tombone
Goto Top

Grundlegendes Verständnisproblem: Domänenanmeldung für SBS2003-Client-Internetzugriff zwingend?

Hallo!

Ich richte gerade meinen ersten SBS 2003 mit Hilfe einiger Literatur und Foren wie hier ein, bin jedoch nun auf ein Verständnisproblem bezüglich des Internetzugriffs der Clients gestoßen und hoffe ihr könnt mir weiterhelfen.

Zum besseren Verständnis kurz was vorher war und was ich bisher gemacht habe:

In unserem mittelständischen Unternehmen haben wir bisher ein Peer to Peer Netzwerk mit Arbeitsgruppe mit 5 PCs betrieben. Der Internetzugang erfolgte über einen Netgear Router an den die Client PCs per Lan oder Wlan angeschlossen waren und somit direkt ohne weitere Anmeldung auf das Internet zugreifen und mails abrufen konnten.

Da unser Dokumentenmanagement nun stetig anwächst und wir zusätzlich eine serverbasierte ERP-Software in Zukunft einsetzen und einen Fernzugriff auf unsere Daten für eine Zweigniederlassung geplant haben sind wir nun zum dem Entschluß gekommen einen "richtigen" Server mit SBS 2003 zu betreiben.

Zu der Netzwerkkonfiguration habe ich von der Möglichkeit von 1 Nic oder 2 Nics gelesen, wo jedoch immer wieder die letztere bevorzugt wird, mit der Begründung: Mehr Sicherheit, VPN macht sonst Probleme etc….
Ich habe den SBS Server mit 2 Nics zunächst an den vorhandenen Router mit "Nic extern"an angeschlossen. Der Internetzugriff des Servers funktioniert ohne Probleme. An der internen Nic habe ich einen zweiten Router/Switch (Wlan) angeschlossen an dem die 5 Client PCs angeschlossen werden. Der DHCP Server am Router/Switch ist deaktiviert und die Clients bekommen ihre internen IPs von SBS 2003 zugeteilt was auch ohne Problem funktioniert. Rufe ich jedoch allerdings IE auf, wird keine Website angezeigt (IE-Einstellung: DHCP und DCP automatisch). Das komische ist, dass die Clients zwar bisher noch nicht als Benutzer an der Domäne angemeldet sind und ich mir deshalb das nicht funktionieren erklärt habe. Auf den Clients geht jedoch die Software Skype ganz normal online, was dafür spricht das ja irgendwie doch eine Internetverbindung bestehen muß.

Was ich nicht so ganz verstehe ist, ob SBS nur als DHCP Server fungiert und somit nur diese Funktion des Routers ersetzt und jeder Client ohne irgendwelche Anmeldung wie bisher ins Internet kann, oder ob eine Anmeldung an der Domäne zwingend ist um als Client überhaupt in das Internet zu kommen. Dafür sprechen ja die Funktionen des SBS, den Internetzugriff der USER zu reglementieren. Wiese läuft dann Skype?

Zudem stelle ich mir die Frage, was passiert wenn der Server ausfällt oder gewartet wird, wie kommen die Clients dann ins Netz. Das würde doch wieder für die Lösung mit 1 Nic sprechen. Da würde ich den Server mit den restlichen Clients an einen Router hängen. Jeder Client würde wie zuvor ohne Anmeldung ins Netz kommen und das auch bei Serverausfall. Dagegen spricht aber wieder, das immer wieder davon gesprochen wird, dass so VPN, Sharepoint, Exchange etc. nicht richtig läuft (Soll aber bei uns wie oben erwähnt eingesetzt werden. Ist das so?

Deshalb:

Wie kommen meine Clients nun richtig ins Internet?
Was muß ich noch konfigurieren?
Was ist besser 1 Nic oder 2 (Vor- Nachteile, Sicherheit)

Bin für jeden Tip für mich als SBS Neuling dankbar!

