar tot die tijd zullen bots proberen je Remote Desktop poort aan te vallen. We raden om die reden aan om wanneer je Remote Desktop inschakelt ook gelijk de Remote Desktop poort aan te passen (je bent vrij die na het doorlopen van deze handleiding weer terug te veranderen).


 

Stap 3

Stel op iedere Windows VPS alvast een intern IP in volgens de volgende handleiding:


 

Stap 4

Kies een van de X4 Windows Servers en richt deze in als Active Directory Domain Controller:


 

Stap 5

Voeg de overige Windows Servers toe aan het Windows domein. Let op dat in stap 7 van het hieronder gelinkte artikel je nog niet een Default Gateway instelt (maar wel de DNS server). Dat doe je namelijk aan het eind van de pfSense-installatie (stap 13 van dit artikel).

Voeg nog niet eventuele servers, computers en laptops die niet in je private network zijn opgenomen toe aan het Windows Domein. Daar is een VPN server voor nodig en komen we in stap 16 van dit artikel op terug.


 

Stap 6

Voeg nu op de Domain Controller alle Windows VPS'en toe aan een server pool. Met een server pool kun je roles en services beheren (toevoegen en verwijderen) voor alle Windows VPS'en in de server pool beheren vanaf je Domain Controller.

Wanneer een handleiding vanaf dit punt spreekt over het installeren van een role of feature, doorloop je die stappen op de Domain Controller. Let er wel op dat je als server waarop die role of feature wordt geïnstalleerd (in de stap 'Server selection') de gewenste VPS kiest en niet de Domain Controller (tenzij anders aangegeven).


 

Stap 7 - optioneel

Optioneel configureer je nu een SMB File Server. Dit is handig om op een bedrijfsnetwerk bestanden te delen, maar bijvoorbeeld ook om Remote Desktop User Profiles op te slaan (zeer handig bij grotere omgevingen met meerdere Remote Desktop Session Hosts). Wil je geen File Server gebruiken? Ga dan verder naar stap 8.

Kies een van de X4 Windows Servers (niet de Domain Controller) en koppel de Big Storage aan deze VPS. Een goede keuze is de server die ook dienst gaat doen als RD Gateway, RD Web Access role en RD Licensing Services op wordt geïnstalleerd.

Richt deze VPS nu in als SMB File Server. Hiermee kunnen gebruikers bestanden opslaan op een netwerklocatie. Dit maakt bijvoorbeeld samenwerken in hetzelfde bestand met verschillende mensen eenvoudiger.


 

Stap 8

Installeer Remote Desktop Services waarbij je:

  • een ongebruikte X4 of grotere VPS gebruikt als Remote Desktop Session Host
  • de Remote Desktop Connection Broker role installeert op de Domain Controller, of een ongebruikte X4 Windows Server.
  • de Remote Desktop Web Access role installeert op de SMB file server, of een ongebruikte X4 Windows Server.

     
  • Remote Desktop Services installeren (kies de optie Remote Desktop Services installation, niet role or feature based installation)

 

Stap 9

Configureer de Remote Desktop Licensing op de server waar ook de RD Web Access role en (optioneel) de SMB file server roles op zijn geïnstalleert.


 

Stap 10

Configureer optioneel een RD Gateway (zie de eerdere paragraaf RD Gateway vs VPN) en gebruik hiervoor dezelfde server als in de vorige stap.


 

Stap 11

Maak alvast in de Active Directory User and Computers-tool een Domain User aan voor iedere gebruiker waarvan je verderop in deze handleiding een remote computer/laptop aan je Windows Domein wil toevoegen en één account voor jezelf. Voeg je eigen account ook toe aan de groep 'Domain Admins'.

Om veiligheidsredenen is het aan te raden om, ongeacht de rol binnen je organisatie, voor iedere gebruiker een eigen account te maken en via groepen de rechten van die gebruikers te beheren. Tijdens een security audit is het dan bijvoorbeeld veel eenvoudiger om te zien wie welke actie op je netwerk heeft uitgevoerd.


 

Stap 12 - optioneel

Een 'Remote Desktop Session Collection' is een verzameling apps en desktops (i.e. RDP-servers). Je gebruikt deze bijvoorbeeld om meerdere Remote Dekstop Session Hosts beschikbaar te stellen aan Remote Desktop gebruikers. Dit is vooral een handige feature wanneer je met veel gebruikers op meerdere remote desktop servers werkt.

