doctorwho
Goto Top

2 Firmen - 3 SBS Server - Geht das?

Als Systemadmin für unsere Firma stehe ich vor einem delikaten Problem:

2 Firmen - 2 Domänen - 3 SBS Server (2003 R2)...

Folgende Problemstellung:

Unsere Firma teilt sich in zwei getrennte Firmen auf, sitzen aber in gleichen Gebäude nach baldigen Umzug.

Vorhanden sind 2 getrennte DSL mit fester IP, registrierte Domain names für beide Firmierungen (hier A und B genannt)

Jede Firma soll einen eigenen Server (als DC) mit Web, Ftp und Exchange Server. Beide Server sollen mit SBS 2003 R2 Standard aufgesetzt werden.
Ausserdem sollen die Netzwerke getrennt sein, dh. auch 2 Switches.
Soweit ja einfach...

Jetzt kommt aber noch ein 3. Server hinzu, auf dem SBS 2003 R2 Premium läuft mit SQL Server 2005 WG Edition. Dieser Server existiert jetzt momentan schon als Firmenserver und stellt SAP Business One zur Verfügung.

Nach der Aufteilung sollen BEIDE Firmen auf diesen Server zugreifen (nur 1 SAP Installation und Datenbank, Zugriff via TCP/IP). Dieser Server soll mit 2 LAN-Ports an je einen Switch angebunden werden, quasi als Brücke zwischen beiden Netzwerken. (Unterschiedliche Subnets !)

Soweit mir bekannt ist, lässt SBS neben sich keinen weiteren DC im selben Netz zu, aber wie sähe es aus, wenn der 3. Server eine weitere Domäne kontrolliert? Also quasi 2 Domänen, 2 DC, 1 LAN?

Eine andere Idee wäre dann sogar: 3x SBS2003 als DC für je eine eigene Domäne, aber alle Server (und DSL Router) im selben Subnetz... natürlich mit unterschiedlichen DNS und Gateway Adressen...

Die zweite Lösung würde ich eher begrüßen, da dadurch alle Clients auf dieselbe IP zugreifen für SQL...

Desweiteren soll der 3. Server auch als "Shared Storage" arbeiten, zum Austausch von Daten zwischen beiden Firmen...


Die Gründe für SBS2003 auf allen Servern:

1. SQL Server2005 in der (eh schon vorhandenen) Premium Edition für SAP (Server C)
2. Auf den beiden Firmenservern (A, B) soll Web,Ftp,Mail (MS Exchange) direkt mit den registrierten Domänen laufen.

Gute Ratschläge sind hierzu sehr erwünscht....

Vielen Dank

Content-ID: 92925

Url: https://administrator.de/contentid/92925

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

GuentherH
GuentherH 25.07.2008 um 14:50:41 Uhr
Goto Top
Hallo.

Soweit mir bekannt ist, lässt SBS neben sich keinen weiteren DC im selben Netz zu

Da ist dir absolut was falsches bekannt. Du kannst nur in einer SBS Domänen nicht auch noch einen 2. SBS installieren.

Wenn du 3 verschiedene Windows Domänen hast, dann dürfte es keine Problem geben, diese nebeneinander laufen zu lassen.

LG Günther
60730
60730 25.07.2008 um 14:53:20 Uhr
Goto Top
Servus,

Die Gründe für SBS2003 auf allen Servern:
1. SQL Server2005 in der (eh schon vorhandenen) Premium Edition für SAP (Server C)
Kann ich nicht gelten lassen, SQL Server 2005 läuft auch auf einem W2K3 Server (Standard-kein SBS)
2. Auf den beiden Firmenservern (A, B) soll Web,Ftp,Mail (MS Exchange) direkt mit den registrierten Domänen laufen.
ok, aber auch das "wäre" "Theoretisch" mit einem "echten" W2k3 Server zu realisieren.

Was "mich" stört ist /sind die Einschränkungen von SBS- die ich vom hörensagen/Forum her kenne.
eine 3. Domain macht "Sinn", wenn du gerne "Administrierst und viele Konten abgleichen willst.
Unter SBS ist wohl das Trusten von verschiedenen Domains nicht drin.
Ergo - wenn 3. Domain - nicht mit SBS (nirgendwo)

"Leider" hab ich wirklich sehr wenige Erfahrung mit SBS und will diese eigentlich auch nicht machen.
Hast du mal bei deinem Reseller nachgefragt, ob ein Upgrade von SBS zu "echten" W2k3 möglich ist?
Dabei geht wahrscheinlich auch die Exchange Lizenz(en) flöten - wie gesagt SBS ist nicht so mein Ding.

Soweit mir bekannt ist, lässt SBS neben sich keinen weiteren DC im selben Netz zu
Doch das soll schon gehen, aber der SBS muß / will der primäre sein.

