Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk Planung Homeoffice

Mitglied: siopoqruip

siopoqruip (Level 1) - Jetzt verbinden

08.12.2019 um 16:06 Uhr, 1612 Aufrufe, 18 Kommentare, 4 Danke

Hallo,

ich plane zurzeit ein kleines Netzwerk.

5-8 User
  • jeder mit eigenem Laptop (Lenovo T590)
  • Windows 10 Professional
  • Homeoffice (Vor-Ort-Präsenz in der Firma nur ca. 2-4 Mal pro Monat)
  • die Userdaten werden lokal auf der 2. SSD gespeichert

Home Office Netzwerkanbindung
  • "normaler" DSL-Anschluss
  • keine fixe IP
  • Standardmodem des ISP

Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...

Ich denke ich werde einen Server anschaffen, weiß aber noch nicht genau was da meine Anforderungen sind.
Dafür werde ich eine Windows Server Lizenz benötigen. Denke eine Essentials Lizenz ist ausreichend. Könnte natürliche Geld sparen und eine etwas ältere nehmen (z.B. 2016) - ist das ok?
Allgemein: findet ihr Seiten wie "lizenzexpress.de" seriös? Beispiel für Win Server 2016 Essentials um ca. 150€

Danke erstmal für eure Hilfe!

Gruß
Alex
Mitglied: 141965
08.12.2019, aktualisiert um 16:15 Uhr
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Bitte warten ..
Mitglied: siopoqruip
08.12.2019 um 16:20 Uhr
Danke @141965 für deine Antwort!

Klingt erstmal toll, aber auch nach viiiel Konfigurationsaufwand. Gibt es für so eine geringe Anzahl an Benutzern vielleicht auch eine einfachere Lösung?

Ansonsten, was wären die Änderungen bezügl. des ISP der Firma? Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP. So wie ich das herauslese, mit VPN und dergleichen, brauche ich eine fixe IP.
Bitte warten ..
Mitglied: Matsushita
08.12.2019, aktualisiert um 17:16 Uhr
Es ergibt nur wenig Sinn, externe Home Office-Clients in ein lokales WIndows Server Active Directory einzubinden. Ich würde es mir da einfacher machen.

Office 365 Abo inkl. Intune für jeden Anwneder. Dann ein Autopilot-Profil für alle Clients anlegen und alle erforderlichen Konfigurationen epr Richtlinie definieren. Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. Auf ein VPN würde ich völlig verzichten, Dateien werden über OneDrive for Business (persönlich) bzw. SharePont Online (Gruppendokumente) genutzt.

Die Mitarbeiter haben eine moderne Collaboration-Plattform, die Dank diverser Apps wie z.B. Power Automation , Forms, Planner etc. erhebliches Potential bietet. Sollte es aus irgendwelchen Gründen eine on premises Client-Server-App geben, die unbedingt erforderlich ist, dann würde ich diese vermutlich aus Azure als Remote App bereitstellen.

Ein KMU, welches nur aus Off Site-Anwnedern besteht, ist das letzte Unternehmen, was eine on premises IT-Infrastruktur benötigt.

PS: Tatsächlich würde ich sogar Microsoft 365 lizenzieren (wegen Windows 10 Enterprise), dann gibt es auch weniger Diskussionen wegen DSGVO etc.
Bitte warten ..
Mitglied: siopoqruip
08.12.2019 um 19:49 Uhr
Dein Ansatz @Matsushita ist auch sehr interessant! Werde ich mir noch genau anschauen...


Zitat von @141965:
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Ich habe gerade bei MS Azure nachgeschaut, weiß aber nicht, welchen Dienst ich genau benötigen würde.

Ganz andere theoretische Frage (korrigiert mich bitte, wenn ich falsch liege):
Grundsätzlich ist es doch so, dass ein User nicht zwingend mit dem DC/internen Netzwerk verbunden sein muss, um sich anmelden zu können.
-> Wäre es also theoretisch möglich, die Einstellungen etc. bei "Besuchen" vor Ort zu übernehmen? Dort sind die Laptops per LAN/WLAN mit dem internen Netzwerk verbunden und melden sich auch ganz normal an.
Bitte warten ..
Mitglied: Matsushita
08.12.2019 um 20:36 Uhr
Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:

Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Bitte warten ..
Mitglied: Henere
08.12.2019, aktualisiert um 20:56 Uhr
Zitat von Matsushita:
...snip... Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. ...snip

Danke, das kannte ich noch nicht und wurde für mich zum Lacher des Tages.

"Windows Autopilot für weiße Handschuh-Bereitstellung"

Quelle: https://docs.microsoft.com/de-de/windows/deployment/windows-autopilot/wh ...
Bitte warten ..
Mitglied: siopoqruip
08.12.2019 um 22:23 Uhr
Zitat von Matsushita:
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
ok, also nicht so gut
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Verständnisfrage: heißt das GPOs funktionieren nur bei Verbindung zum DC oder Änderungen von GPOs werden nur bei Verbindung zum DC übernommen?
Bitte warten ..
Mitglied: Matsushita
08.12.2019 um 22:27 Uhr
Du kannst keine EInstellungen per GPO ändern, wenn der Client nicht auf Sysvol zugreifen kann. Ich habe mich da unglücklich ausgedrückt: Bereits abgerufene GPOs und GPPs werden weiterhin angewendet, aber Du kannst nichts ändern oder neu konfigurieren ohne Kontakt zum Domain Controller.