Gruß

Tom

Content-Key: 46741

Url: https://administrator.de/contentid/46741

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: meinereiner
meinereiner 14.12.2006 um 23:29:36 Uhr
Goto Top
Die große Frage ist welche SBS Version du hast. In der Premium Version ist der ISA Server dabei, der den Zugang ins Internet regelt. Wenn du den einsetzt brauchst du zwei NICs und dann wird über den auch der Internetzugang für die User geregelt.

Wenn du die Premium Version nicht hast, bzw. der ISA nicht installiert ist, würde ich mit einem NIC arbeiten. Dann würde ich aber auch den SBS nicht mehr zwischen Router und Netz hängen, sondern in mit allen anderen Clients und dem Router gleichberechtigt an den Switch anschliessen.
Mitglied: tombone
tombone 15.12.2006 um 08:56:36 Uhr
Goto Top
Hallo!

Ich nutze SBS 2003 Standard!

Funktionieren auch mit 1 Nic VPN, Exchange etc.?

Wie sieht es sicherheitstechnisch aus?

Internes und externes Netz trennen ist doch besser oder?
Meine Überlegung war die, daß falls die Firewall des Routers geknackt wird, der Hacker einfacheren Zugriff zu allen Clients hat als wenn diese in einem anderen IP-Adressenbereich mit vorgestellter Firewall sind (Router 2)

Gruß Tom
Mitglied: meinereiner
meinereiner 15.12.2006 um 11:22:20 Uhr
Goto Top
Funktionieren auch mit 1 Nic VPN, Exchange
etc.?

Für VPN will der SBS nomalerweise 2 Karten es geht aber auch mit einer. Ich würde den SBS aber nie VPN Server spielen lassen.


Internes und externes Netz trennen ist doch
besser oder?
Meine Überlegung war die, daß
falls die Firewall des Routers geknackt wird,
der Hacker einfacheren Zugriff zu allen
Clients hat als wenn diese in einem anderen
IP-Adressenbereich mit vorgestellter Firewall
sind (Router 2)

Deine Daten liegen doch auf dem Server, der in beiden Fällen gleich angreifbar ist. Die Clients sind höchstens ein zwischenziel von einem Hacker.

Ich würde eine gute Hardwarefirewall mit integriertem VPN Server nehmen. Die ist sicherlich schlechter zu hacken als ein SBS, auf dem du die User ja sonst drauf lassen musst.

Wenn du dann noch mehr Sicherheit rein bringen willst, würde ich über einen zusätzlichen Server nachdenken, den ich zwischen Router und Netz setze. Da kann dann z.B. der ISA drauf. Da würde ich den Vorteil aber eher darin sehen, dass du deine User beim surfen besser im Griff hast. Den Sicherheitsvorteil würde ich eher als gering ansehen.

Die wirklichen Gefahren für dein Netz werden eher im internen Bereich liegen. Zum Internet hin bist du mit einer Hardwarefirewall sehr gut abgesichert.
Mitglied: tombone
tombone 15.12.2006 um 11:42:41 Uhr
Goto Top
Danke für die Info!

Versuche gerade mich immer noch damit den Server mit 2 Nics zum laufen zu bringen, habe aber noch ein Problem mit dem DNS Server.

Ich bin deshalb am überlegen, ob es nicht doch besser wäre mit 1 Nic zu arbeiten:

Vorteil: Die Clients kommen auch bei Serverausfall ins Internet.

Würde das so funktionieren:
Ich schließe den Server an einen Router an. An diesen Router hänge ich einen weiteren Wlan Router, an den die Clients angeschlossen werden. Somit habe ich die Trennung der IP Bereiche trotzdem (so eine Art DMZ) und nicht das Problem mit DHCP und DNS etc. durch SBS.

Vor den Server soll zudem ein Netgear SSL-VPN (Hardware) geschalten werden um der Filiale den Zugriff zu ermöglichen.

