Fragen zu VPN Tunnel , Lizenzsystem , Thin Clients etc.
Da ihr in meinem alten Thread nicht antwortet , und es sehr wichtig ist , bitte ich euch jetzt nochmals um eure Hilfe
Hallo ,
da dies genau das Forum ist , welches ich gesucht habe , werde ich euch jetzt meine Frage stellen .
1.Will einen Terminal-Server (P4 3.2GHz, 2GB Ram , 2x74Raptoren etc.) aufsetzen , welches OS ?
2.Vor dem Server kommt ein Drytek Router welcher VPN Tunnel unterstützt , schwierig einzustellen ?
3.Die 7 Thin Clients ( sind die OK) sind alle an andere Orten , reicht bei denen A-DSL 1Mbyte , der Server bekommt S-DSL 1Mbyte
4.Muss ich bei den Clienten auch einen Router vorschalten , oder kann man den VPN Tunnel auch via Software "ansteuern" ?
5.Wenn ich Windows 2003 Server (oder Server 2000) verwende , brauche ich doch nur 7 Zugriffslizenzen , die Clients haben Windows XPe , oder ?
6.Auf den Server kommt Office , ein Art Kassensystem (Datenbank etc.) , da reicht die Hardware dicke , oder ?
7.Wie ebend schon erwähnt , sind die Thin Clients von HP gut , lieber andere ?
Hallo ,
da dies genau das Forum ist , welches ich gesucht habe , werde ich euch jetzt meine Frage stellen .
1.Will einen Terminal-Server (P4 3.2GHz, 2GB Ram , 2x74Raptoren etc.) aufsetzen , welches OS ?
2.Vor dem Server kommt ein Drytek Router welcher VPN Tunnel unterstützt , schwierig einzustellen ?
3.Die 7 Thin Clients ( sind die OK) sind alle an andere Orten , reicht bei denen A-DSL 1Mbyte , der Server bekommt S-DSL 1Mbyte
4.Muss ich bei den Clienten auch einen Router vorschalten , oder kann man den VPN Tunnel auch via Software "ansteuern" ?
5.Wenn ich Windows 2003 Server (oder Server 2000) verwende , brauche ich doch nur 7 Zugriffslizenzen , die Clients haben Windows XPe , oder ?
6.Auf den Server kommt Office , ein Art Kassensystem (Datenbank etc.) , da reicht die Hardware dicke , oder ?
7.Wie ebend schon erwähnt , sind die Thin Clients von HP gut , lieber andere ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3431
Url: https://administrator.de/contentid/3431
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
36 Kommentare
Neuester Kommentar
Hallo,
zu den Fragen 1, 2, 4, 5, 6 und 7:
Das ist relativ.... ich würde eher auf den drytek Router verzichten, den bruachst du hier nicht und ist auch damit komplizierter zu konfigurieren. Kauf dir als OS Small Business Server Premium, denn da ist die sehr gute Firewall ISA Server mit dabei....
zusätzlich brauchst du noch zwei Zugriffslizenzen, da hier nur 5 dabei sind
besonders viel Hardware ist dein Server nicht, wenn darauf Terminal Server läuft, vorallem der RAM könnte hier das ganze langsam machen.... denn die ganzen Dienste laufen ja auf dem Server ab, vergiß das nicht....
Über ISA Server, Routing und RAS + VPN hast du unter Windows 2000 oder 2003 Server alles onbaord, was du brauchst um das ganze zu Routen, VPN aufzubauen und es abzusichern.
Den Router kannst du dir sparen. Wichtig ist nur eine zweite Netzwerkkarte, die für die externe IP-Adresse und Filtering wichtig ist.
Die Clients von HP gehen genauso. Du kannst auch Topedo Clients nehmen für 350 ? das geht auch...
Für die Clients brauchst du keinen Router, das VPN Protkoll ist in Windows integriert und für eine ADSL Verbindung brauchst du nur das Modem und Netzwerkkarte.
3. Das ist ebenfalls relativ, hängt davon ab, wieviel Daten letztendlich wirklich hin und hergeschickt werden. Gut ist es, wenn du einen Provider hast, wo du das ganze aufstocken kannst jederzeit. Außerdem sollte es feste IPs und eine echte Flat sein. Falls du nach einem Provider suchst, wir haben hier einen sehr guten und preiswerten für S-DSL, da kannst du dich an mich wenden, dann gebe ich dir dei infos.... Für die Clients gilt das selbe... normalerweise sollte es reichen, aber hier ist der limitierende Faktor der Upstream....
zu den Fragen 1, 2, 4, 5, 6 und 7:
Das ist relativ.... ich würde eher auf den drytek Router verzichten, den bruachst du hier nicht und ist auch damit komplizierter zu konfigurieren. Kauf dir als OS Small Business Server Premium, denn da ist die sehr gute Firewall ISA Server mit dabei....
zusätzlich brauchst du noch zwei Zugriffslizenzen, da hier nur 5 dabei sind
besonders viel Hardware ist dein Server nicht, wenn darauf Terminal Server läuft, vorallem der RAM könnte hier das ganze langsam machen.... denn die ganzen Dienste laufen ja auf dem Server ab, vergiß das nicht....
Über ISA Server, Routing und RAS + VPN hast du unter Windows 2000 oder 2003 Server alles onbaord, was du brauchst um das ganze zu Routen, VPN aufzubauen und es abzusichern.
Den Router kannst du dir sparen. Wichtig ist nur eine zweite Netzwerkkarte, die für die externe IP-Adresse und Filtering wichtig ist.
Die Clients von HP gehen genauso. Du kannst auch Topedo Clients nehmen für 350 ? das geht auch...
Für die Clients brauchst du keinen Router, das VPN Protkoll ist in Windows integriert und für eine ADSL Verbindung brauchst du nur das Modem und Netzwerkkarte.
3. Das ist ebenfalls relativ, hängt davon ab, wieviel Daten letztendlich wirklich hin und hergeschickt werden. Gut ist es, wenn du einen Provider hast, wo du das ganze aufstocken kannst jederzeit. Außerdem sollte es feste IPs und eine echte Flat sein. Falls du nach einem Provider suchst, wir haben hier einen sehr guten und preiswerten für S-DSL, da kannst du dich an mich wenden, dann gebe ich dir dei infos.... Für die Clients gilt das selbe... normalerweise sollte es reichen, aber hier ist der limitierende Faktor der Upstream....
sorry, wenn ich mich hier einmische, aber:
1. Das RDP Protokoll mit dem die Clients mit dem Terminalserver kommunizieren, ist bereits von Haus aus verschlüsselt. Den VPN Tunnel würde ich daher nur machen, wenn auch lokale Laufwerke durchgemappt werden. Da die Anforderung ein ThinClient ist, der also über keine lokalen Festplatten verfügt, würde ich keinen VPN Tunnel aufbauen, sondern direkt auf den RDP Port 3389 (man kann ihn aber auch auf einen anderen Port ändern!) gehen.
2. VPN ist (so absurd es klingt!) ein Sicherheitsrisiko; damit kann nämlich ohne Perimeter Netzwerk oder Quarantäne ein Virus von einem infizierten Client leicht auf den Server übertragen werden.
3. der Small Business Server enthält nur 5 CALS jedoch KEINE TSCALS die für den Zugriff als Terminalserverclients notwendig sind! Er muß daher 7 neue TSCals kaufen. (gibts nur im 5er Pack)
4. ich würde auf der Seite vom Server einen NAT-Router nehmen, und dafür den ISA Server weglassen. Was sollten die "dummen" Thin Clients denn als gefährliche oder zu filternde Pakete einschleusen? Macht nur den Server langsam und ein Router ist zwar nicht die beste aber sicher die effizientere und schnellere Firewall.
5. pro Client reicht eine Bandbreite ab 64K, ein Standard ADSL mit zB 512/128 wäre völlig ausreichend, beim Server würde ich XDSL mit 1MBit in beide Richtungen benutzen
6. die Thinclients von HP sind sehr gut, habe selbst ein paar im Einsatz. Fand sie jedoch teuer für das wenige bisschen, was sie können.
Hope this helps
A.
1. Das RDP Protokoll mit dem die Clients mit dem Terminalserver kommunizieren, ist bereits von Haus aus verschlüsselt. Den VPN Tunnel würde ich daher nur machen, wenn auch lokale Laufwerke durchgemappt werden. Da die Anforderung ein ThinClient ist, der also über keine lokalen Festplatten verfügt, würde ich keinen VPN Tunnel aufbauen, sondern direkt auf den RDP Port 3389 (man kann ihn aber auch auf einen anderen Port ändern!) gehen.
2. VPN ist (so absurd es klingt!) ein Sicherheitsrisiko; damit kann nämlich ohne Perimeter Netzwerk oder Quarantäne ein Virus von einem infizierten Client leicht auf den Server übertragen werden.
3. der Small Business Server enthält nur 5 CALS jedoch KEINE TSCALS die für den Zugriff als Terminalserverclients notwendig sind! Er muß daher 7 neue TSCals kaufen. (gibts nur im 5er Pack)
4. ich würde auf der Seite vom Server einen NAT-Router nehmen, und dafür den ISA Server weglassen. Was sollten die "dummen" Thin Clients denn als gefährliche oder zu filternde Pakete einschleusen? Macht nur den Server langsam und ein Router ist zwar nicht die beste aber sicher die effizientere und schnellere Firewall.