Stel dat je 20 gebruikers hebt die je ieder een eigen remote desktop user profile wil geven van 20GB (je eigen gebruikersmap bijv c:\users\transip) en je gebruikt twee Remote Desktop Session Hosts. Je hebt dan twee uitdagingen waar een Remote Desktop Session Collection antwoord op biedt:

  • De schijf van je VPS raakt snel vol
  • Het profiel op server A is niet automatisch beschikbaar op server B.

Een Remote Desktop Session collection lost dit op doordat je user profiles op een veel grotere netwerklocatie kunt opslaan, bijvoorbeeld een Big Storage. De user profile op je netwerk storage wordt dan automatisch ingeladen, ongeacht op welke Remote Desktop Session Host je verbindt, zolang die maar onderdeel is van dezelfde Remote Desktop Session Collection.


 

Stap 13

Voorlopig zijn we even klaar met de Windows Servers. Pak nu de pfSense-VPS er bij en doorloop de installatie.


 

Stap 14

Voor onze setup willen we graag alle gebruikers via LDAP beheren (via je Active Directory). Pas je pfSense configuratie aan zodat ook de pfSense-admins via LDAP beheert worden.


 

Stap 15

Configureer nu je pfSense-firewall als OpenVPN server (deze stap t/m stap 17 is optioneel, zie de paragraaf RD Gateway vs VPN):


 

Stap 16

Maak vervolgens alvast OpenVPN-gebruikers aan voor een administrator en één voor iedere gebruiker. Om te beginnen kun je hier bijvoorbeeld gebruikers aanmaken voor de accounts die je in stap 11 hebt aangemaakt. Je kunt altijd na het doorlopen van deze handleiding nog meer AD gebruikersaccounts aanmaken.


 

Stap 17

Voeg nu eventuele servers, computers en laptops die niet in je private network zijn opgenomen toe aan je Windows Domein (vereist een VPN-verbinding).


 

Stap 18

 

Het einde komt in zicht. De basis is nu gelegd en het is tijd om waar nodig alle toegang dicht te spijkeren en het maximale uit je VPN-server te halen. We beginnen met dit laatste: als je een OpenVPN-server gaat gebruiken, pas dan op al je Windows Servers de firewall aan zodat je Remote Desktop poort alleen nog verbindingen accepteert vanaf je VPN-netwerk. In het voorbeeld in onze pfSense OpenVPN-handleiding is dit de IP range 10.10.0.0/24.

 

Optioneel: je kunt de Remote Desktop poort van je SMB File Server, RD Gateway-, RD Licensing- en RD Web Access server dichtzetten. Je beheert deze rollen voornamelijk via je domain controller en zal in de praktijk nog maar weinig verbinden met deze server(s). Laat je de Remote Desktop poort toch bereikbaar (via je VPN), beperk dan wel wie er toegang toe hebben, bijvoorbeeld enkel Domain Admins. Een voorbeeld van hoe je dat doet vind je in deze handleiding.


 

Stap 19 - optioneel

Remote desktop werkt een stuk aangenamer als je niet de IP-adressen van iedere server hoeft te onthouden, maar een hostname/DNS-naam kunt gebruiken zoals dc.transip.local. Voeg daarom op je DC voor iedere Windows Server op je private network een DNS-record toe waarin je verwijst naar het lokale IP (bijv 192.168.0.1).


 

Stap 20 - optioneel

Als je een OpenVPN-server gebruikt (en geen RD Gateway), zet dan optioneel nu ook de publieke netwerkinterface uit op de Domain Controller/RD Connection Broker en VPS die dient als SMB File Server, RD Gateway-, RD Licensing- en RD Web Access server.


Aanvullende documentatie

 

In de handleidingen waar in dit artikel naar verwezen wordt, wordt regelmatig verwezen naar aanvullende documentatie. Voor het gemak zetten we hieronder enkele aanvullende handleidingen op een rijtje om je te helpen met het beheer van je setup. Ben je op zoek naar extra software zoals Office? Neem dan ook een kijkje op onze Microsoft Essentials pagina.


 

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op