hamsert
Goto Top

Auslagerung SBS2011 Server in ein Rechenzentrum - VPN realisieren

Hallo liebe Community,

kurz vorweg, wenn der Beitrag in der falschen Themensektion untergebracht ist bitte verschieben.

Mein Wissen über das Thema ist noch eher gering, deswegen brauche ich Hilfe zu folgendem Szenario:

Ist- und Soll-Situation:
Wir haben ca. 30 Workstations und einen SBS2011 Server. Unter den Workstations befinden sich auch Laptops die mehr oder weniger häufig von zu Hause aus arbeiten (diese sind dann nicht mit der Domäne verbunden).
Bei der Anmeldung an der Domäne werden die Gruppenrichtlinien vom Server gepusht.
Die Laptop Benutzer arbeiten von zu Hause mit dem lokal gespeicherten Profil, welches dann wieder synchronisiert wird sobald sie wieder hier bei uns im LAN sind.
Der Server soll nun in ein Rechenzentrum ausgelagert werden. Künftig soll es so sein, dass die Laptop Benutzer sich auch von zu Hause aus an der Domäne anmelden können und dabei auch die Gruppenrichtlinien gepusht bekommen, und bei der Abmeldung ihr Profil auch synchronisieren wird.
Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.

Die Fragen:
Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren? Kriterien sind hier Sicherheit, Performance und Aufwand der Implementierung. Benötigt man hierfür auf jeden Fall VPN?
Wie sähe eine Beispiellösung aus? Sowohl grob als auch detailliert (HowTo) würde mich interessieren falls möglich.

Vielen Dank im Voraus für eure Hilfe,

Grüße

Content-ID: 245869

Url: https://administrator.de/contentid/245869

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

stefan641
stefan641 07.08.2014 um 17:26:59 Uhr
Goto Top
Hallo Hamsert

Ich würde dir für den Anfang die Software Softether vpn empfehlen. Da hast du die Qual der Wahl, wie du die VPN Verbindung realisierst. Ich würde auf jeden Fall eine VPN Verbindung herstellen.

Gruss Stefan641
Pjordorf
Pjordorf 07.08.2014 um 18:59:30 Uhr
Goto Top
Hallo,

Zitat von @Hamsert:
einen SBS2011 Server.
Welche Hardware und wie viel RAM?

Der Server soll nun in ein Rechenzentrum ausgelagert werden.
OhOh!

zu Hause aus an der Domäne anmelden können
Wie?

und dabei auch die Gruppenrichtlinien gepusht bekommen,
Reicht dazu die von MS erkannte Leitungsgeschwindigkeit um noch GPO's anzuwenden? (Slow Link Detection)

und bei der Abmeldung ihr Profil auch synchronisieren wird.
Bei einer Profilgröße von 10 MByte vielleicht noch hinnehmbar. Was sind die jeweiligen Leitungsgeschwindigkeiten der Enduser und eurer Rechenzentrum?

Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Leitungsgeschwindigkeiten? Was ist wenn alle um 08:00 ihre Rechner nutzen wollen? Reicht da auch noch die Leitung?

Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Warum diese Frage? VPN ist die einzige Antwort oder denkst du tatsächliche darüber nach etwa OHNE VPN ....

Sicherheit,
VPN

Performance
Die jeweiligen Leitungen (Up UND Download) sowie die jeweilige VPN Hardware oder Implementierung und dessen Hardware.

Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die Mitarbeiter werden dich Lynchen....

und Aufwand der Implementierung.
VPN im Rechenzentrum. VPN im Büro. VPN an allen Standorte. Und alles dann per Routing zusammenschalten das auch dein Logisches Netz abgebildet werden kann bzw. eine Kommunikation auch eventuell untereinander stattfinden kann (Drucker usw.)

Benötigt man hierfür auf jeden Fall VPN?
Ehrliche Antwort? "Blöde Frage" Kennst du etwas wie dies "Sicher"" erreicht werden kann OHNE VPN? Ich nicht. Und alleine der Gedanke dies OHNE VPN anzugehen ist schon ein Horrortrip.

Gruß,
Peter
keine-ahnung
keine-ahnung 07.08.2014 um 23:18:17 Uhr
Goto Top
Moin,
Benötigt man hierfür auf jeden Fall VPN?
natürlich nicht! Es kann dann halt nur jeder mitlesen ... face-wink

Server bleibt inhouse, besorgt Euch einen vernünftigen Breitbandanschluss + vernünftigen VPN-Router + vernünftige und kompatible VPN-Clientsoftware ...

LG, Thomas
Hamsert
Hamsert 08.08.2014 um 09:41:34 Uhr
Goto Top
Zitat von @Pjordorf:

Welche Hardware und wie viel RAM?
Intel Xeon CPU E5649 @2,67 GHz 2,66 GHz (2 Prozessoren) und 32 GB RAM.

> zu Hause aus an der Domäne anmelden können
Wie?
Das war ja die Frage, kann man das irgendwie realisieren, dass die Clients vor der Windows Anmeldung schon mit dem VPN verbunden werden, damit die Gruppenrichtlinien bei der User Anmeldung gepusht werden?

> und dabei auch die Gruppenrichtlinien gepusht bekommen,
Reicht dazu die von MS erkannte Leitungsgeschwindigkeit um noch GPO's anzuwenden? (Slow Link Detection)
Wir haben hier vor Ort eine Leitung mit 100 Mbit/s Download und knapp 6 Mbit/s Upload. Wie das bei den einzelnen Usern aussieht die nicht von hier arbeiten kann ich natürlich nicht pauschalisieren. Manche arbeiten unterwegs auch mit Surfstick. Die Slow Link Detection kann man aber auch soweit ich gelesen habe runter stellen, oder?