5. pro Client reicht eine Bandbreite ab 64K, ein Standard ADSL mit zB 512/128 wäre völlig ausreichend, beim Server würde ich XDSL mit 1MBit in beide Richtungen benutzen
6. die Thinclients von HP sind sehr gut, habe selbst ein paar im Einsatz. Fand sie jedoch teuer für das wenige bisschen, was sie können.
Hope this helps
A.
also:
ad 1.: Die Kommunikation zwischen ThinClient bzw. Remotedesktop und dem Terminalserver läuft über das TCP Protokoll RDP =Remote Desktop Protokoll. Dessen Standardport ist 3389. (Diesen Port solltest Du dann auch vom Router auf den Server mappen) Dieses Protokoll verschlüsselt bereits die gesamte Kommunikation zwischen Client und Server (das ist es ja, was Du mit dem VPN erreichen möchtest, oder?). Dazu noch VPN einzusetzen wäre sinnlos, Du würdest die verschlüsselten Daten nochmal verschlüsseln, außerdem mußt Du sicherstellen, daß Deine Clients in einem Netz stehen, das bereits den VPN Tunnel aufbaut weil es sie selbst (TMHO) nicht können.
ad 2: VPN ist gut, in der angeführten Konfiguration jedoch nicht notwendig/bzw. höherer Konfigurationsaufwand, der - wenn Du nur mit den Thinclients zugreifen willst - nichts bringt.
ad 3: Du brauchst nur die TSCALS (die CALS sind schon dabei, die hast Du halt einfach), wenn Du mehr Users als Computers hast, dann nimm per device Lizenzen
ad 5: X-DSL=Österreichisches S-DSL
ad 6: alte Computer die Du sonst entsorgen würdest... schicker sind halt die Thinclients; sie sind auch völlig geräuschlos
Die Installation ist simpel:
1. auf Router Portmapping von 3389 auf die interne Serverip (die ganz Paranoiden ändern den Port auf einen anderen, das kann das RDP Protokoll)
2. am Server:
a) Installation des Terminalservers und des Terminallizenzservers
b) Aktivierung des Terminallizenzservers
c) Eintragen der TSCALS
d) User, die in den Terminal dürfen müssen Mitglied der Gruppe Remotedesktop Users sein.
ACHTUNG!!! wenn du den Terminallizenzserver nicht aktivierst, können die User nach 90 Tagen nicht mehr zugreifen!
3. Internet: Du solltest eine statische IP Adresse vom Provider haben (für den S-DSL beim Server), wenn das nicht geht, dann halt einen dyndns verwenden, aber besser ist natürlich die statische Adresse. Bei einer dynamischen Adresse bitte beim Exchange aufpassen, der braucht dann einen Smarthost, sonst nehmen viele Mailserver die gesendeten Mails nicht an.
generell: solltest Du Outlook einsetzen wollen (du hast im Anforderungsprofil "Office" geschrieben) wäre es sinnvoll (wie Christian bereits empfohlen hat) den Small Business Server 2003 (Standard, wenn Du keinen SQL oder ISA Server brauchst) einzusetzen, weil der den Exchange 2003 und ein paar nette Intranetfeatures dabei hat.
Ich würde auf jeden Fall Windows Server 2003 (eventuell Small Business Server 2003) einsetzen! Der ist wesentlich verbessert im Vergleich zu 2000
Hope this helps
A.
ad 1.: Die Kommunikation zwischen ThinClient bzw. Remotedesktop und dem Terminalserver läuft über das TCP Protokoll RDP =Remote Desktop Protokoll. Dessen Standardport ist 3389. (Diesen Port solltest Du dann auch vom Router auf den Server mappen) Dieses Protokoll verschlüsselt bereits die gesamte Kommunikation zwischen Client und Server (das ist es ja, was Du mit dem VPN erreichen möchtest, oder?). Dazu noch VPN einzusetzen wäre sinnlos, Du würdest die verschlüsselten Daten nochmal verschlüsseln, außerdem mußt Du sicherstellen, daß Deine Clients in einem Netz stehen, das bereits den VPN Tunnel aufbaut weil es sie selbst (TMHO) nicht können.
ad 2: VPN ist gut, in der angeführten Konfiguration jedoch nicht notwendig/bzw. höherer Konfigurationsaufwand, der - wenn Du nur mit den Thinclients zugreifen willst - nichts bringt.
ad 3: Du brauchst nur die TSCALS (die CALS sind schon dabei, die hast Du halt einfach), wenn Du mehr Users als Computers hast, dann nimm per device Lizenzen
ad 5: X-DSL=Österreichisches S-DSL
ad 6: alte Computer die Du sonst entsorgen würdest... schicker sind halt die Thinclients; sie sind auch völlig geräuschlos
Die Installation ist simpel:
1. auf Router Portmapping von 3389 auf die interne Serverip (die ganz Paranoiden ändern den Port auf einen anderen, das kann das RDP Protokoll)
2. am Server:
a) Installation des Terminalservers und des Terminallizenzservers
b) Aktivierung des Terminallizenzservers
c) Eintragen der TSCALS
d) User, die in den Terminal dürfen müssen Mitglied der Gruppe Remotedesktop Users sein.
ACHTUNG!!! wenn du den Terminallizenzserver nicht aktivierst, können die User nach 90 Tagen nicht mehr zugreifen!
3. Internet: Du solltest eine statische IP Adresse vom Provider haben (für den S-DSL beim Server), wenn das nicht geht, dann halt einen dyndns verwenden, aber besser ist natürlich die statische Adresse. Bei einer dynamischen Adresse bitte beim Exchange aufpassen, der braucht dann einen Smarthost, sonst nehmen viele Mailserver die gesendeten Mails nicht an.
generell: solltest Du Outlook einsetzen wollen (du hast im Anforderungsprofil "Office" geschrieben) wäre es sinnvoll (wie Christian bereits empfohlen hat) den Small Business Server 2003 (Standard, wenn Du keinen SQL oder ISA Server brauchst) einzusetzen, weil der den Exchange 2003 und ein paar nette Intranetfeatures dabei hat.
Ich würde auf jeden Fall Windows Server 2003 (eventuell Small Business Server 2003) einsetzen! Der ist wesentlich verbessert im Vergleich zu 2000
Hope this helps
A.
@Samtpfote:
es ist es richtig, daß Terminalserver kein VPN benötigt und ich gebe dir auch insofern recht, daß VPN in der reinform ohne Zeritifierung über ein externes Zeritifkat (bsp über Verisign) nicht sehr sicher ist, auch wenn es als das immer verkauft wird.
Allerdings hat der Author nach VPN gefragt und zweitens wird leider oft von so komischen Kassenprogrammen (ich kenne das aus Apotheken beispielsweise) werden gemappte Laufwerke für den Ablauf benötigt.
Allerdings wiederspreche ich dir in der Lizenzierung, da wir hier schon Ärger gehabt haben, sobald das über das Internet geht und nicht in einem lokalen Netz ist, sieht es mit der Lizenzierung anderst aus.
Auch würde ich hier keinen Router einsetzen, da (die oft günstigen eingesetzen Router) nicht gerade hohe Sicherheitslevel erfüllen.
hier lassen sich die meisten Router recht einfach überrumpeln und (auch wenn ich Microsoft nicht mag), aber der ISA Server (wahrscheinlich weil nicht selber entwickelt) ist auch nach Fachmeinung eine sehr sichere und zuverlässige Sache. Außerdem fügt er sich gut in die ADS, Exchange, Webserver Welt ein. Auch für nicht sehr visierte Leute ist so die Web- oder Mailserververöffentlichung sehr sicher aber auch leicht durchzuführen.
Noch ein Punkt zu VPN.... bei unseren Netzen, wo VPN eingesetzt wird, habe ich es bisehr noch nicht erlebt, daß VPN direkt angegriffen wird. Liegt wohl daran, daß Mathematiker und Informatiker faule Hunde sind und die größte Sicherheitslücke nicht das System, sondern die Person ist, die davor sitzt ist. Überspitzt gesagt, warum eine Verbindung knacken, wenn es ein Mail genügt, um ein Passwort zu erfahren.
es ist es richtig, daß Terminalserver kein VPN benötigt und ich gebe dir auch insofern recht, daß VPN in der reinform ohne Zeritifierung über ein externes Zeritifkat (bsp über Verisign) nicht sehr sicher ist, auch wenn es als das immer verkauft wird.
Allerdings hat der Author nach VPN gefragt und zweitens wird leider oft von so komischen Kassenprogrammen (ich kenne das aus Apotheken beispielsweise) werden gemappte Laufwerke für den Ablauf benötigt.
Allerdings wiederspreche ich dir in der Lizenzierung, da wir hier schon Ärger gehabt haben, sobald das über das Internet geht und nicht in einem lokalen Netz ist, sieht es mit der Lizenzierung anderst aus.
Auch würde ich hier keinen Router einsetzen, da (die oft günstigen eingesetzen Router) nicht gerade hohe Sicherheitslevel erfüllen.
hier lassen sich die meisten Router recht einfach überrumpeln und (auch wenn ich Microsoft nicht mag), aber der ISA Server (wahrscheinlich weil nicht selber entwickelt) ist auch nach Fachmeinung eine sehr sichere und zuverlässige Sache. Außerdem fügt er sich gut in die ADS, Exchange, Webserver Welt ein. Auch für nicht sehr visierte Leute ist so die Web- oder Mailserververöffentlichung sehr sicher aber auch leicht durchzuführen.