Ich würde an deiner Stelle folgendes machen:

1 Hauptdomain (W2k3) erstellen (Konzern.local) - hier kommt der SQL rein, eventuell auch der Exchange.
2 Unterdomains erstellen
Firma1.konzern.local
Firma2.konzern.local

Gruß
DoctorWho
DoctorWho 25.07.2008 um 14:53:56 Uhr
Goto Top
Hi Günter,

Ja, es sollen 3 getrennte Domänen sein, alle dann in einem Physikalischen Netz, bei gleichem Logischen Netz, z.b. 192.168.10.xxx

Die SBS habe auch untereinander keinen zugriff, nur die Clients greifen von beiden Firmen via SQL-Client und "sa" Anmeldung auf den 3. Server zu.

Einzig ich als admin, habe dann zugriff auf alle 3 rechner via RDP...


LG, Sven
DoctorWho
DoctorWho 25.07.2008 um 14:56:35 Uhr
Goto Top
Das muss leider aber anders aussehen: 3 primäre Domains server.firmaA.de, server.firmaB.de, server.SharedSAP.local (z.B.) (da auch von extern zugriff auf diese domäne)


LG Sven

EDIT:

Wir habe derzeit 1 Server mit SBS2003R2 Premium und SQL laufen, dieser Server soll auch weiterhin als SAP Server dienen...

Die beiden neuen Server existieren noch nicht, sollen aber (da Exchange schon integriert, und aus Kostengründen) auf SBS2003R2 Standard laufen...
Klar, Webserver geht auch mit 2k3 Standard, aber dann fehlt mir jeweils Exchange, was teuer ist.


LG Sven
60897
60897 25.07.2008 um 15:01:04 Uhr
Goto Top
Eigentlich hatte ich mich ja schon ins Wochenende verabschiedet...

Also Sachen gibt's - da will einer für zwei Firmen und zwei Domänen drei SBS und die sollen teilweise nicht und dann doch wieder - Det issn Stammtischding!

Nun mal im Ernst:

Ein SBS lässt sehr wohl andere DCs neben sich zu, man muss ja irgendwie auch mal einen Backup-DC installieren können. Weitere SBS allerdings funzen nicht. Da hilft auch die Idee mit der dritten Domäne nicht, weil ein SBS keine Vertrauensstellung aufbauen kann. Die wollen ja in Redmond die Arbeitslosenquote niedrig halten, also müssen Taler in die Kasse. Und so macht man das.

Shared Storage unter SBS-Kontrolle wie oben beschrieben: no. Jedenfalls nicht wirklich komfortabel. Mit ständiger Passworteingabe könnte das funktionieren, ähnlich als wenn es ein Standalone-Server wäre.
Warum sollen denn überhaupt zwei komplett getrennte Domänen laufen, wenn es ohnehin nur eine rechtliche Trennung ist? Das läßt sich mit nur einer Domäne doch wesentlich eleganter machen!? Vor allem: Wenn ein User der Domäne A sich mit der netten Kollegin von Firma B gut versteht, tauschen sie ihre Daten über DC3 aus. Was bringt das dann? Genau! Einen grauhaarigen Admin, weil der wahnsinnig wird face-wink

Die SQL-Geschichte könnte dagegen funktionieren.
Und ob Du das in ein oder dreissig LANs einbaust, ist letztlich auch egal. Innerhalb eines einzigen LAN hast Du halt auch keine Broadcastgrenzen. Hat Vor- und Nachteile.

Bsss! Und das vor'm Wochenende...
60730
60730 25.07.2008 um 15:05:15 Uhr
Goto Top
Das muss leider aber anders aussehen: 3 primäre Domains...
da auch von extern zugriff auf diese domäne)

Naja, das Konstrukt, das ich dir da beschreiben habe - ist bei uns (in größer) realisiert und funktioniert.
Zugriff von aussen (VPN) ich verstehe ehrlich nicht, was du damit meinst - das geht "ohne" weiteres.

Nur mal angenommen, dein Konzept wird realisiert:

Kollegin 0815 aus Firma 1 heiratet und bekommt einen neuen Namen - den kannst du dann in Domain 1 und in Domain shared ändern.
(Natürlich mußt du die "vorher" auch schön anlegen.)
Das ganze Rechtekonzept, das du mit Trusted Domains hast, und das dir viel Arbeit abnimmt, kannst du nicht einsetzen.
Und das wäre "mein" KO Kriterium.
DoctorWho
DoctorWho 25.07.2008 um 15:07:46 Uhr
Goto Top
es wird keine Vertrauensstellung benötigt zwischen den Servern..
Der 3. Server bietet gemeinsame Dateiordner und SAP für beide Firmen, ansonsten soll alles kpl. getrennt sein.

