7
Auslagerung SBS2011 Server in ein Rechenzentrum - VPN realisieren
Hallo liebe Community,
kurz vorweg, wenn der Beitrag in der falschen Themensektion untergebracht ist bitte verschieben.
Mein Wissen über das Thema ist noch eher gering, deswegen brauche ich Hilfe zu folgendem Szenario:
Ist- und Soll-Situation:
Wir haben ca. 30 Workstations und einen SBS2011 Server. Unter den Workstations befinden sich auch Laptops die mehr oder weniger häufig von zu Hause aus arbeiten (diese sind dann nicht mit der Domäne verbunden).
Bei der Anmeldung an der Domäne werden die Gruppenrichtlinien vom Server gepusht.
Die Laptop Benutzer arbeiten von zu Hause mit dem lokal gespeicherten Profil, welches dann wieder synchronisiert wird sobald sie wieder hier bei uns im LAN sind.
Der Server soll nun in ein Rechenzentrum ausgelagert werden. Künftig soll es so sein, dass die Laptop Benutzer sich auch von zu Hause aus an der Domäne anmelden können und dabei auch die Gruppenrichtlinien gepusht bekommen, und bei der Abmeldung ihr Profil auch synchronisieren wird.
Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Die Fragen:
Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren? Kriterien sind hier Sicherheit, Performance und Aufwand der Implementierung. Benötigt man hierfür auf jeden Fall VPN?
Wie sähe eine Beispiellösung aus? Sowohl grob als auch detailliert (HowTo) würde mich interessieren falls möglich.
Vielen Dank im Voraus für eure Hilfe,
Grüße
kurz vorweg, wenn der Beitrag in der falschen Themensektion untergebracht ist bitte verschieben.
Mein Wissen über das Thema ist noch eher gering, deswegen brauche ich Hilfe zu folgendem Szenario:
Ist- und Soll-Situation:
Wir haben ca. 30 Workstations und einen SBS2011 Server. Unter den Workstations befinden sich auch Laptops die mehr oder weniger häufig von zu Hause aus arbeiten (diese sind dann nicht mit der Domäne verbunden).
Bei der Anmeldung an der Domäne werden die Gruppenrichtlinien vom Server gepusht.
Die Laptop Benutzer arbeiten von zu Hause mit dem lokal gespeicherten Profil, welches dann wieder synchronisiert wird sobald sie wieder hier bei uns im LAN sind.
Der Server soll nun in ein Rechenzentrum ausgelagert werden. Künftig soll es so sein, dass die Laptop Benutzer sich auch von zu Hause aus an der Domäne anmelden können und dabei auch die Gruppenrichtlinien gepusht bekommen, und bei der Abmeldung ihr Profil auch synchronisieren wird.
Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Die Fragen:
Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren? Kriterien sind hier Sicherheit, Performance und Aufwand der Implementierung. Benötigt man hierfür auf jeden Fall VPN?
Wie sähe eine Beispiellösung aus? Sowohl grob als auch detailliert (HowTo) würde mich interessieren falls möglich.
Vielen Dank im Voraus für eure Hilfe,
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245869
Url: https://administrator.de/contentid/245869
Printed on: April 26, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hallo Hamsert
Ich würde dir für den Anfang die Software Softether vpn empfehlen. Da hast du die Qual der Wahl, wie du die VPN Verbindung realisierst. Ich würde auf jeden Fall eine VPN Verbindung herstellen.
Gruss Stefan641
Ich würde dir für den Anfang die Software Softether vpn empfehlen. Da hast du die Qual der Wahl, wie du die VPN Verbindung realisierst. Ich würde auf jeden Fall eine VPN Verbindung herstellen.
Gruss Stefan641
Hallo,
Welche Hardware und wie viel RAM?
Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die Mitarbeiter werden dich Lynchen....
Gruß,
Peter
Welche Hardware und wie viel RAM?
Der Server soll nun in ein Rechenzentrum ausgelagert werden.
OhOh!zu Hause aus an der Domäne anmelden können
Wie?und dabei auch die Gruppenrichtlinien gepusht bekommen,
Reicht dazu die von MS erkannte Leitungsgeschwindigkeit um noch GPO's anzuwenden? (Slow Link Detection)und bei der Abmeldung ihr Profil auch synchronisieren wird.
Bei einer Profilgröße von 10 MByte vielleicht noch hinnehmbar. Was sind die jeweiligen Leitungsgeschwindigkeiten der Enduser und eurer Rechenzentrum?Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Leitungsgeschwindigkeiten? Was ist wenn alle um 08:00 ihre Rechner nutzen wollen? Reicht da auch noch die Leitung?Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Warum diese Frage? VPN ist die einzige Antwort oder denkst du tatsächliche darüber nach etwa OHNE VPN ....Sicherheit,
VPNPerformance
Die jeweiligen Leitungen (Up UND Download) sowie die jeweilige VPN Hardware oder Implementierung und dessen Hardware.Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die Mitarbeiter werden dich Lynchen....
und Aufwand der Implementierung.