Noch ein Punkt zu VPN.... bei unseren Netzen, wo VPN eingesetzt wird, habe ich es bisehr noch nicht erlebt, daß VPN direkt angegriffen wird. Liegt wohl daran, daß Mathematiker und Informatiker faule Hunde sind und die größte Sicherheitslücke nicht das System, sondern die Person ist, die davor sitzt ist. Überspitzt gesagt, warum eine Verbindung knacken, wenn es ein Mail genügt, um ein Passwort zu erfahren.
Lieber Christian!
Sorry, wenn ich Dir widerspreche, aber:
1. gemappte Laufwerke am Server in der Terminalsitzung sind ja überhaupt kein Problem! Es ging darum, daß er von Thinclients zugreifen möchte. Thinclients haben keine lokalen Festplatten. (und dafür wäre es vielleicht sinnvoll, VPN einzusetzen, nämlich um auch von dem Remotecomputer selbst und nicht nur über die Terminalsitzung auf den Server zuzugreifen.) Wofür brauchst Du also VPN? es gibt nichts, was er außerhalb der Terminalsitzung an den Server übertragen sollte, also ist auch das VPN nicht notwendig, weil er dann die Verschlüsselung verschlüsseln würde.
2. das mit den Zertifikaten hast Du falsch verstanden; ein Verisign Zertifikat ist ebenso sicher und hat ebenso dieselben Verschlüsselungstiefen wie ein selbst ausgestelltes Zertifikat! Es geht bei den Zertifikaten immer nur um die externe Überprüfungsmöglichkeit und Glaubwürdigkeit, nie um das Verschlüsselungsvermögen! Für eine Organisation, die ihre eigenen Mitarbeiter über eine Public Key Infrastructure zugreifen lassen möchte und die über eine Enterprise Certification Authority verfügt, wäre es nicht sinnvoll, für Anmeldungen an die Domäne irgendetwas anderes als die eigenen Zertifikate auszustellen.
3. VPN: VPN kann auf 2 Arten aufgebaut werden nämlich PPTP/IPSec als Verschlüsselunsgprotokoll mit MS CHAP v2 als Authentifizierung, dafür brauchst Du KEINE!!!! Zertifikate (Standard!) nur einen (Domänen)Benutzernamen und ein Passwort, die durch MS Chap verschlüsselt übertragen werden. nur bei L2TP/IPSec als Verschlüsselungsprotokoll brauchst du als Authentifizierungsprotokoll EAP-TLS und das benötigt ein Zertifikat oder ein shared Secret (Zertifikat auf Smartcard!).
4. Lizensierung: der Zugriff erfolgt eben NICHT über das Internet (wie etwa bei einer Webseite) sondern letztlich nur über den Terminal (und das Verbindungsmedium Internet), daher brauchst Du in jedem Fall (wenn Du nicht in dem 2-user Administrationsmodus arbeitest) einen Terminallizenzserver + TSCals (sonst ist nach 90 Tagen Schluß). Deiner Aussage entnehme ich, daß Du noch nie einen Terminallizenzserver eingerichtet hast, sonst wüßtest Du, daß der Terminalzugriff ohne TSCALS (außer im Administrationsmodus) nichts geht (bzw. nach 90 Tagen nicht mehr geht). Die Lizensierung ist dabei gleich wie wenn Du auf den Server über LAN-Clients zugreifen würdest (bin lizenzgeplagter Microsoft Partner... ich kenn deren abartige Lizenzstrukturen bestens...
5. Router vs. ISA: ich gebe Dir vollkommen recht, daß Router nicht unbedingt die sicherste Firewall sind, ISA alleine ist aber NOCH unsicherer; nicht weil er Angriffe durchlassen würde, sondern weil der Angriff schon direkt am Server (also eigentlich schon am Herz des Geschehens stattfindet) die beste Konfiguration ist selbstverständlich die Kombination Router + ISA Server. Aber sagen wirs so: wenn entweder Router ODER ISA zur Verfügung stehen, würde ich unbedingt Router empfehlen, weil so die kleinen hackenden Scriptkiddies den Router beschäftigen und nicht schon am Server fummeln, und über das NAT des Routers drüberzukommen erfordert doch schon die Manipulation von IP Paketen. Und den Router kann ich leichter ein und ausschalten als den ISA. In großen Netzen setze ich Router + Permeternetz mit ISA + Router + Internes Netz ein. (also 3 Firewalls)
Angriff auf VPN:
Wenn VPN über Passwort und Benutzername läuft (Standard wenn Du es im RRAS einrichtest), dann ist es natürlich durch Bruteforceattacken verwundbar. (gleiche Verwundbarkeit wie beim Zugriff nur über RDP mit Terminalsession), also wirklich sicher ist VPN nur mit PKI, nur wer installiert gleich einen Zertifikatsserver, gibt seinen Remoteclients Smartcards etc.... und das SharedSecret ist natürlich auch wieder Bruteforcemäßig zu knacken. Letztlich läßt sich die Frage nach Sicherheit nur mit der Überlegung, wieviel Zeit man braucht, um es zu knacken, beantworten. Es gibt kein 100% sicheres System.
Alles Liebe
A.
Sorry, wenn ich Dir widerspreche, aber:
1. gemappte Laufwerke am Server in der Terminalsitzung sind ja überhaupt kein Problem! Es ging darum, daß er von Thinclients zugreifen möchte. Thinclients haben keine lokalen Festplatten. (und dafür wäre es vielleicht sinnvoll, VPN einzusetzen, nämlich um auch von dem Remotecomputer selbst und nicht nur über die Terminalsitzung auf den Server zuzugreifen.) Wofür brauchst Du also VPN? es gibt nichts, was er außerhalb der Terminalsitzung an den Server übertragen sollte, also ist auch das VPN nicht notwendig, weil er dann die Verschlüsselung verschlüsseln würde.
2. das mit den Zertifikaten hast Du falsch verstanden; ein Verisign Zertifikat ist ebenso sicher und hat ebenso dieselben Verschlüsselungstiefen wie ein selbst ausgestelltes Zertifikat! Es geht bei den Zertifikaten immer nur um die externe Überprüfungsmöglichkeit und Glaubwürdigkeit, nie um das Verschlüsselungsvermögen! Für eine Organisation, die ihre eigenen Mitarbeiter über eine Public Key Infrastructure zugreifen lassen möchte und die über eine Enterprise Certification Authority verfügt, wäre es nicht sinnvoll, für Anmeldungen an die Domäne irgendetwas anderes als die eigenen Zertifikate auszustellen.
3. VPN: VPN kann auf 2 Arten aufgebaut werden nämlich PPTP/IPSec als Verschlüsselunsgprotokoll mit MS CHAP v2 als Authentifizierung, dafür brauchst Du KEINE!!!! Zertifikate (Standard!) nur einen (Domänen)Benutzernamen und ein Passwort, die durch MS Chap verschlüsselt übertragen werden. nur bei L2TP/IPSec als Verschlüsselungsprotokoll brauchst du als Authentifizierungsprotokoll EAP-TLS und das benötigt ein Zertifikat oder ein shared Secret (Zertifikat auf Smartcard!).
4. Lizensierung: der Zugriff erfolgt eben NICHT über das Internet (wie etwa bei einer Webseite) sondern letztlich nur über den Terminal (und das Verbindungsmedium Internet), daher brauchst Du in jedem Fall (wenn Du nicht in dem 2-user Administrationsmodus arbeitest) einen Terminallizenzserver + TSCals (sonst ist nach 90 Tagen Schluß). Deiner Aussage entnehme ich, daß Du noch nie einen Terminallizenzserver eingerichtet hast, sonst wüßtest Du, daß der Terminalzugriff ohne TSCALS (außer im Administrationsmodus) nichts geht (bzw. nach 90 Tagen nicht mehr geht). Die Lizensierung ist dabei gleich wie wenn Du auf den Server über LAN-Clients zugreifen würdest (bin lizenzgeplagter Microsoft Partner... ich kenn deren abartige Lizenzstrukturen bestens...
5. Router vs. ISA: ich gebe Dir vollkommen recht, daß Router nicht unbedingt die sicherste Firewall sind, ISA alleine ist aber NOCH unsicherer; nicht weil er Angriffe durchlassen würde, sondern weil der Angriff schon direkt am Server (also eigentlich schon am Herz des Geschehens stattfindet) die beste Konfiguration ist selbstverständlich die Kombination Router + ISA Server. Aber sagen wirs so: wenn entweder Router ODER ISA zur Verfügung stehen, würde ich unbedingt Router empfehlen, weil so die kleinen hackenden Scriptkiddies den Router beschäftigen und nicht schon am Server fummeln, und über das NAT des Routers drüberzukommen erfordert doch schon die Manipulation von IP Paketen. Und den Router kann ich leichter ein und ausschalten als den ISA. In großen Netzen setze ich Router + Permeternetz mit ISA + Router + Internes Netz ein. (also 3 Firewalls)
Angriff auf VPN:
Wenn VPN über Passwort und Benutzername läuft (Standard wenn Du es im RRAS einrichtest), dann ist es natürlich durch Bruteforceattacken verwundbar. (gleiche Verwundbarkeit wie beim Zugriff nur über RDP mit Terminalsession), also wirklich sicher ist VPN nur mit PKI, nur wer installiert gleich einen Zertifikatsserver, gibt seinen Remoteclients Smartcards etc.... und das SharedSecret ist natürlich auch wieder Bruteforcemäßig zu knacken. Letztlich läßt sich die Frage nach Sicherheit nur mit der Überlegung, wieviel Zeit man braucht, um es zu knacken, beantworten. Es gibt kein 100% sicheres System.
