Windows 2016 stnd - připojení přes RDP pouze s certifkátem?Lze nastavit?

na první dobrou, určité musí být server v doméně jinak RDS nerozjedes,ohledně klientského certifikátu viz. https://social.technet.microsoft.com/Forums/en-US/2cb1339d-ef6...

jsou nějaké tutoriály, kdy se dá rozjet i bez domény, otázka je, jak to bude fungovat, a jestli se budou správně používat licence. Zase rozjíždět doménu kvůli vzdálenému přístupu k jednomu serveru 5ti uživatelů mi přijde zbytečné.

Jde to, ale je to nepodporované řešení, tudíš bych to do produkce, v případě, že to není nutně potřeba, nasazovat nedoporučoval.Jsou 2 řešení, buď VPN, nebo rds gateway, u toho bych taky doporučil mít ty počítače v doméně. Jinak nechápu, proč bez AD někde nasazovat serverový wokna?

například v případě, že je Win server v DMZ

Ahoj, mam takovej pocit, že bez AD, resp. bez toho aniž by byl ten daný Server v Doméně nerozjedeš. Další věcí pak je CAL licence, myslím, že v základu bez CALu umožňuje RDP jen připojení současně jednoho člověka Administratora pro správu serveru (nemusí být ve skupině Administrators ani mít povolení Administrátora, potřebuje pouze RDP povolení). Ale o těch CAL jsi nejsem jistý, je možné že se něco změnilo ale v případě produktů a licencování M$ bych tomu nevěřil....

=> pokud někdo certifikát mít nebude, pak bude připojení automaticky odmítnuto...Nerieši to problém ak cudzí človek používa zaregistrovaný počítač s certifikátom.Aj bez domény je možné priradiť užívateľov do skupiny RemoteUsers a iný než zaregistrovaní užívatelia nebudú mocť RDP použiť. Pravdepodobne ti ide ale o maximálny počet súbežných RDP pripojení a nie o bezpečnosť.

jde mi primárně o bezpečnost.., PC má každý svoje, pokud se k němu dostane neoprávněná osoba a bude znát heslo, tak to už je jiný boj, nicméně stroje mají přistupovat napřímo přes internet, tzn proti útokům na RDP zvenčí jsem ho chtěl zabezpečit certifikátem.. A pokud by se dalo tohle vše použít bez domény, tak aby se správně licencovalo RDS, tak by to bylo dokonalé

Vystavovať RDP port do Internetu nieje moc bezpečné, to máš pravdu. Rieši sa to zvyčajne cez VPN-ku.

to vím, to jsem samozřejmě chtěl, i ji mám připravenou, ale dle uživatelů na ten SW co běží na serveru kdysi VPN měli, a jelo to dost pomalu.., nevidím v tom teda moc rozdíl,, jestli RDP na přímo nebo přes VPN ale budiž, hledám proto alternativy

Rozdiel tam je. VPN používa silnejšiu šifru na prenos dát a generuje sa tam aj ten certifikát, ktorý by si tak rád použil. Hardware pre VPN sa volí podľa náročnosti dátovej prevádzky a rýchlosti internetovej prípojky. Chce to solídnejší router.RDP beží celkom obstojne už na 10 Mbps sieti. Záleží na rozlíšení obrazu. Väčšie rozlíšenia potrebujú vyššie rýchlosti.

VPN L2TP mám rozjetou na mikrotiku.., zatím bez certifikátu, ale asi furt lepší jak RDP napřímo

No a vieš, že na súbeh 5x RDP potrebuješ dosť rýchlu linku na strane servera? V prípade asymetrických liniek ako je xDSL je to slušná brzda. Profesionálne sa to robí inak, ak je potreba pripájať stovky užívateľov vzdialene na bežných linkách.

Na straně serveru je 300Mbit, s tím problém nebude v případě pomalých linek bych řešil přes TS, ale tady nebude třeba. Navíc jde zatím o max 5 uživatelů

To máš slušnú linku ak máš upload 300 Mbps. V minulosti som adminoval SAP na linke 128 Kbps(!) a stíhalo to v pohode aj 20 užívateľov na pobočke ak nebežala tlačovka. RDP je zabíjak liniek, normálne sa tak nepracuje, max. je to ako vzdialená pomoc.

Tak jestli más nejakej rozumnej router tak SSL VPN s připojením na RDP Server

Čo tak skúsiť RDP Gateway?Ak si pamatám, je to tunelované cez SSL.

jj, tu můžu zkusit taky nakopnout, ale opět narážím na nutnost domény.

Můžu se zeptat, proč doménu nemáte? Že většina funkcí serverových windows je závislá na doméně. Nemusíte se toho bát případná migrace uživatelských profilů je celkem jednoduchá, např přes utilitu https://www.forensit.com/domain-migration.html je to otázka jednotek minut na uživatele.

no už na ni připravuji stroj, asi to bez ni rozumně nepůjde

Pokud to budete dávat na nový stroj, tak určitě bych to virtualizoval, v rámci licence 2016std máte nárok na hypervisor a 2 VM, na hypervisor nahodit ještě k tomu altaro hyperv backup, to je pro 2 VM zdarma, tím kromě záloh zálohovat ještě celé VM, pak můžete pokud máte aspoň nějaký rozumný HW obnovit celý server v rámci jednotek hodin. Navíc dle dotazu nejste moc zkušený, tak Vám to přinese, pokud budete mít na serveru výkonovou rezervu, další obrovskou výhodu a to vytvořit si testovací prostředí, pak jednoduše před nějakými vážnějšími zásahy (velké aktualizace, nasazování nových technologií, migrace, atd..) si obnovíte váš server jako sekundární instanci na jiný virtuální switch, dáte na něj snapshot (uloží to nastavení) a pak můžete skoušet do aleluja, když se něco nepovede, tak můžete obnovit snapshot (otázka pár minut) a zkoušet znova

Myslel jsem kromě záloh dat, nějak mi to vypadlo

vpoho, mám srv želeno na tom 4xVM , zálohuji přes free Veeam (zbytek mi přišel k prdu) a ještě se dělají obrazy celého serveru, takže na klid, obnova v případě pádu pár min.

Tu hodinovou obnovu jsem myslel obnovu na jiném železu, ty hodiny je taková krajní hodnota, když není nic připraveno, když je připravený záložní hypervisor, např na starém serveru, tak pak ta obnova je samozřejmě rapidně rychlejší.

nicméně doufám, že nebude třeba to hned řešit :)