Netzwerk Planung Homeoffice

Es ergibt nur wenig Sinn, externe Home Office-Clients in ein lokales WIndows Server Active Directory einzubinden. Ich würde es mir da einfacher machen.

Office 365 Abo inkl. Intune für jeden Anwneder. Dann ein Autopilot-Profil für alle Clients anlegen und alle erforderlichen Konfigurationen epr Richtlinie definieren. Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. Auf ein VPN würde ich völlig verzichten, Dateien werden über OneDrive for Business (persönlich) bzw. SharePont Online (Gruppendokumente) genutzt.

Die Mitarbeiter haben eine moderne Collaboration-Plattform, die Dank diverser Apps wie z.B. Power Automation , Forms, Planner etc. erhebliches Potential bietet. Sollte es aus irgendwelchen Gründen eine on premises Client-Server-App geben, die unbedingt erforderlich ist, dann würde ich diese vermutlich aus Azure als Remote App bereitstellen.

Ein KMU, welches nur aus Off Site-Anwnedern besteht, ist das letzte Unternehmen, was eine on premises IT-Infrastruktur benötigt.

PS: Tatsächlich würde ich sogar Microsoft 365 lizenzieren (wegen Windows 10 Enterprise), dann gibt es auch weniger Diskussionen wegen DSGVO etc.

Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:

Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller

Danke, das kannte ich noch nicht und wurde für mich zum Lacher des Tages.

"Windows Autopilot für weiße Handschuh-Bereitstellung"

Quelle: https://docs.microsoft.com/de-de/windows/deployment/windows-autopilot/wh ...

Du kannst keine EInstellungen per GPO ändern, wenn der Client nicht auf Sysvol zugreifen kann. Ich habe mich da unglücklich ausgedrückt: Bereits abgerufene GPOs und GPPs werden weiterhin angewendet, aber Du kannst nichts ändern oder neu konfigurieren ohne Kontakt zum Domain Controller.

Windows Server Active Directory sollt enur bei primär on site genutzen Clients zur Anwneudng kommen. Für dauerhafte of site Clients verwendest Du besser ein Mobile Device Management wie Intune.

Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.

Sorry, das ist seit langem der größte Mist, den ich gelesen habe. Was heißt hier "HomeOffice mit sporadischer VPN-Verbindung"? Das gibt es einfach nicht.
Entweder stellt man den Leuten im HomeOffice einen IGEL mit S2S oder C2S-VPN und darin terminierender VDI hin, oder eben einen Laptop mit S2S oder C2S VPN, ohne VPN geht kein HomeOffice, in 2019 schon 10 Mal nicht.

Heißt im Umkehrschluss, die VPN-Verbindung ist immer aktiv, dementsprechend wird das Gerät auch immer vom WSUS, Patchmanagement, AV-Server, AD-Controller, etc. erfasst und bekommt auch Passwort-/Machineaccountänderungen, sowie GPO-Änderungen problemlos mit.


Das ist IT-Security von 2005 und hat in 2019 absolut nichts verloren. Allein ohne AD- und die dahinterliegende Radius-Authentifizierung kommt keiner per VPN rein.

Anhand so einer Frage sage ich dir dir, lass das einen machen der da Ahnung von Hat.... Ansonsten hetzt ich euch ne DSGVO-Klage an den Hals 😁 Zu irgendwas muss die ja gut sein...

Ich würde auch eine Anbindung aus dem Rechenzentrum denken, da auch vielleicht der Hauptstandort keine guten Upload-Raten hat. Vlt in der Zentrale bei mehr Mitarbeitern einen zentralen dc und Filer hin und gut ist...

Ne, ich habe mich vertan und nur mit einem Auge gelesen. DA (Direct Access) ist abgekündigt. Sorry!

Nebenbei: Sorg dafür, das die Clients kontrolliert angebunden sind und macht dir keinen großen stress. Im einfachsten Fall stellte du einfach eine kleine Firewall bei den Leuten hin. Oder auch so eine Sophos RED Box.
Geht es nur um Notebooks ist AlwaysOn VPN eine gute Lösund und basiert auf IPsec. Zugriff und Konfig liegt bei dir.

Außerdem wird hier teils außer acht gelassen, das ja gar nicht der Komplette Traffic durch den Tunnel muss. Bei DA ist es quasi Service basiert, setzt aber IPv6 voraus und routet den Traffic anhand der Destination. AlwaysONVPN habe ich noch nicht im live Betrieb gesehen. Soll DA aber komplett ablösen. Das ganze muss aber den Anforderungen entsprechen. Die Client Sicherheit muss schließlich gegeben sein.

Du machst am besten überhaupt nichts, denn Du bist schlicht nicht qualifiziert. Ich meien das nicht böse, aber das wird ein gebasteltes Gefrickel und nie richtig funktionieren. Allein schon die Tatsache, dass Du Technologie in den Raum wirfst, ohne konkrete Anforderung nennen zu können .... Ich habe Dir so gut es geht geholfen, jetzt sei auch so Clever und sieh ein, dass Du der falsche Mann für das Projekt bist.

Die Überschrift ist ja auch technisch unsinnig, denn liest man es richtig ist das ja keinesfalls eine "Netzwerk" Planung sondern lediglich, wenn überhaupt, eine Winblows Planung....
Der Verlauf des Threads spricht ja auch für sich ! Kollege @Matsushita hat es ja schon richtig auf den Punkt gebracht.