Alles Liebe
A.
Hallo dual,
Nein, das bedeutet, daß ein freigegebenes Laufwerk mit dem Client verbunden wird.
Leider sind 98% der Programme auf dieser Welt mist und schlecht programmiert.... Respekt habe ich zum Beispiel vor den Leuten, die TCP/IP entwickelt haben oder SQL (mit 5 Befehlen eine ganz Datenbank steuern und manipulieren, das ist genial). Man sieht es am Aufbau dieser Programme, hier hat wirklich jemand mitgedacht. Beispiel TCP/IP, das gibt es schon seit Jahrzehnte, es wurde entwickelt für ein militärische Rechner und für zuverlässige Paketübertragung. Ein normaler Programmierer hätte es eben genau für diese paar Rechner ausgelegt und programmiert. Hätte wahrscheinlich mit Parity gearbeitet und nicht mit Paketen.
Aber dieses Protokoll bedient heute Millionen von Rechner sehr zuverlässig.
Tut mir leid mein kleiner Ausflug, aber wenn man als Administrator jeden Tag diese Mistprogramme zu Administrieren hat, dann freut man sich über einfache und geniale Dinge die funktionieren.
Wenn eine DB richtig gemacht ist, brauchst du so wie Samtpfote sagt nur dein Terminalprogramm und den DB Connector und alles läuft schon. Allerdings nur in der Theorie. Denn leider brauchen die verschiedensten Applikationen auf eine Freigabe des Serverprogramms beispielsweise einen Zugriff, weil diese dort Einstellungen auslesen, Aktualisierungen über Rexx oder VB Skript erhalten oder einfach dort das ICON für das Programmsymbol abgelegt wird. Wenn das der Fall ist, muß oft ein Laufwerk vom Client mit dem des Servers verbunden werden.... das nennt man mapping...
Router und Software ist nicht unbedingt unterschiedlich.... es ist ähnlich wie mit den Raidcontrollern, hier gibt es Software bzw. Flash gestützte oder auch richtige Hardwareraid systeme. Ähnlich verhält es sich auch mit Routern.
Viele günstige Router setzten nur eine Software auf, die im Prinzip nichts anderes macht, als eine Softwarelösung auf dem Server. Insofern sind beide Softwarelösungen und bringen die entsprechenden Nachteile, aber auch gewisse Vorteile mit.
Hardware basierte Lösungen sind entsprechend teuer (bei Routern kenne ich keine unter 1000 ? die wirklich Hardwarebasierend ist, beispielsweise von 3COM oder Cisco), gewährleisten aber hohe Performance und Sicherheit. Aus diesem Grund kannst du eine Firewall kaufen für 50 Euro, aber auch einen 6stelligen Betrag dafür ausgeben.
Nur lassen wir mal die Kirche im Dorf. Man braucht sich nicht über Sicherheit unterhalten und welchen Router geeignet ist oder die Sicherheitsanforderungen erfüllt, wenn auf den Rechner die Patches fehlen oder Benutzer sich während der Mittagspause oder wenn sie für längere Zeit den Rechner verlassen, sich nicht abmelden.
Das was zu 99% auf deiner Firewall auftritt ist Portscanning, irgendwelche Viren oder Trojaner bzw. Würmer, die sich ihren weg durchs Netz suchen. Für Wirtschaftskriminalität sind wir nicht interessant genug und für den Kick eines Hackers sind unsere Systeme zu schwach gesichert.
Von der Seite her halte ich vieles hier diskutierte für spekulativ....
Das heißt nicht, das man nicht eine Grundsicherheit haben sollte, aber dies muß alles gegenüber Nutzen und Kosten in Relation halten. Keiner Zuhause würde sich Fort Knox bauen, aber eine vernünftige Haustüre die abgeschlossen sein sollte und vielleicht gute Fenster sollte es schon sein.
ISA Server Einrichtung schwierig ? Das ist relativ.... für deinen Zweck nicht.... wenn du die Grundeinstellunge beläßt und nur die Port freigibst, die du benötigst und ansonsten nicht damit rumspielt, ist es ein recht sicheres und einfaches Programm....
Wenn du mehr damit machen willst, empfehle ich dir das Buch: Der ISA Server 2000 Trainer Einsetzen und Verwalten von Nicole Laue
Zum Thema Lizenzierung kannst du hier einiges nachlesen: http://www.microsoft.com/germany/ms/lizenznews/ts_lizenzen.asp
Standard oder Professional: Vorausgesetzt deine Datenbank braucht nicht den SQL Server von Microsoft, sondern bringt selber was mit oder hat eine eigene DB, dann reicht auch bei einer Routerlösung die Standard Variante.
Setzt du kein Exchange ein, sondern KEN oder eine andere Mailserver oder rufst deine Konton direkt beim Provider ab, dann brauchst du auch kein SBS.
S-DSL => gerne, schick mir einfach deine Daten (Adresse + Tel. Nr) denn man muß zuerst die Verfügbarkeit testen oder du schaust selber unter http://www.telefonica.de/linecheck/, das ist eine ganz gute Anlaufstelle. Wenn das geht, melde dich wieder....
Beispiel für einen S-DSL Preis:
2,3 MBit / s SDSL
IP traffic und SDSL Leitungskosten inklusive (du brauchst hierfür nicht wie bei anderen ein Modem, einen Anschluß etc. ist alles schon mit drin)
IP Adresse dediziert inklusive
Cisco SDSL Router inklusive (soviel zur Frage nach Router)
Telefon Support
199 ? pro Monat
keine Anschlußgebühr
*
VPN ist kein Umweg, sondern hat absoult seine Berechtigung und auch seine Vorzüge. Zum Beispiel setzt man nicht nur Terminal Server, sondern auch ganz normale ClientServer Technik ein. Oder für die PermanentVerbindung zwischen zwei Unternehmen kann sowas wesentlich günstiger sein, als eine teuere Standleitung. Nur hat eben VPN wie alles auch seine Schwachstellen (wie auch Samtpfote schon bemerkte).
Allerdigns wird das aus oben gennanten Gründen (Kirche im Dorf lassen) auch oft vernachlässigt. Darüberhinaus sind externe Zeritifkate sehr teuer. Ein eigener Zertifikatserver bringt nach meiner Erfahrung nicht sehr viel.
Nein, das bedeutet, daß ein freigegebenes Laufwerk mit dem Client verbunden wird.
Leider sind 98% der Programme auf dieser Welt mist und schlecht programmiert.... Respekt habe ich zum Beispiel vor den Leuten, die TCP/IP entwickelt haben oder SQL (mit 5 Befehlen eine ganz Datenbank steuern und manipulieren, das ist genial). Man sieht es am Aufbau dieser Programme, hier hat wirklich jemand mitgedacht. Beispiel TCP/IP, das gibt es schon seit Jahrzehnte, es wurde entwickelt für ein militärische Rechner und für zuverlässige Paketübertragung. Ein normaler Programmierer hätte es eben genau für diese paar Rechner ausgelegt und programmiert. Hätte wahrscheinlich mit Parity gearbeitet und nicht mit Paketen.
Aber dieses Protokoll bedient heute Millionen von Rechner sehr zuverlässig.
Tut mir leid mein kleiner Ausflug, aber wenn man als Administrator jeden Tag diese Mistprogramme zu Administrieren hat, dann freut man sich über einfache und geniale Dinge die funktionieren.
Wenn eine DB richtig gemacht ist, brauchst du so wie Samtpfote sagt nur dein Terminalprogramm und den DB Connector und alles läuft schon. Allerdings nur in der Theorie. Denn leider brauchen die verschiedensten Applikationen auf eine Freigabe des Serverprogramms beispielsweise einen Zugriff, weil diese dort Einstellungen auslesen, Aktualisierungen über Rexx oder VB Skript erhalten oder einfach dort das ICON für das Programmsymbol abgelegt wird. Wenn das der Fall ist, muß oft ein Laufwerk vom Client mit dem des Servers verbunden werden.... das nennt man mapping...
Router und Software ist nicht unbedingt unterschiedlich.... es ist ähnlich wie mit den Raidcontrollern, hier gibt es Software bzw. Flash gestützte oder auch richtige Hardwareraid systeme. Ähnlich verhält es sich auch mit Routern.
Viele günstige Router setzten nur eine Software auf, die im Prinzip nichts anderes macht, als eine Softwarelösung auf dem Server. Insofern sind beide Softwarelösungen und bringen die entsprechenden Nachteile, aber auch gewisse Vorteile mit.
Hardware basierte Lösungen sind entsprechend teuer (bei Routern kenne ich keine unter 1000 ? die wirklich Hardwarebasierend ist, beispielsweise von 3COM oder Cisco), gewährleisten aber hohe Performance und Sicherheit. Aus diesem Grund kannst du eine Firewall kaufen für 50 Euro, aber auch einen 6stelligen Betrag dafür ausgeben.
Nur lassen wir mal die Kirche im Dorf. Man braucht sich nicht über Sicherheit unterhalten und welchen Router geeignet ist oder die Sicherheitsanforderungen erfüllt, wenn auf den Rechner die Patches fehlen oder Benutzer sich während der Mittagspause oder wenn sie für längere Zeit den Rechner verlassen, sich nicht abmelden.
