3
VPN-Zugriff auf MS-SQL
Hi,
in unserem Netz wird eine Warenwirtschaft installiert. Diese läuft unter auf MS-SQL. Externe Clients sollen via VPN Zugriff auf den SQL-Server erhalten. Ich überlege nun, wie ich das ganze absichere:
Der SQL-Server ist der einzige Host in unserem Netz, der von aussen sichtbar sein wird. Es besteht doch kein Grund, ihn in die vorhandene Domäne einzubinden. Von aussen wäre, durch eine vorgeschaltete Hardware-Firewall, nur dessen VPN-Port sichtbar.
Als OS wollte ich w2k3 einsetzen, da dies bereits VPN-Funktionalitäten mitbringt. Die Anmeldungen der VPN-Clients muss ich ja irgendwie authentifizieren. Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Ciao
Tom
in unserem Netz wird eine Warenwirtschaft installiert. Diese läuft unter auf MS-SQL. Externe Clients sollen via VPN Zugriff auf den SQL-Server erhalten. Ich überlege nun, wie ich das ganze absichere:
Der SQL-Server ist der einzige Host in unserem Netz, der von aussen sichtbar sein wird. Es besteht doch kein Grund, ihn in die vorhandene Domäne einzubinden. Von aussen wäre, durch eine vorgeschaltete Hardware-Firewall, nur dessen VPN-Port sichtbar.
Als OS wollte ich w2k3 einsetzen, da dies bereits VPN-Funktionalitäten mitbringt. Die Anmeldungen der VPN-Clients muss ich ja irgendwie authentifizieren. Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Ciao
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 58764
Url: https://administrator.de/contentid/58764
Printed on: April 23, 2024 at 06:04 o'clock
3 Comments
Latest comment
Ja, das würde funktionieren.
Gruß Rafiki
Soll ich noch mehr sagen?
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.
In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.
Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.
Gruß Rafiki
Gruß Rafiki
Soll ich noch mehr sagen?
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.
In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.
Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.
Gruß Rafiki
Hi Rafiki!
- W2k3
- VPN
- DHCP
- MS-SQL
Vielen Dank für dein Interesse!
Ciao
Tom
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.
Sämtliche Clients und der Server haben eine sym. Anbindung an den Backbone (DFN). Da mach' ich mir mal vorerst keine Sorgen. Sollte sich das als Fehlerquelle herausstellen, dann ist ein Lösungsansatz. Danke für den Tipp!In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.
Von den Clients der einzelnen Standorte sehe ich nicht viel. Die stehen mal bei mir im Büro, werden eingerichtet und gehen dann auf die Reise. Absichern wollte ich die VPN-Verbindung durch eine MAC-Reservierung im DHCP-Server der Warenwirtschaft. Auf diesem Rechner würde dann laufen:- W2k3
- VPN
- DHCP
- MS-SQL
> Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall
Also obigem ServerDas Anmelden für die VPN Verbindung geschieht am besten auf der Firewall
und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.
Mein Ansatz war, die Datenbank auf einem Stand-Alone-Server laufen zu lassen, dessen einziges Beinchen zur Aussenwelt sein VPN-Port ist. Ich wollte ihn auch nicht in die vorhandene Domäne einbinden. Deswegen auch meine Frage, ob zur Benutzerverwaltung der VPN-Clients die lokale Benutzerverwaltung ausreicht.Vielen Dank für dein Interesse!
Ciao
Tom
So weit ich das verstehe, ja. Es sollte möglich sein einem einsamen Windows Server als Dailin bzw. VPN Server zu benutzen auch ohne Active Directory.
Gruß Rafiki
Gruß Rafiki
