Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Zugriff auf MS-SQL

Frage Sicherheit Firewall

Mitglied: planktom

planktom (Level 1) - Jetzt verbinden

11.05.2007, aktualisiert 16.05.2007, 8862 Aufrufe, 3 Kommentare

Hi,
in unserem Netz wird eine Warenwirtschaft installiert. Diese läuft unter auf MS-SQL. Externe Clients sollen via VPN Zugriff auf den SQL-Server erhalten. Ich überlege nun, wie ich das ganze absichere:
Der SQL-Server ist der einzige Host in unserem Netz, der von aussen sichtbar sein wird. Es besteht doch kein Grund, ihn in die vorhandene Domäne einzubinden. Von aussen wäre, durch eine vorgeschaltete Hardware-Firewall, nur dessen VPN-Port sichtbar.
Als OS wollte ich w2k3 einsetzen, da dies bereits VPN-Funktionalitäten mitbringt. Die Anmeldungen der VPN-Clients muss ich ja irgendwie authentifizieren. Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Ciao
Tom
Mitglied: Rafiki
14.05.2007 um 22:01 Uhr
Ja, das würde funktionieren.

Gruß Rafiki

Soll ich noch mehr sagen?
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.

In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.

Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?

Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.

Gruß Rafiki
Bitte warten ..
Mitglied: planktom
15.05.2007 um 14:30 Uhr
Hi Rafiki!
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.
Sämtliche Clients und der Server haben eine sym. Anbindung an den Backbone (DFN). Da mach' ich mir mal vorerst keine Sorgen. Sollte sich das als Fehlerquelle herausstellen, dann ist ein Lösungsansatz. Danke für den Tipp!

In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.
Von den Clients der einzelnen Standorte sehe ich nicht viel. Die stehen mal bei mir im Büro, werden eingerichtet und gehen dann auf die Reise. Absichern wollte ich die VPN-Verbindung durch eine MAC-Reservierung im DHCP-Server der Warenwirtschaft. Auf diesem Rechner würde dann laufen:
- W2k3
- VPN
- DHCP
- MS-SQL
> Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall
Also obigem Server
und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.
Mein Ansatz war, die Datenbank auf einem Stand-Alone-Server laufen zu lassen, dessen einziges Beinchen zur Aussenwelt sein VPN-Port ist. Ich wollte ihn auch nicht in die vorhandene Domäne einbinden. Deswegen auch meine Frage, ob zur Benutzerverwaltung der VPN-Clients die lokale Benutzerverwaltung ausreicht.

Vielen Dank für dein Interesse!
Ciao
Tom
Bitte warten ..
Mitglied: Rafiki
16.05.2007 um 21:48 Uhr
So weit ich das verstehe, ja. Es sollte möglich sein einem einsamen Windows Server als Dailin bzw. VPN Server zu benutzen auch ohne Active Directory.

Gruß Rafiki
Bitte warten ..
Ähnliche Inhalte
Server
Zugriff auf MS-SQL aus dem Internet
Frage von syncmasterServer15 Kommentare

Hallo Zusammen. Ich muss den Zugriff auf eine Microsoft SQL-Datenbank Version 2016 realisieren. Dazu habe ich für die entsprechende ...

Windows Server
MS-SQL Server ohne SSL bei Zugriff über TCP 1433
gelöst Frage von lasterWindows Server1 Kommentar

Hallo, ein Java-Programm greift per JDBC (über TCP 1433) auf einen SQL-Server 2016 zu. Dabei wird folgende Exception geworfen: ...

Windows Server
MS SQL Server 2016 - Zugriff auf Instanz fehlgeschlagen
gelöst Frage von luklukWindows Server4 Kommentare

Hallo zusammen, ich habe die Tage einen frischen Windows Server 2016 auf einem Hyper-V aufgesetzt. Darauf habe ich dann ...

Windows Server
Neuer MS-SQL-Server
gelöst Frage von tingelWindows Server1 Kommentar

Hallo, Ich bin gerade dabei, mir Gedanken zu machen, wie ich am besten unseren SQL-Server 2008 SP3 auf eine ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 3 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 15 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 22 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
Frage von IngenieursBatch & Shell20 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...