Das was zu 99% auf deiner Firewall auftritt ist Portscanning, irgendwelche Viren oder Trojaner bzw. Würmer, die sich ihren weg durchs Netz suchen. Für Wirtschaftskriminalität sind wir nicht interessant genug und für den Kick eines Hackers sind unsere Systeme zu schwach gesichert.
Von der Seite her halte ich vieles hier diskutierte für spekulativ....
Das heißt nicht, das man nicht eine Grundsicherheit haben sollte, aber dies muß alles gegenüber Nutzen und Kosten in Relation halten. Keiner Zuhause würde sich Fort Knox bauen, aber eine vernünftige Haustüre die abgeschlossen sein sollte und vielleicht gute Fenster sollte es schon sein.
ISA Server Einrichtung schwierig ? Das ist relativ.... für deinen Zweck nicht.... wenn du die Grundeinstellunge beläßt und nur die Port freigibst, die du benötigst und ansonsten nicht damit rumspielt, ist es ein recht sicheres und einfaches Programm....
Wenn du mehr damit machen willst, empfehle ich dir das Buch: Der ISA Server 2000 Trainer Einsetzen und Verwalten von Nicole Laue
Zum Thema Lizenzierung kannst du hier einiges nachlesen: http://www.microsoft.com/germany/ms/lizenznews/ts_lizenzen.asp
Standard oder Professional: Vorausgesetzt deine Datenbank braucht nicht den SQL Server von Microsoft, sondern bringt selber was mit oder hat eine eigene DB, dann reicht auch bei einer Routerlösung die Standard Variante.
Setzt du kein Exchange ein, sondern KEN oder eine andere Mailserver oder rufst deine Konton direkt beim Provider ab, dann brauchst du auch kein SBS.
S-DSL => gerne, schick mir einfach deine Daten (Adresse + Tel. Nr) denn man muß zuerst die Verfügbarkeit testen oder du schaust selber unter http://www.telefonica.de/linecheck/, das ist eine ganz gute Anlaufstelle. Wenn das geht, melde dich wieder....
Beispiel für einen S-DSL Preis:
2,3 MBit / s SDSL
IP traffic und SDSL Leitungskosten inklusive (du brauchst hierfür nicht wie bei anderen ein Modem, einen Anschluß etc. ist alles schon mit drin)
IP Adresse dediziert inklusive
Cisco SDSL Router inklusive (soviel zur Frage nach Router)
Telefon Support
199 ? pro Monat
keine Anschlußgebühr
*
VPN ist kein Umweg, sondern hat absoult seine Berechtigung und auch seine Vorzüge. Zum Beispiel setzt man nicht nur Terminal Server, sondern auch ganz normale ClientServer Technik ein. Oder für die PermanentVerbindung zwischen zwei Unternehmen kann sowas wesentlich günstiger sein, als eine teuere Standleitung. Nur hat eben VPN wie alles auch seine Schwachstellen (wie auch Samtpfote schon bemerkte).
Allerdigns wird das aus oben gennanten Gründen (Kirche im Dorf lassen) auch oft vernachlässigt. Darüberhinaus sind externe Zeritifkate sehr teuer. Ein eigener Zertifikatserver bringt nach meiner Erfahrung nicht sehr viel.
1. Mappen:
Das ist einfach die Zuweisung eines Laufwerkbuchstabens auf Datenträgerspeicher; wenn Du über den Remote Desktop auf den Server zugreifst, kannst Du Deine Lokalen Laufwerke auf den Server "durchmappen", das heißt dem User steht in der Terminalsitzung das C-.Laufwerk des zugreifenden Clientcomputers zur Verfügung.
2. VPN + Mappen:
eine VPN Verbindung stellt eine direkte Verbindung Deines Clientcomputers zum Server her. Das heißt daß du auch Serverlaufwerke für den lokalen Client mappen könntest um Daten zB über den lokalen Windows Explorer auf den Server zu übertragen. (alles außerhalb Deiner Terminalsitzung)
3. Dual LAN:
Der ISA funktioniert ähnlich wie ein Router; er hat ein internes und ein externes Netzwerk. Das externe Netzwerk ist mit dem Internet verbunden. Daher brauchst Du 2 Netzwerkkarten und der ISA vermittelt und FILTERT zwischen den beiden.
4. Wenn Du Outlook einsetzen möchtest, dafür eine Unternehmensinternetdomain benutzen möchtest und die Benutzer untereinander verbessert kommunizieren sollen, empfiehlt sich der Einsatz von Exchange Server (und der ist eben beim Small Buisness Server zum gleichen Preis wie beim Windows Server und oft sogar billiger schon dabei), sonst brauchst den Exchange nicht.
5. VPN ist sehr praktisch, wenn Du zB zwei Netzwerke miteinander verbinden möchtest. Deine Anforderung war jedoch ausschließlich Nutzung über Terminals und Remotedesktop. und dafür brauchst Du nicht unbedingt VPN sondern kannst direkt über RDP rein. Es hängt immer von der Businessanforderung ab, was man wie am besten einsetzt!
A.
Das ist einfach die Zuweisung eines Laufwerkbuchstabens auf Datenträgerspeicher; wenn Du über den Remote Desktop auf den Server zugreifst, kannst Du Deine Lokalen Laufwerke auf den Server "durchmappen", das heißt dem User steht in der Terminalsitzung das C-.Laufwerk des zugreifenden Clientcomputers zur Verfügung.
2. VPN + Mappen:
eine VPN Verbindung stellt eine direkte Verbindung Deines Clientcomputers zum Server her. Das heißt daß du auch Serverlaufwerke für den lokalen Client mappen könntest um Daten zB über den lokalen Windows Explorer auf den Server zu übertragen. (alles außerhalb Deiner Terminalsitzung)
3. Dual LAN:
Der ISA funktioniert ähnlich wie ein Router; er hat ein internes und ein externes Netzwerk. Das externe Netzwerk ist mit dem Internet verbunden. Daher brauchst Du 2 Netzwerkkarten und der ISA vermittelt und FILTERT zwischen den beiden.
4. Wenn Du Outlook einsetzen möchtest, dafür eine Unternehmensinternetdomain benutzen möchtest und die Benutzer untereinander verbessert kommunizieren sollen, empfiehlt sich der Einsatz von Exchange Server (und der ist eben beim Small Buisness Server zum gleichen Preis wie beim Windows Server und oft sogar billiger schon dabei), sonst brauchst den Exchange nicht.
5. VPN ist sehr praktisch, wenn Du zB zwei Netzwerke miteinander verbinden möchtest. Deine Anforderung war jedoch ausschließlich Nutzung über Terminals und Remotedesktop. und dafür brauchst Du nicht unbedingt VPN sondern kannst direkt über RDP rein. Es hängt immer von der Businessanforderung ab, was man wie am besten einsetzt!
A.
Hallo Samtpfote:
entweder habe ich mich falsch ausgedrückt oder ich bin falsch verstanden worden:
zu 1.: es gibt Client/Server Software , die bringst du schlichtweg nicht zum laufen mit TS und da brauchst du VPN oder eine andere Lösung....
außerdem bin ich auf das VPN nur eingegangen, weil danach gefragt wurde..
zu 2 und 3: mir ist klar, das ein Zeritifikat nicht die Sicherheit erhöht, allerdings ging es hier ja um das Thema Sicherheit mit VPN und deshalb habe ich das mit dem Zeritifikat angesprochen....
=> Allerdings habe ich andere Erfahrungen mit eigenem zeritifkatserver gegenüber externen als du... aber hier sind wir eben unterschiedlicher Auffassung.
zu 4: Das ist richtig, aber dem habe ich auch nicht wiedersprochen... nur kann es sein, wenn es über das Internet geht und viele darauf zugreifen, dann er es anderst lizenzieren muß... siehe Link....Selbstverständlich werden hier TSCals benötigt... allerdings hängt es von der Anzahl der Zugriffe ab, ob eine external billiger ist als eine device oder user....
Wir haben bei einem Kunden deshalb Ärger gehabt, weil Zugänge wild verteilt an externe Mitarbeiter worden sind. Dann war das ganze unterlizeniert. Hier sind Externallizenzen dann günstiger....
hat nicht mit dem obigen Problem zu tun, aber hier kann man leicht reinfallen und deshalb habe ich es angesprochen....
zu 5: Also hier richte ich mich nach allgemeinen Empfehlungen. Hierzu ist letztes Jahr ein unabhäniger Test (glaube 3COM war der Auftraggeber) beauftragt worden. Hier wurde der ISA Server als sehr sicher eingestuft und war guten Hardwarebasierten Firewalllösungen nur knapp unterlegen.... weit abgeschlagen waren andere Softwareprodukte oder aufgesetzte Softwarelösungen auf Routern....
Außerdem... wenn du schon so Haarspalterisch bist.... der ISA Server ist ja nicht nur Firewall, sondern auch Proxyserver. Ein Router ist ja erstmal nichts anderes als ein Übermittler in ein anderes Netz, wenn eine bestimmte Netzadresse angesprochen wird. Das Unerscheidet ihn auch von einer Bridge....