SAP Zugriff läuft auch ohne Anmeldung an einer Domäne...

der 3. soll dann auch einfach ein DC für eine primäre Domäne sein, die dann ruhig auf local endet.
Aber die beiden anderen brauche die "echte" registrierte Domäne FirmaA.de, FirmaB.de, da sonst andere Mailempfänger die email abweisen, da der FQDN nicht existiert im Web, wie gesagt, WEB, Mail, FTP Server im Hause, nicht gehostet...

Untereinander soll sich kein Server gegenseitig sehen, brauchen die auch nicht...

LG Sven
60897
60897 25.07.2008 um 15:12:09 Uhr
Goto Top
Ok, dann könnte das schon so laufen. TimoBeil hat aber wegen der aufwändigeren User- und Systembetreuung trotzdem Recht. Du machst halt alles irgendwo mehrfach. Außer, Du würdest entsprechende Software einsetzen, was aber wieder die Kosten verschlingt, die durch die SBS eingespart werden sollen.
Hm.

Ich geh jetzt.
60730
60730 25.07.2008 um 15:14:53 Uhr
Goto Top
es wird keine Vertrauensstellung benötigt zwischen den Servern..
Desweiteren soll der 3. Server auch als "Shared Storage" arbeiten, zum Austausch von Daten zwischen beiden Firmen...

ok, dann nimm dir mal die zwei Tage WE auszeit und "grübele" nach, wie Server 3 eine Dateiablage mit Rechten bewerkstelligen soll, wenn "er" keine Vertrauenstellung zu den anderen Domains hat.
Nur dann, wenn du doppelte Benutzer und doppelte Gruppen anlegst.
Um dann natürlich von Domain1 auf Domain Shared (3) zuzugreifen ist wieder eine "neue" Anmeldung nötig - und ändert der User sein Passwort in Domain 1.....

Klar - mit Vollen Rechten für alles auf Domain "shared" ist "das" kein Problem, aber dann hast du das nächste.

Ps: denk auch mal über ein "Worst Case" Szenario" nach - was passiert, wenn 1 DC ausfällt - dann hättest du "so" keinen Backup. ergo 3* zusätzliche Hardware und logischerweise auch Software.......

Gruß

Ps³ Dir steht selbstverständlich frei, "dein" Ding durchzuziehen und so aus deinen eigenen Fehlern zu lernen und es später "anders" zu machen.
Davon will (kann ich aber offensichtlich nicht) ich dich nur abhalten.
Du kennst doch den Spruch, nur der dumme lernt aus seinen eigenen Fehlern, der kluge lernt aus den Fehlern der anderen

edit:
Aber die beiden anderen brauche die "echte" registrierte Domäne FirmaA.de, FirmaB.de, da sonst andere Mailempfänger die email abweisen, da der FQDN nicht existiert im Web, wie gesagt, WEB, Mail, FTP Server im Hause, nicht gehostet...

Sorry, das habe ich jetzt erst gelesen.
Es ist vollkommen Jacke, wie Hose, wo im Web die Domain existieren.
Glaubst du im Ernst - bei irgendjemandem, der sowohl einen Exchange als auch seine Webseite intern betreibt, ist der Domainname der "Domain" ein Firma.de?
Wenn ja, hat der so ziemlich das größte Sicherheitsloch aufgerissen, das man nur aufreissen kann.

Auf unserem Exchange, der der Domain "konzern.local" angehört - laufen 9 verschiedene "externe"Mailadressensuffixe.
Wohin der MX Eintrag deutet, hat absolut rein garnichts damit zu tun, ob die "Windows" Domain "offiziel" ist - oder nicht.

sorry für die "harten" Worte, aber du solltest schleunigst ein paar Grundlagen lernen, bevor du das Konstrukt konstruierst, wir können dir nur dabei helfen - wie es richtig gemacht wird.
wiesi200
wiesi200 25.07.2008 um 18:41:15 Uhr
Goto Top
Geb ich dir absolut recht. Hab bei uns (ein verbund mit 3 Firmen) mal bei einer einen SBS gekauft und kurz darauf wieder rausgeschmissen. Im Prinzip funktioniert es schon aber die Einschränkungen vom SBS sind für soetwas furchtbar. Da gibt's keinerlei Vertrauensstellungen was eine vernünftige Verknüpfung der Domains unmöglich macht.

Für eine kleine Firma mit 10-15 Leuten die nichts besonderes machen kann man den SBS einsetzten. Aber sobald es etwas komplizierter wird kann man ihn vergessen.
GuentherH
GuentherH 25.07.2008 um 20:48:47 Uhr
Goto Top
Hallo.

Aber die beiden anderen brauche die "echte" registrierte Domäne FirmaA.de, FirmaB.de, da sonst andere Mailempfänger die email abweisen, da der FQDN nicht existiert im Web, wie gesagt, WEB, Mail, FTP Server im Hause, nicht gehostet...

