Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Zugriff auf MS-SQL

Frage Sicherheit Firewall

Mitglied: planktom

planktom (Level 1) - Jetzt verbinden

11.05.2007, aktualisiert 16.05.2007, 8558 Aufrufe, 3 Kommentare

Hi,
in unserem Netz wird eine Warenwirtschaft installiert. Diese läuft unter auf MS-SQL. Externe Clients sollen via VPN Zugriff auf den SQL-Server erhalten. Ich überlege nun, wie ich das ganze absichere:
Der SQL-Server ist der einzige Host in unserem Netz, der von aussen sichtbar sein wird. Es besteht doch kein Grund, ihn in die vorhandene Domäne einzubinden. Von aussen wäre, durch eine vorgeschaltete Hardware-Firewall, nur dessen VPN-Port sichtbar.
Als OS wollte ich w2k3 einsetzen, da dies bereits VPN-Funktionalitäten mitbringt. Die Anmeldungen der VPN-Clients muss ich ja irgendwie authentifizieren. Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Ciao
Tom
Mitglied: Rafiki
14.05.2007 um 22:01 Uhr
Ja, das würde funktionieren.

Gruß Rafiki

Soll ich noch mehr sagen?
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.

In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.

Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?

Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.

Gruß Rafiki
Bitte warten ..
Mitglied: planktom
15.05.2007 um 14:30 Uhr
Hi Rafiki!
Nach meiner Erfahrung ist eine Datenbankverbindung über eine relativ langsame und störungsanfällige Verbindung immer wieder Ursache für Frust bei den Kollegen und eine beschädigte Datenbank. In der Regel bis du besser beraten wenn die Datenbankanwendung (eure Warenwirtschaft) auf einem Terminal Server (oder Citrix) läuft und nur der Bildschirminhalt der Anwendung zum Client übertragen wird. Das funktioniert sogar schon über eine ISDN Leitung erstaunlich gut.
Sämtliche Clients und der Server haben eine sym. Anbindung an den Backbone (DFN). Da mach' ich mir mal vorerst keine Sorgen. Sollte sich das als Fehlerquelle herausstellen, dann ist ein Lösungsansatz. Danke für den Tipp!

In beiden Fällen, via Terminal Server oder direkt mit der Datenbank Komunizieren, würde ich eine VPN Verbindung vom Client zur Firewall aufbauen und dort eine entsprechende Regel eintragen, das der Client nur mit dem einem betreffenden Server Daten austauschen kann.
Von den Clients der einzelnen Standorte sehe ich nicht viel. Die stehen mal bei mir im Büro, werden eingerichtet und gehen dann auf die Reise. Absichern wollte ich die VPN-Verbindung durch eine MAC-Reservierung im DHCP-Server der Warenwirtschaft. Auf diesem Rechner würde dann laufen:
- W2k3
- VPN
- DHCP
- MS-SQL
> Muss ich auf diesem Server dann ein AD installieren oder lässt sich das auch mit lokalen Benutzern/Gruppen verwalten?
Das Anmelden für die VPN Verbindung geschieht am besten auf der Firewall
Also obigem Server
und hat mit der Warenwirtschaft nix gemeinsam. Wenn eure Warenwirtschaft jetzt die Benutzer im AD kennt und benutzt dann würde ich den Kollegen sagen dass sie sich von unterwegs mit dem gleichen Benutzernamen anmelden können. Dafür muss aber das Notebook durch die VPN Verbindung auch mit dem Domain Controller sprechen dürfen um sich von dort ein Kerberos Ticket für den MS SQL Server zu holen.
Mein Ansatz war, die Datenbank auf einem Stand-Alone-Server laufen zu lassen, dessen einziges Beinchen zur Aussenwelt sein VPN-Port ist. Ich wollte ihn auch nicht in die vorhandene Domäne einbinden. Deswegen auch meine Frage, ob zur Benutzerverwaltung der VPN-Clients die lokale Benutzerverwaltung ausreicht.

Vielen Dank für dein Interesse!
Ciao
Tom
Bitte warten ..
Mitglied: Rafiki
16.05.2007 um 21:48 Uhr
So weit ich das verstehe, ja. Es sollte möglich sein einem einsamen Windows Server als Dailin bzw. VPN Server zu benutzen auch ohne Active Directory.

Gruß Rafiki
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Server
Zugriff auf MS-SQL aus dem Internet (14)

Frage von syncmaster zum Thema Server ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...