Mit Portblocking oder Firewall hat das erstmal nichts zu tun.... hier wird oft noch auf einem Flashbaustein eine Softwarefirewall mit draufgesetzt....
zu Angriff auf VPN:
siehe vorherige Antwort von mir zum Thema... Kirche im Dorf lassen....
entweder habe ich mich falsch ausgedrückt oder ich bin falsch verstanden worden:
zu 1.: es gibt Client/Server Software , die bringst du schlichtweg nicht zum laufen mit TS und da brauchst du VPN oder eine andere Lösung....
außerdem bin ich auf das VPN nur eingegangen, weil danach gefragt wurde..
zu 2 und 3: mir ist klar, das ein Zeritifikat nicht die Sicherheit erhöht, allerdings ging es hier ja um das Thema Sicherheit mit VPN und deshalb habe ich das mit dem Zeritifikat angesprochen....
=> Allerdings habe ich andere Erfahrungen mit eigenem zeritifkatserver gegenüber externen als du... aber hier sind wir eben unterschiedlicher Auffassung.
zu 4: Das ist richtig, aber dem habe ich auch nicht wiedersprochen... nur kann es sein, wenn es über das Internet geht und viele darauf zugreifen, dann er es anderst lizenzieren muß... siehe Link....Selbstverständlich werden hier TSCals benötigt... allerdings hängt es von der Anzahl der Zugriffe ab, ob eine external billiger ist als eine device oder user....
Wir haben bei einem Kunden deshalb Ärger gehabt, weil Zugänge wild verteilt an externe Mitarbeiter worden sind. Dann war das ganze unterlizeniert. Hier sind Externallizenzen dann günstiger....
hat nicht mit dem obigen Problem zu tun, aber hier kann man leicht reinfallen und deshalb habe ich es angesprochen....
zu 5: Also hier richte ich mich nach allgemeinen Empfehlungen. Hierzu ist letztes Jahr ein unabhäniger Test (glaube 3COM war der Auftraggeber) beauftragt worden. Hier wurde der ISA Server als sehr sicher eingestuft und war guten Hardwarebasierten Firewalllösungen nur knapp unterlegen.... weit abgeschlagen waren andere Softwareprodukte oder aufgesetzte Softwarelösungen auf Routern....
Außerdem... wenn du schon so Haarspalterisch bist.... der ISA Server ist ja nicht nur Firewall, sondern auch Proxyserver. Ein Router ist ja erstmal nichts anderes als ein Übermittler in ein anderes Netz, wenn eine bestimmte Netzadresse angesprochen wird. Das Unerscheidet ihn auch von einer Bridge....
Mit Portblocking oder Firewall hat das erstmal nichts zu tun.... hier wird oft noch auf einem Flashbaustein eine Softwarefirewall mit draufgesetzt....
zu Angriff auf VPN:
siehe vorherige Antwort von mir zum Thema... Kirche im Dorf lassen....
ad 1: hast Du völlig recht... aber er hat ja nach einer Terminallösung gefragt also gehe ich davon aus, daß er zuvor geklärt hat, daß seine Software Terminalserver-Fähig ist
ad 5:
ich liebe ISA Server heiß und innig! Nur damit kann man etwa den Kundenanforderungen für Webseitenfilterung individuell für jeden User etc. gerecht werden. In KMU Umgebungen setzen wir Small Business Server 2003 + ISA + Exchange + Router mit NAT + XDSL ein, das halte ich für weitgehend sicher. Es ging nur darum, daß ich aus Sicherheitsgründen bei einer entweder oder entscheidung für Router oder ISA dem Router den Vorzug geben würde-
ad 4:
den External Connector für Terminal Server würde ich nicht einsetzen, der ist für den unlimitierten Zugriff von externen Geschäftspartnern gedacht und kostet ab $ 7.000 würde ich nicht für eine so kleine Lösung mit 7 Usern einsetzen.... (TSCal pro User kostet 100-150 Euro)
hier noch ein kleiner Tip am Rande zur Lizenzfrage:
http://www.microsoft.com/germany/ms/serverlizenzierung/ts03/index.htm
bei einer VPN Connection brauchst du zusätzlich zur TSCal noch eine CAL pro User!
zum Zertifikat: generell ist der Zugriff mit Zertifikat die beste und sicherste Variante, weil eine PKI nicht über brute-force geknackt werden kann.
Nichts für ungut
und die Kirchen hier in Salzburg sind viel zu hübsch,. als daß wir sie nicht im Dorf lassen würden
schönen Sonntag!
A.
ad 5:
ich liebe ISA Server heiß und innig! Nur damit kann man etwa den Kundenanforderungen für Webseitenfilterung individuell für jeden User etc. gerecht werden. In KMU Umgebungen setzen wir Small Business Server 2003 + ISA + Exchange + Router mit NAT + XDSL ein, das halte ich für weitgehend sicher. Es ging nur darum, daß ich aus Sicherheitsgründen bei einer entweder oder entscheidung für Router oder ISA dem Router den Vorzug geben würde-
ad 4:
den External Connector für Terminal Server würde ich nicht einsetzen, der ist für den unlimitierten Zugriff von externen Geschäftspartnern gedacht und kostet ab $ 7.000 würde ich nicht für eine so kleine Lösung mit 7 Usern einsetzen.... (TSCal pro User kostet 100-150 Euro)
hier noch ein kleiner Tip am Rande zur Lizenzfrage:
http://www.microsoft.com/germany/ms/serverlizenzierung/ts03/index.htm
bei einer VPN Connection brauchst du zusätzlich zur TSCal noch eine CAL pro User!
zum Zertifikat: generell ist der Zugriff mit Zertifikat die beste und sicherste Variante, weil eine PKI nicht über brute-force geknackt werden kann.
Nichts für ungut
und die Kirchen hier in Salzburg sind viel zu hübsch,. als daß wir sie nicht im Dorf lassen würden
schönen Sonntag!
A.
noch mal von vorne:
also die Entscheidung ob VPN oder Terminalzugriff hängt NICHT vom Mappen ab, sondern davon, ob Deine Software in einer Terminalserverumgebung laufen kann oder nicht. Wenn Du ThinClients einsetzt, verwenden diese kein eigenes Betriebssystem, es ist also technisch gar nicht möglich, daß die irgendeine Komponente LOKAL am laufen haben können.
Eine External-Connector-Lizenz sind unlimitierte TSCals, kostet 7.000 Dollar. Ich denke, Du solltest Dich für TSCALS entscheiden.
Die Kommunikation zwischen Client und Terminalserver läuft über den Remotedesktop. Ich kann Dir mal eine Demokennung für einen Terminalserver geben, den wir im Internet für Demozwecke am laufen haben, da siehst Du wie so was aussieht und funktioniert.
Vorteil von Exchange:
du kannst zB wenn es nur eine einzige emailadresse gibt, auf die alle Benutzer zugreifen können sollen, ein Postfach verwenden, das alle Benutzer gleichzeitig nutzen. Du kannst öffentliche Ordner benutzen, auf die alle User Zugriff haben, pst dateien werden leichter kaputt als eine Exchange-Postfachstruktur etcetc es hängt halt echt vom Business Case ab, welches Produkt für Deinen Kunden das richtige ist. Ich würde deshalb den SBS nehmen, weil der gleichviel kostet, bzw. bei der Systembuilder Version sogar billiger ist als der Standard nackte Windows Server 2003
so... und jetzt wird mir der Thread zu lang
Anja
also die Entscheidung ob VPN oder Terminalzugriff hängt NICHT vom Mappen ab, sondern davon, ob Deine Software in einer Terminalserverumgebung laufen kann oder nicht. Wenn Du ThinClients einsetzt, verwenden diese kein eigenes Betriebssystem, es ist also technisch gar nicht möglich, daß die irgendeine Komponente LOKAL am laufen haben können.
Eine External-Connector-Lizenz sind unlimitierte TSCals, kostet 7.000 Dollar. Ich denke, Du solltest Dich für TSCALS entscheiden.
Die Kommunikation zwischen Client und Terminalserver läuft über den Remotedesktop. Ich kann Dir mal eine Demokennung für einen Terminalserver geben, den wir im Internet für Demozwecke am laufen haben, da siehst Du wie so was aussieht und funktioniert.
Vorteil von Exchange:
du kannst zB wenn es nur eine einzige emailadresse gibt, auf die alle Benutzer zugreifen können sollen, ein Postfach verwenden, das alle Benutzer gleichzeitig nutzen. Du kannst öffentliche Ordner benutzen, auf die alle User Zugriff haben, pst dateien werden leichter kaputt als eine Exchange-Postfachstruktur etcetc es hängt halt echt vom Business Case ab, welches Produkt für Deinen Kunden das richtige ist. Ich würde deshalb den SBS nehmen, weil der gleichviel kostet, bzw. bei der Systembuilder Version sogar billiger ist als der Standard nackte Windows Server 2003
so... und jetzt wird mir der Thread zu lang
Anja
@dual
das hat nichts mit Telefonica zum tun, die Adresse habe ich dir nur gegeben, weil das sehr zuverlässig ist, wenn du die Verfügbarkeit testen möchtest...
ja, bei den Preisen sind 8 auf jeden Fall dabei, wenn du mehr brauchst, eigentlich auch kein Problem....
Den Preis bekommen wir, weil unsere ganzen Kunden bei unserrem Provider ist und den dürfen wir auch so an jeden anderen weitergeben. Ich finde, daß dies ein sehr guter Preis ist für die Leistung, die geboten wird.