Wie Timo schon schreibt, ist das absolut nicht nötig. Was mich an dem ganzen Konstrukt am meisten stört ist, das Web und ftp von außen zugänglich sein soll. Das ist meiner Meinung nach ein absolutes NO NO. Ein Web und FTP Server gehört in die DMZ und hat im LAN überhaupt nichts zu suchen.

LG Günther
datasearch
datasearch 26.07.2008 um 02:19:34 Uhr
Goto Top
Er pflegt warscheinlich auch die öffentlichen IP-Adressen im Windows-DNS brav nach um von innen die Firmenwebsite aufrufen zu können. Naja, unbelehrbar. Ich frage mich was das mit den Kosten immer soll. Ab 5 lizenzen (CAL´s reichen) kann man bei M$ Open-Verträge abschließen und bekommt den SQL incl. SRV2k3R2 STD für unter 2000€. Wenn eine Firma ned mal das hat aber SAP BSOne anschafft ... ohne Worte.

Auch die SAP-verbindungngen über VPN (ich vermute symetrische DSL-Verbindungen) bestätigen diese "auf anschaffungskosten" getrimmte Strategie.

Ihm selbst kann man da aber ned wirklich die Schuld in die Schuhe schieben. Meistens kommt so etwas von der Geschäftsleitung.

Ich bin auch mal sehr gespannt wie das SharedStorage aussehen wird. Der Server am zentralem Standort muss kein DC sein um SAP und SQL auszuführen. Für die Shares wird es warscheinlich auf normale Freigaben mit "Jeder:C" auslaufen. Spätestens wenn Ordner3 für Benutzer A,C,E,F aus SBSDOM1 und Benutzer C, H, L aus SBSDOM2 gesperrt werden muss wird es lustig face-wink

Ich verstehe trotzdem noch ned warum da ein SBSPremium angeschafft wurde. Für 200,-€ mehr hätte es für einen SQL-Server (open) und ServerStandard gereicht. Nagut, da kann man gleich noch ISA und Exchange in einer dritten Domäne einrichten. Hauptsache möglichst viele Funktionen die keiner benötigt aber möglichst viele Ressourcen fressen.

Die "Entscheider: WAS? Dieses Betriebssystem hat keine ApplicationLevelFirewall? Das brauchen wir aber unbedingt auf unserem Fileserver. Da können wir wieder am Router sparen und benötigen dort keine Firewall. SBS der kann das, also kaufen wir das. Vertrauensstellungen? Wir vertrauen niemandem. untergeordnete Domäne? Nein, alle Firmen sollten über ihre eigenen Domänen mit eigenem !!Server!! verfügen. Was? Für was einen zweiten Server? Wir haben doch Datensicherungen."

Was die Maildomains angeht, ohne Worte. Ich migriere gerade 25 Internetdomains auf unsere eigenen DNS-Server. Ich kann ja mal einen alten PC mit SBS2003 aufsetzen, die SBSDomain == INetDomain einrichten und das Ding ins Internet stellen. nee, kleiner Scherz. Das "ding" würde keine Woche überleben.


... ich werde das hier sehr mal gespannt beobachten.
magicsteve
magicsteve 27.07.2008 um 23:03:29 Uhr
Goto Top
Hi,

Diesen Link möchte ich hier einmal posten :

http://www.microsoft.com/germany/sbserver/uebersicht/faq/sbs2003_faq.ms ...

Dann bitte zum Punkt Netzwerke und Sicherheit gehen, da findest Du die offizielle Antwort.

Dein Problem wird sein, dass Du keine Vertrauensstellung zu der anderen Domäne herstellen kannst. Dies würde bedeuten, dass deine Benutzer sich wahrscheinlich jedes mal wieder aufs neue anmelden muessten.

Der SBS kann keiner anderen Domäne Vertrauen und dadurch dürftest Du ein Problem mit den Credentials bekommen.

Generell möchte ich fast behaupten, dass dein Vorhaben mit SBS nur schwer durchführbar sein dürfte.

Wichtig zu wissen wäre auch, wie viele user ihr habt. Da SBS auf 75 User limitiert. Wenn Du also in naher Zukunft nicht über 75 User kommst, dann würde ich es aus technischen Gründen bei einer Dmain lassen, und halt mit receipent policies (verschiedene Mailadressen) , host headern (verschiedene Domains fürs web) etc für die sichtbare Domaintrennung nach aussen hin arbeiten.

Der SBS ist einfach nicht für diese Konstellation gemacht, meines Erachtens nach, und stößt dabei an seine Grenzen.

Ansonsten, bliebe tatsächlich nur der Umstieg..

Aber gerne lasse ich mich eines besseren belehren. Also cracks an die Front :D

mfg
Steve