VPN im Rechenzentrum. VPN im Büro. VPN an allen Standorte. Und alles dann per Routing zusammenschalten das auch dein Logisches Netz abgebildet werden kann bzw. eine Kommunikation auch eventuell untereinander stattfinden kann (Drucker usw.)Benötigt man hierfür auf jeden Fall VPN?
Ehrliche Antwort? "Blöde Frage" Kennst du etwas wie dies "Sicher"" erreicht werden kann OHNE VPN? Ich nicht. Und alleine der Gedanke dies OHNE VPN anzugehen ist schon ein Horrortrip.Gruß,
Peter
Moin,
Server bleibt inhouse, besorgt Euch einen vernünftigen Breitbandanschluss + vernünftigen VPN-Router + vernünftige und kompatible VPN-Clientsoftware ...
LG, Thomas
Benötigt man hierfür auf jeden Fall VPN?
natürlich nicht! Es kann dann halt nur jeder mitlesen ... Server bleibt inhouse, besorgt Euch einen vernünftigen Breitbandanschluss + vernünftigen VPN-Router + vernünftige und kompatible VPN-Clientsoftware ...
LG, Thomas
1
Intel Xeon CPU E5649 @2,67 GHz 2,66 GHz (2 Prozessoren) und 32 GB RAM.
Vielleicht gibt es ja noch andere Möglichkeiten eine verschlüsselte Verbindung zu dem Server aufzubauen...
Vielen Dank schon mal,
LG
> zu Hause aus an der Domäne anmelden können
Wie?
Das war ja die Frage, kann man das irgendwie realisieren, dass die Clients vor der Windows Anmeldung schon mit dem VPN verbunden werden, damit die Gruppenrichtlinien bei der User Anmeldung gepusht werden?Wie?
> und dabei auch die Gruppenrichtlinien gepusht bekommen,
Reicht dazu die von MS erkannte Leitungsgeschwindigkeit um noch GPO's anzuwenden? (Slow Link Detection)
Wir haben hier vor Ort eine Leitung mit 100 Mbit/s Download und knapp 6 Mbit/s Upload. Wie das bei den einzelnen Usern aussieht die nicht von hier arbeiten kann ich natürlich nicht pauschalisieren. Manche arbeiten unterwegs auch mit Surfstick. Die Slow Link Detection kann man aber auch soweit ich gelesen habe runter stellen, oder?Reicht dazu die von MS erkannte Leitungsgeschwindigkeit um noch GPO's anzuwenden? (Slow Link Detection)
> und bei der Abmeldung ihr Profil auch synchronisieren wird.
Bei einer Profilgröße von 10 MByte vielleicht noch hinnehmbar. Was sind die jeweiligen Leitungsgeschwindigkeiten
der Enduser und eurer Rechenzentrum?
Siehe oben + Das Rechenzentrum hat auch eine 100 Mbit/s Leitung. Alternativ wären auch 1000 möglich soweit ich weiß. Bei den Profilen werden nur die Daten syncrhonisiert welche wirklich geändert wurden, wie viel das im Einzelfall ist lässt sich schlecht sagen, aber über 10 MB wird es schon (ab und zu) sein.Bei einer Profilgröße von 10 MByte vielleicht noch hinnehmbar. Was sind die jeweiligen Leitungsgeschwindigkeiten
der Enduser und eurer Rechenzentrum?
> Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Leitungsgeschwindigkeiten? Was ist wenn alle um 08:00 ihre Rechner nutzen wollen? Reicht da auch noch die Leitung?
Ich denke das müsste passen, es geht handelt sich primär um Textdokumente bzw. PDFs, es wird da nicht permanent drauf geschrieben, es ging hier eher darum ob die Einbindung weiterhin realisierbar ist, aber soweit ich weiß ist das kein Problem.Leitungsgeschwindigkeiten? Was ist wenn alle um 08:00 ihre Rechner nutzen wollen? Reicht da auch noch die Leitung?
> Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Warum diese Frage? VPN ist die einzige Antwort oder denkst du tatsächliche darüber nach etwa OHNE VPN ....
Ich denke schon das VPN die richtige Lösung ist, sollte mich aber auch über alternativen informieren Warum diese Frage? VPN ist die einzige Antwort oder denkst du tatsächliche darüber nach etwa OHNE VPN ....
Vielleicht gibt es ja noch andere Möglichkeiten eine verschlüsselte Verbindung zu dem Server aufzubauen...> Performance
Die jeweiligen Leitungen (Up UND Download) sowie die jeweilige VPN Hardware oder Implementierung und dessen Hardware.
Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die
Mitarbeiter werden dich Lynchen....
Kannst du da eine Mindestleitung empfehlen (sowohl client- als auch serverseitig)? Ist das oben geschilderte ausreichend?Die jeweiligen Leitungen (Up UND Download) sowie die jeweilige VPN Hardware oder Implementierung und dessen Hardware.
Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die
Mitarbeiter werden dich Lynchen....
> und Aufwand der Implementierung.
VPN im Rechenzentrum. VPN im Büro. VPN an allen Standorte. Und alles dann per Routing zusammenschalten das auch dein
Logisches Netz abgebildet werden kann bzw. eine Kommunikation auch eventuell untereinander stattfinden kann (Drucker usw.)
Sprich VPN auf dem Server, ein VPN Gateway im Büro und auf den mobilen Clients dann eine entsprechende Software, richtig?VPN im Rechenzentrum. VPN im Büro. VPN an allen Standorte. Und alles dann per Routing zusammenschalten das auch dein
Logisches Netz abgebildet werden kann bzw. eine Kommunikation auch eventuell untereinander stattfinden kann (Drucker usw.)
Vielen Dank schon mal,
LG
Hallo,
mir fallen da 3 Lösungsansätze ein:
1. Ihr versorgt die Road Warrior mit VPN-fähigen Routern, welche unterwegs die Verbindung zu Eurem VPN-Einwahlserver herstellen. Da in diesem Fall die VPN-Verbindung außerhalb von Windows aufgebaut wird, kann die Benutzeranmeldung direkt in der Domäne erfolgen.
2. Ihr setzt auf DirectAccess, das seit Windows 7 ins Betriebssystem integriert ist, wobei Ihr da mehr braucht als nur einen SBS-Server (Näheres weiß Google).
3. Ihr bindet nicht die Notebooks selbst ins LAN ein, sondern lasst sie per Remote Desktop bzw. Terminal Server Client direkt auf einen Netzwerkserver zugreifen. In der RDP-Session greifen dann auch wieder die Gruppenrichtlinien.
Gruß
FishersFritz
mir fallen da 3 Lösungsansätze ein:
1. Ihr versorgt die Road Warrior mit VPN-fähigen Routern, welche unterwegs die Verbindung zu Eurem VPN-Einwahlserver herstellen. Da in diesem Fall die VPN-Verbindung außerhalb von Windows aufgebaut wird, kann die Benutzeranmeldung direkt in der Domäne erfolgen.
2. Ihr setzt auf DirectAccess, das seit Windows 7 ins Betriebssystem integriert ist, wobei Ihr da mehr braucht als nur einen SBS-Server (Näheres weiß Google).
3. Ihr bindet nicht die Notebooks selbst ins LAN ein, sondern lasst sie per Remote Desktop bzw. Terminal Server Client direkt auf einen Netzwerkserver zugreifen. In der RDP-Session greifen dann auch wieder die Gruppenrichtlinien.
Gruß
FishersFritz
VPN Beispiellösung findest du z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Nur deine VPN Hardware sollte etwas leistungsfähiger sein !
Von VPN auf dem Server kann man nur dringenst abraten. Das gehört auf eine leistungsfähige Firewall oder Router !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Nur deine VPN Hardware sollte etwas leistungsfähiger sein !
Von VPN auf dem Server kann man nur dringenst abraten. Das gehört auf eine leistungsfähige Firewall oder Router !
Hallo,
Ausland die Runde machen wäre das schon anzuraten.
Ein Router oder eine Firewall oder gar nichts oder was?
Ohne das man nicht genau weiß was auf beiden Seiten vorhanden ist
kann man da nur mutmaßen und/oder raten.
Gruß
Dobby
Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Via VPN!- Aber darf man einmal wissen wie es aussieht wenn zum Einen das RZ nicht mehr erreichbar
- Von dem Back und Restore des Servers mal ganz abgesehen, wie dringend braucht Ihr
Kriterien sind hier Sicherheit,
Dann den Server mal einfach bei sich in der Firma stehen lassen!Performance und Aufwand der Implementierung.
Vor Ort ist das immer besser, sicherer und schneller als irgend wo sonst!Benötigt man hierfür auf jeden Fall VPN?
Nein das nicht aber wenn Ihr demnächst Patente anmelden wollt die noch nicht imAusland die Runde machen wäre das schon anzuraten.
Wie sähe eine Beispiellösung aus?
Server in das RZ und dann via VPN verbinden, fertig.Sowohl grob als auch detailliert (HowTo) würde mich interessieren falls möglich.
Was steht denn vor dem Server im RZ?Ein Router oder eine Firewall oder gar nichts oder was?
Ohne das man nicht genau weiß was auf beiden Seiten vorhanden ist
kann man da nur mutmaßen und/oder raten.
Gruß
Dobby