Was meint ihr?
Mitglied: meinereiner
meinereiner 15.12.2006 um 13:53:03 Uhr
Goto Top
Ich verstehe wirklich nicht warum du es so kompliziert machen willst!
Und um mal ganz ehrlich zu sein: Du bekommst Basics wie die DNS Server Konfiguration nicht sauber hin, willst dir aber alles mögliche in Netz stellen zu dessen Administration man doch deutlich mehr Know How braucht. Die Sicherheit eines Netzes hat aber vor allem damit zu tun, wie sauber die Geräte innherhalb des Netzes eingerichtet sind.

Wozu z.B. ein SSL VPN? Wenn du nur die Zweigstelle anbinden willst, dann mach das doch über eine Site to Site VPN. Da ist klar definiert wer rein darf und gut ist.

Wenn du den WLAN Router wirklich als Router betreiben willst, hast du am Ende drei Netze bei denen du sehen musst, dass die passenden Ports auf den Routern auf sind, die DHCP Braodcasts passend weiter geleitet werden, etc.

Ich kann dir nur nochmal raten: Nimm ein Geräte zwischen Internet und LAN. Das sollte alle Funktionaliten beeinhalten, die du brauchst. Also Router, Firewall und VPN Zugang. Wenn das Teil keine Switch integreirt hat, klemm selbst einen hinter und daran schliess sie Clients, den Server und einen AP an (den Wlan-Router kannst du recht sicher als reinen AP nutzen). Dann mach dir Sorgen um die Sicherheit deines WLANs. Da würde ich dir raten 802.1x über den SBS einzurichten.

Zu deiner Überlegung des Serverausfalls:
Ist das Internet für eurer Geschäft wichtig und können die User nur mit Internet weiter arbeiten, auch wenn die Daten, die ja auf dem SBS liegen sollten nicht da sind?
Wenn nicht, bringt es dir recht wenig, wenn die User bei einem Serverausfall weiter ins Internet kommen.
Mitglied: tombone
tombone 15.12.2006 um 14:20:25 Uhr
Goto Top
Ja danke meinereiner...

Der Server kommt ohne Probleme ins Netz, nur die Clients nicht. Dieses DNS Problem scheint nicht nur mich zu beschäftigen sondern viele andere auch wie dieses und andere Foren, Bücher etc. zeigen. Hier von Basics zu sprechen... na ja..

Das SSL-VPN deswegen, da damit später auch Kunden ohne irgendwelche spezielle VPN Software (oder auch wenn sie kein Windows haben...) Daten über eine Portaloberfläche auf den Server übertragen können sollen. Deshalb kein Site to Site VPN...
Mitglied: meinereiner
meinereiner 15.12.2006 um 14:34:03 Uhr
Goto Top
Der Server kommt ohne Probleme ins Netz, nur
die Clients nicht. Dieses DNS Problem scheint
nicht nur mich zu beschäftigen sondern
viele andere auch wie dieses und andere
Foren, Bücher etc. zeigen. Hier von
Basics zu sprechen... na ja..

Doch es sind Basics. Basics beim Routing oder beim Einrichten von DNS. Die Tatsache, dass viele daran scheitern heisst nicht, das es schwer wäre, sondern nur, dass viele die Basics nicht kennen. Aber das ist ein anderes (trauriges) Thema.
Der am häufigsten gemachte Fehler liegt übrigens in der fehlenden statischen Route auf dem Router.


Das SSL-VPN deswegen, da damit später
auch Kunden ohne irgendwelche spezielle VPN
Software (oder auch wenn sie kein Windows
haben...) Daten über eine
Portaloberfläche auf den Server
übertragen können sollen. Deshalb
kein Site to Site VPN...

Ok, aber auch da gibt es Geräte, die alles in einem können. Der Markt für diese kleinen Kisten ist in den letzten Jahren geradezu explodiert. An deiner Stelle würde ich mir da eine gute Firma suchen, die sowas vertreibt, einrichtet und auch wartet. Dann musst du dir auch keine Sorgen um Hackerangriffe aus dem Internet machen.

BTW: Auch ich lasse weitestgehend die Finger von unserer Firewall und richte da nur mal einen neuen VPN User ein.