Bei ADSL ist es die Frage.... wenn du hier auch feste IP brauchst und unbegrenztes Volumen + Router, kann ich dir auch recht gute Preise vermitteln....
Wenn du keine feste IP brauchst.... dann nimmst diese besser von einem anderen Provider, Telekom, Arcor, Tiscali etc.... denn dort sind diese Flatrates günstiger.....
zu exchange: Exchange ist eine Klasse Sache, aber für 7 Clients eventuell etwas übertrieben. Mit einer festen IP (geht auch ohne, aber etwas aufwendiger) und einem Domänennamen (kostet ca. 1 - 2 ? pro Monat), kannst du damit super einen Mailserver einrichten, hast keine Beschränkung der Mailanhänge und mußt auch nciht warten, bis Outlook das ganze übertragen hat.
Außerdem kannst du mit so einer Domain und der festen IP auch leicht einen WEbserver aufziehen. Komplett Providerunabhängig.... ohne Einschränkung der Plattengröße, Transfervolumen etc.
@Samtpfote:
erstmal finde ich es schön, daß sich auch eine Frau hier beteiligt... mal was neues und dann kommt noch dazu... daß man mit ihr diskutieren kann und sie auch ein gewissen Wissen hat... das finde ich suuuuuuppppperrrrr..... weiter so mehr davon.....
=> zu den TCALS... wie gesagt... war nur eine Anmerkung, da ich damit schon mal auf die Schnauze gefolgen bin
das hat nichts mit Telefonica zum tun, die Adresse habe ich dir nur gegeben, weil das sehr zuverlässig ist, wenn du die Verfügbarkeit testen möchtest...
ja, bei den Preisen sind 8 auf jeden Fall dabei, wenn du mehr brauchst, eigentlich auch kein Problem....
Den Preis bekommen wir, weil unsere ganzen Kunden bei unserrem Provider ist und den dürfen wir auch so an jeden anderen weitergeben. Ich finde, daß dies ein sehr guter Preis ist für die Leistung, die geboten wird.
Bei ADSL ist es die Frage.... wenn du hier auch feste IP brauchst und unbegrenztes Volumen + Router, kann ich dir auch recht gute Preise vermitteln....
Wenn du keine feste IP brauchst.... dann nimmst diese besser von einem anderen Provider, Telekom, Arcor, Tiscali etc.... denn dort sind diese Flatrates günstiger.....
zu exchange: Exchange ist eine Klasse Sache, aber für 7 Clients eventuell etwas übertrieben. Mit einer festen IP (geht auch ohne, aber etwas aufwendiger) und einem Domänennamen (kostet ca. 1 - 2 ? pro Monat), kannst du damit super einen Mailserver einrichten, hast keine Beschränkung der Mailanhänge und mußt auch nciht warten, bis Outlook das ganze übertragen hat.
Außerdem kannst du mit so einer Domain und der festen IP auch leicht einen WEbserver aufziehen. Komplett Providerunabhängig.... ohne Einschränkung der Plattengröße, Transfervolumen etc.
@Samtpfote:
erstmal finde ich es schön, daß sich auch eine Frau hier beteiligt... mal was neues und dann kommt noch dazu... daß man mit ihr diskutieren kann und sie auch ein gewissen Wissen hat... das finde ich suuuuuuppppperrrrr..... weiter so mehr davon.....
=> zu den TCALS... wie gesagt... war nur eine Anmerkung, da ich damit schon mal auf die Schnauze gefolgen bin
@dual:
kannst du bei deinem Händler, Systemhaus etc. mit den Windowslizenzen mitbestellen.
du solltest überlegen, was du für dein Netz als Lizenzmodus wählst, also jetzt nicht nur für Server sondern auch für Office etc. Hier gibt es Systembuilder, Vollversionen, Open, Select, Mietkauf, Miete etc.... alles hat so seine Vor- und Nachteile....
@Samtpfote:
darf man etwas mehr über dich erfahren, kenne ja jetzt schon einige hier. Was machst du Beruflich genau ? Hab gesehen du bist aus Österreich ? Hab ihr auch gerade Wachstumsprobleme ? Darf man nach dem Alter fragen ?
kannst du bei deinem Händler, Systemhaus etc. mit den Windowslizenzen mitbestellen.
du solltest überlegen, was du für dein Netz als Lizenzmodus wählst, also jetzt nicht nur für Server sondern auch für Office etc. Hier gibt es Systembuilder, Vollversionen, Open, Select, Mietkauf, Miete etc.... alles hat so seine Vor- und Nachteile....
@Samtpfote:
darf man etwas mehr über dich erfahren, kenne ja jetzt schon einige hier. Was machst du Beruflich genau ? Hab gesehen du bist aus Österreich ? Hab ihr auch gerade Wachstumsprobleme ? Darf man nach dem Alter fragen ?
Fragen darf man bekanntlich immer, nur wird Dir die Antwort auf einer so öffentlichen Plattform verwehrt bleiben; jedenfalls bin ich kein Administrator (Administrateuse?), nur ein interessierter Laie. Ich habe hier eine Lösung für ein Problem gefunden, das mich sehr lange beschäftigt hat, und da ich denke, daß man der Community immer etwas zurückgeben soll, helfe ich halt jetzt anderen mit ein paar Fragen weiter, that's all. Kompliment an die Ersteller von Administrator.de, und auch an Dich Christian für Dein großes Engagement im Forum. Machst Du das aus Langeweile, Begeisterung, manischem Helpersyndrom oder Idealismus?
Ich hätte da auch noch etwas anzumerken: der Small-Business-Server läuft nicht als Terminalserver, da müsstest Du schon einen einfachen Win 2003 Server nehmen
Es ist lizenztechnisch schon nicht erlaubt und einstellen kann man ihn diesbzgl. auch nicht. Nur der Remoteverwaltungsmodus geht mit max. 2 Admin-Usern.
Oder falls Du jetzt Exchange nutzen willst, dann musst Du einen 2. (Member)-Server installieren, der dann Terminalserver wird.
Ich denke aber Du könntest auf den SBS verzichten, bei dem was Du machen willst - auch wenn ich ihn gut finde! Vor allem für den Preis.
Gruss
Ilja
Es ist lizenztechnisch schon nicht erlaubt und einstellen kann man ihn diesbzgl. auch nicht. Nur der Remoteverwaltungsmodus geht mit max. 2 Admin-Usern.
Oder falls Du jetzt Exchange nutzen willst, dann musst Du einen 2. (Member)-Server installieren, der dann Terminalserver wird.
Ich denke aber Du könntest auf den SBS verzichten, bei dem was Du machen willst - auch wenn ich ihn gut finde! Vor allem für den Preis.
Gruss
Ilja
@Samtpfote:
ich glaube mittlerweilen aus idealismus... ich kenne das Netz noch aus den Anfangstagen, ich war
damals in Mailboxen, BTX und in Compuserve unterwegs. Mit dem Mosaic Browser in Compuserve
Surfen kostete die Stunde knappe 20$ + Verbindung zur Einwahl nach München. Aber´da waren auch fast nur Freaks unterwegs... zu denen zähle ich mich nicht, aber dabei war viel idealismus und viel Spaß.
Heute ist wie alles nur noch durch commerz durchschattet. Und wo der Commerz ist, sind auch die Geschäftemacher und Betrüger. Am schlimmsten ist so ein Chatroom.... 90% Lügen dich an und 10% sind pervers.... oder umgekehrt...
Naja, trotzdem trifft man immer wieder auf ein paar Leute, so wie dich, (nicht nur hier sondern auch im Wirklichen Leben), die nicht nur nehmen, sondern auch etwas zurück geben. Und das macht wieder Spaß....
Das hier ist absolut mein Privatvergnügen.... und ich mag auch hitzige Diskussionen... nicht nur über IT, sondern
generell... wenn jemand anderer Meinung ist, um so besser.... das bringt ein doch schließlich weiter,
sonst kann ich gleich ein Gespräch mit dem Spiegel machen....
@ilja:
Stimmt, im 2003 geht nichts mehr... hast du absolut recht... aber so sollte ja ein Forum sein, daß jeder daz ewas beiträgt.
ich glaube mittlerweilen aus idealismus... ich kenne das Netz noch aus den Anfangstagen, ich war
damals in Mailboxen, BTX und in Compuserve unterwegs. Mit dem Mosaic Browser in Compuserve
Surfen kostete die Stunde knappe 20$ + Verbindung zur Einwahl nach München. Aber´da waren auch fast nur Freaks unterwegs... zu denen zähle ich mich nicht, aber dabei war viel idealismus und viel Spaß.
Heute ist wie alles nur noch durch commerz durchschattet. Und wo der Commerz ist, sind auch die Geschäftemacher und Betrüger. Am schlimmsten ist so ein Chatroom.... 90% Lügen dich an und 10% sind pervers.... oder umgekehrt...
Naja, trotzdem trifft man immer wieder auf ein paar Leute, so wie dich, (nicht nur hier sondern auch im Wirklichen Leben), die nicht nur nehmen, sondern auch etwas zurück geben. Und das macht wieder Spaß....
Das hier ist absolut mein Privatvergnügen.... und ich mag auch hitzige Diskussionen... nicht nur über IT, sondern
generell... wenn jemand anderer Meinung ist, um so besser.... das bringt ein doch schließlich weiter,
sonst kann ich gleich ein Gespräch mit dem Spiegel machen....