> und bei der Abmeldung ihr Profil auch synchronisieren wird.
Bei einer Profilgröße von 10 MByte vielleicht noch hinnehmbar. Was sind die jeweiligen Leitungsgeschwindigkeiten
der Enduser und eurer Rechenzentrum?
Siehe oben + Das Rechenzentrum hat auch eine 100 Mbit/s Leitung. Alternativ wären auch 1000 möglich soweit ich weiß. Bei den Profilen werden nur die Daten syncrhonisiert welche wirklich geändert wurden, wie viel das im Einzelfall ist lässt sich schlecht sagen, aber über 10 MB wird es schon (ab und zu) sein.

> Wir haben auch Netzwerkshares bei den Workstations eingebunden, welche weiterhin funktionieren sollen.
Leitungsgeschwindigkeiten? Was ist wenn alle um 08:00 ihre Rechner nutzen wollen? Reicht da auch noch die Leitung?
Ich denke das müsste passen, es geht handelt sich primär um Textdokumente bzw. PDFs, es wird da nicht permanent drauf geschrieben, es ging hier eher darum ob die Einbindung weiterhin realisierbar ist, aber soweit ich weiß ist das kein Problem.

> Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Warum diese Frage? VPN ist die einzige Antwort oder denkst du tatsächliche darüber nach etwa OHNE VPN ....
Ich denke schon das VPN die richtige Lösung ist, sollte mich aber auch über alternativen informieren face-wink Vielleicht gibt es ja noch andere Möglichkeiten eine verschlüsselte Verbindung zu dem Server aufzubauen...

> Performance
Die jeweiligen Leitungen (Up UND Download) sowie die jeweilige VPN Hardware oder Implementierung und dessen Hardware.
Mit nur 1 MBit/s auf einer Leitung (Nur eine einzige Strecke und Richtung betrachtet) wirst du keine Freude haben und die
Mitarbeiter werden dich Lynchen....
Kannst du da eine Mindestleitung empfehlen (sowohl client- als auch serverseitig)? Ist das oben geschilderte ausreichend?

> und Aufwand der Implementierung.
VPN im Rechenzentrum. VPN im Büro. VPN an allen Standorte. Und alles dann per Routing zusammenschalten das auch dein
Logisches Netz abgebildet werden kann bzw. eine Kommunikation auch eventuell untereinander stattfinden kann (Drucker usw.)
Sprich VPN auf dem Server, ein VPN Gateway im Büro und auf den mobilen Clients dann eine entsprechende Software, richtig?


Vielen Dank schon mal,

LG
FishersFritz
FishersFritz 08.08.2014 um 16:16:10 Uhr
Goto Top
Hallo,

mir fallen da 3 Lösungsansätze ein:

1. Ihr versorgt die Road Warrior mit VPN-fähigen Routern, welche unterwegs die Verbindung zu Eurem VPN-Einwahlserver herstellen. Da in diesem Fall die VPN-Verbindung außerhalb von Windows aufgebaut wird, kann die Benutzeranmeldung direkt in der Domäne erfolgen.

2. Ihr setzt auf DirectAccess, das seit Windows 7 ins Betriebssystem integriert ist, wobei Ihr da mehr braucht als nur einen SBS-Server (Näheres weiß Google).

3. Ihr bindet nicht die Notebooks selbst ins LAN ein, sondern lasst sie per Remote Desktop bzw. Terminal Server Client direkt auf einen Netzwerkserver zugreifen. In der RDP-Session greifen dann auch wieder die Gruppenrichtlinien.

Gruß

FishersFritz
aqui
aqui 08.08.2014 aktualisiert um 21:33:00 Uhr
Goto Top
VPN Beispiellösung findest du z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Nur deine VPN Hardware sollte etwas leistungsfähiger sein !
Von VPN auf dem Server kann man nur dringenst abraten. Das gehört auf eine leistungsfähige Firewall oder Router !
108012
108012 09.08.2014 um 01:59:35 Uhr
Goto Top
Hallo,

Wie lässt sich eine sichere Verbindung zum Server (DC) im Rechenzentrum am besten realisieren?
Via VPN!

  • Aber darf man einmal wissen wie es aussieht wenn zum Einen das RZ nicht mehr erreichbar
ist und zum Anderen wenn Eure Internetverbindung mal nicht mehr funktioniert???
  • Von dem Back und Restore des Servers mal ganz abgesehen, wie dringend braucht Ihr
den Server denn wenn der mal ausfällt?

Kriterien sind hier Sicherheit,
Dann den Server mal einfach bei sich in der Firma stehen lassen!

Performance und Aufwand der Implementierung.
Vor Ort ist das immer besser, sicherer und schneller als irgend wo sonst!

Benötigt man hierfür auf jeden Fall VPN?
Nein das nicht aber wenn Ihr demnächst Patente anmelden wollt die noch nicht im
Ausland die Runde machen wäre das schon anzuraten.

Wie sähe eine Beispiellösung aus?
Server in das RZ und dann via VPN verbinden, fertig.

Sowohl grob als auch detailliert (HowTo) würde mich interessieren falls möglich.
Was steht denn vor dem Server im RZ?

Ein Router oder eine Firewall oder gar nichts oder was?

Ohne das man nicht genau weiß was auf beiden Seiten vorhanden ist
kann man da nur mutmaßen und/oder raten.

Gruß
Dobby