@ilja:
Stimmt, im 2003 geht nichts mehr... hast du absolut recht... aber so sollte ja ein Forum sein, daß jeder daz ewas beiträgt.
Bei Compuserve werde ich nostalgisch.... die erste Zeit habe ich mich noch direkt in die USA eingewählt, später in den Knoten in Wien, als Ferngespräch natürlich... Meine Telefonrechnungen lagen damals bei 1.500 Euro pro Monat... Aber Compuserve war noch nicht cretin-verseucht, im Chat wimmelte es von närrischen und interessanten Individualisten, die ohne LOL und ROFL auskamen und dabei zu geistreichen Disputationes fähig waren; sehr international und meistens in Englisch. Der Ton in den Foren war freundlich und vom Pionieridealismus der Internetgründerzeit geprägt. Der Ausdruck Community war weit mehr berechtigt als heute. Nun ja, bekanntlich verläßt der Snob den Markt, wenn der Pöbel hineinstürmt, daher habe ich den Chat vor einigen Jahren ad acta gelegt.
Ich würde die heutige Verteilung der Chatbesucher so sehen:
20% Perverse
20% Kinder
30% arbeitslose Proleten (Verzeihung! volksnahe Beschäftigungssuchende), und Britt- und Vera-Gäste
30% gelangweilte Hausfrauen
Sie kreieren eine virtuelle Identität die ihre traurigen Unzulänglichkeiten in der Realität vertuschen soll; jeder im Chat ist schön, einzigartig, geistreich, gebildet, reich, beliebt und unwiderstehlich, Sexgöttin auf der Suche nach Latino-Lover, um einen dritten Vater für das 5. Kind zu finden, und tragischer Höhepunkt der Lächerlichkeit ist meist das erste Blind Date, oft zur Volksbelustigung öffentlich ausgetragen, auf voyeuristischen Plattformen wie etwa "Nur die Liebe zählt"....
Mitlesende mögen den Exkurs verzeihen, manchmal überkommt einen halt die wehmütig-verklärte Nostalgie... nennt man das jetzt Thread-Drifting?
mit spöttischem Lächeln
A.
Ich würde die heutige Verteilung der Chatbesucher so sehen:
20% Perverse
20% Kinder
30% arbeitslose Proleten (Verzeihung! volksnahe Beschäftigungssuchende), und Britt- und Vera-Gäste
30% gelangweilte Hausfrauen
Sie kreieren eine virtuelle Identität die ihre traurigen Unzulänglichkeiten in der Realität vertuschen soll; jeder im Chat ist schön, einzigartig, geistreich, gebildet, reich, beliebt und unwiderstehlich, Sexgöttin auf der Suche nach Latino-Lover, um einen dritten Vater für das 5. Kind zu finden, und tragischer Höhepunkt der Lächerlichkeit ist meist das erste Blind Date, oft zur Volksbelustigung öffentlich ausgetragen, auf voyeuristischen Plattformen wie etwa "Nur die Liebe zählt"....
Mitlesende mögen den Exkurs verzeihen, manchmal überkommt einen halt die wehmütig-verklärte Nostalgie... nennt man das jetzt Thread-Drifting?
mit spöttischem Lächeln
A.
Hallo Jungs und Maedels
Danke für eure Antworten auch ich baue momentan ein Testnetzwerk auf mit einer ähnlichen Konstellation und freue mich daher ueber die vielen Informationen in diesen Thead :D
Kurze Frage haette ich noch dazu :D wie weit ist das alles Konfigurierbar ohne Citrix einzusetzen.
Beispielsweise hat man einen normalen pc als client meldet sich an der domaine an und dann von local aus an dem terminal server. Das problem ist das dann entsprechend die gleichen Gruppenrichtlinien gelten wie local als auch auf dem terminal server. Ist dies aufteilbar oder gibt es dort eine schoenere rechteloesung ?
danke ;)
Danke für eure Antworten auch ich baue momentan ein Testnetzwerk auf mit einer ähnlichen Konstellation und freue mich daher ueber die vielen Informationen in diesen Thead :D
Kurze Frage haette ich noch dazu :D wie weit ist das alles Konfigurierbar ohne Citrix einzusetzen.
Beispielsweise hat man einen normalen pc als client meldet sich an der domaine an und dann von local aus an dem terminal server. Das problem ist das dann entsprechend die gleichen Gruppenrichtlinien gelten wie local als auch auf dem terminal server. Ist dies aufteilbar oder gibt es dort eine schoenere rechteloesung ?
danke ;)
1. Ich empfehle Dir, für den Terminalserver strengere Group Policies einzusetzen als im übrigen Netzwerk. Dazu ist es am elegantesten, wenn Du eine neue OU erstellst, den Terminalserver (am besten als Memberserver konfiguriert) hineinverschiebst und die neuen GPOs mit Computereinstellungen auf die OU linkst. Dabei würde ich in jedem Fall die Softwarebeschränkungen exzessiv nutzen, damit die User am Server keinen Unfug machen können. Grundsätzlich ist es so, daß die Benutzereinstellungen der geerbten GPOs natürlich auch im Terminal gelten, solltest Du abweichende Einstellungen brauchen, die nicht über Computereinstellungen in der GPO machbar sind, brauchst Du eigene Useraccounts.
2. Du kannst für den Terminalserver eigene Userprofile nutzen, das ist recht praktisch. Man trägt dabei einfach bei den Benutzereinstellungen unter Terminaldiensteprofile das Profil ein. zB \\server\tsprofiles$\%username%
3. Du kannst seit Server 2003 den Terminalzugriff so konfigurieren, daß der Benutzer keinen eigenen Desktop hat. Dann bekommt er nur ein Fenster mit der angegebenen Anwendung. (Ähnlich wie beim Citrix)
Es hängt also wirklich vom Businesscase (zB User soll nur bestimmte Anwendung über Terminal ausführen, sonst dort nichts machen, User soll permanent am Terminal arbeiten) ab, welche Konfiguration die beste ist.
oh gott das wird ja immer länger.... die ich rief die geister...
Hope this helps
A.
2. Du kannst für den Terminalserver eigene Userprofile nutzen, das ist recht praktisch. Man trägt dabei einfach bei den Benutzereinstellungen unter Terminaldiensteprofile das Profil ein. zB \\server\tsprofiles$\%username%
3. Du kannst seit Server 2003 den Terminalzugriff so konfigurieren, daß der Benutzer keinen eigenen Desktop hat. Dann bekommt er nur ein Fenster mit der angegebenen Anwendung. (Ähnlich wie beim Citrix)
Es hängt also wirklich vom Businesscase (zB User soll nur bestimmte Anwendung über Terminal ausführen, sonst dort nichts machen, User soll permanent am Terminal arbeiten) ab, welche Konfiguration die beste ist.
oh gott das wird ja immer länger.... die ich rief die geister...
Hope this helps
A.
hmm okaz momentan habe ich leider noch keinen zweiten server zu verfuegung, aber der kommt hoffentlich bald so dass ich entsprechend memberserver mitkonfigurieren kann, guter tipp danke dafuer ;)
Momentan greift leider nur die Userrichtlinien auf beiden szstemen ich werde das entsprechend mal fuer computer ausprobieren.
So aber genug davon jetzt ^_^
Richard
Momentan greift leider nur die Userrichtlinien auf beiden szstemen ich werde das entsprechend mal fuer computer ausprobieren.
So aber genug davon jetzt ^_^
Richard
Kommt absolut auf die Anforderungen an.
Ich würde nie sensible Geschäftsdaten auf einem "öffentlichen" Server ablegen.
Wenn Du nur Webservices machen willst, warum nicht...
Sieh's so: den eigenen Server kannst Du einsperren und verbarrikadieren. Beim gemieteten weißt Du nie, wer (physisch) darauf Zugriff hat und wie gut die Firewall ist, wenn er im Internet hängt. Außerdem könnte es ja auch ein Virtueller Server sein (Microsoft Virtual Server 2005 ist gerade rausgekommen)
Was willst denn genau machen? Deine Kassenapplikation?
Ich würde nie sensible Geschäftsdaten auf einem "öffentlichen" Server ablegen.
Wenn Du nur Webservices machen willst, warum nicht...
Sieh's so: den eigenen Server kannst Du einsperren und verbarrikadieren. Beim gemieteten weißt Du nie, wer (physisch) darauf Zugriff hat und wie gut die Firewall ist, wenn er im Internet hängt. Außerdem könnte es ja auch ein Virtueller Server sein (Microsoft Virtual Server 2005 ist gerade rausgekommen)
Was willst denn genau machen? Deine Kassenapplikation?
Kommt immer auf das Risiko und die Sensibilität der Daten an und ob Du einen Haftungsausschluß beim Kunden durchbringst. Reiner öffentlicher Webserver ja, Applikationsserver nur dann wenn Du Deine Haftung minimieren kannst. Du könntest natürlich auch ein Serverhousing machen, dann stellst Du Deinen eigenen Server zu einem Provider, dann nimmt der Dir das Datensichern und die Garantie der Internetkonnektivitöt ab, und der Server ist mit einer optimalen Bandbreite erreichbar. Aber auch da bist Du davon abhängig, daß Dir der Provider eine optimale Firewall für Deine IP Adresse konfiguriert. (Du solltest dann den Server selbst auch noch mal firewallen) Von virtuellen Servern würde ich für diesen Anwendungsbereich die Finger lassen.
Hilft Dir das weiter?
A.
Hilft Dir das weiter?
A.