Windows Server Active Directory sollt enur bei primär on site genutzen Clients zur Anwneudng kommen. Für dauerhafte of site Clients verwendest Du besser ein Mobile Device Management wie Intune.
Bitte warten ..
Mitglied: siopoqruip
08.12.2019, aktualisiert um 22:38 Uhr
Danke, das habe ich wohl missverstanden
Bitte warten ..
Mitglied: Spirit-of-Eli
08.12.2019 um 22:54 Uhr
Zitat von 141965:

Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.

Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
Bitte warten ..
Mitglied: chgorges
08.12.2019, aktualisiert um 23:10 Uhr
Zitat von Matsushita:

Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:

Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller

Sorry, das ist seit langem der größte Mist, den ich gelesen habe. Was heißt hier "HomeOffice mit sporadischer VPN-Verbindung"? Das gibt es einfach nicht.
Entweder stellt man den Leuten im HomeOffice einen IGEL mit S2S oder C2S-VPN und darin terminierender VDI hin, oder eben einen Laptop mit S2S oder C2S VPN, ohne VPN geht kein HomeOffice, in 2019 schon 10 Mal nicht.

Heißt im Umkehrschluss, die VPN-Verbindung ist immer aktiv, dementsprechend wird das Gerät auch immer vom WSUS, Patchmanagement, AV-Server, AD-Controller, etc. erfasst und bekommt auch Passwort-/Machineaccountänderungen, sowie GPO-Änderungen problemlos mit.

Es ergibt nur wenig Sinn, externe Home Office-Clients in ein lokales WIndows Server Active Directory einzubinden.

Das ist IT-Security von 2005 und hat in 2019 absolut nichts verloren. Allein ohne AD- und die dahinterliegende Radius-Authentifizierung kommt keiner per VPN rein.
Bitte warten ..
Mitglied: siopoqruip
08.12.2019 um 23:41 Uhr
Danke @chgorges !!

Unter Anbetracht der HomeOffice ISP Anbindung:
Home Office Netzwerkanbindung
  • "normaler" DSL-Anschluss
  • keine fixe IP
  • Standardmodem des ISP
mache ich also eine windows-interne VPN Verbindung zur Firma (C2S?).

Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP.
Wie realisiere ich dann die VPN-Verbindung?
Bitte warten ..
Mitglied: siopoqruip
08.12.2019 um 23:43 Uhr
Zitat von Spirit-of-Eli:

Zitat von 141965:

Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.

Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.

@Spirit-of-Eli, was genau ist schon abgekündigt? Allgemein Always on VPN-Bereitstellung oder nur die Bereitstellung mittels Azure?
Bitte warten ..
Mitglied: DerWindowsFreak2
09.12.2019 um 00:06 Uhr
Zitat von siopoqruip:

Danke @chgorges !!

Unter Anbetracht der HomeOffice ISP Anbindung:
Home Office Netzwerkanbindung
  • "normaler" DSL-Anschluss
  • keine fixe IP
  • Standardmodem des ISP
mache ich also eine windows-interne VPN Verbindung zur Firma (C2S?).

Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP.
Wie realisiere ich dann die VPN-Verbindung?


Anhand so einer Frage sage ich dir dir, lass das einen machen der da Ahnung von Hat.... Ansonsten hetzt ich euch ne DSGVO-Klage an den Hals 😁 Zu irgendwas muss die ja gut sein...

Ich würde auch eine Anbindung aus dem Rechenzentrum denken, da auch vielleicht der Hauptstandort keine guten Upload-Raten hat. Vlt in der Zentrale bei mehr Mitarbeitern einen zentralen dc und Filer hin und gut ist...
Bitte warten ..
Mitglied: Spirit-of-Eli
09.12.2019, aktualisiert um 07:29 Uhr
Zitat von siopoqruip:

Zitat von Spirit-of-Eli:

Zitat von 141965:

Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.

Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.

@Spirit-of-Eli, was genau ist schon abgekündigt? Allgemein Always on VPN-Bereitstellung oder nur die Bereitstellung mittels Azure?

Ne, ich habe mich vertan und nur mit einem Auge gelesen. DA (Direct Access) ist abgekündigt. Sorry!

Nebenbei: Sorg dafür, das die Clients kontrolliert angebunden sind und macht dir keinen großen stress. Im einfachsten Fall stellte du einfach eine kleine Firewall bei den Leuten hin. Oder auch so eine Sophos RED Box.
Geht es nur um Notebooks ist AlwaysOn VPN eine gute Lösund und basiert auf IPsec. Zugriff und Konfig liegt bei dir.

Außerdem wird hier teils außer acht gelassen, das ja gar nicht der Komplette Traffic durch den Tunnel muss. Bei DA ist es quasi Service basiert, setzt aber IPv6 voraus und routet den Traffic anhand der Destination. AlwaysONVPN habe ich noch nicht im live Betrieb gesehen. Soll DA aber komplett ablösen. Das ganze muss aber den Anforderungen entsprechen. Die Client Sicherheit muss schließlich gegeben sein.
Bitte warten ..
Mitglied: Matsushita
09.12.2019 um 10:57 Uhr
Du machst am besten überhaupt nichts, denn Du bist schlicht nicht qualifiziert. Ich meien das nicht böse, aber das wird ein gebasteltes Gefrickel und nie richtig funktionieren. Allein schon die Tatsache, dass Du Technologie in den Raum wirfst, ohne konkrete Anforderung nennen zu können .... Ich habe Dir so gut es geht geholfen, jetzt sei auch so Clever und sieh ein, dass Du der falsche Mann für das Projekt bist.
Bitte warten ..
Mitglied: aqui
09.12.2019, aktualisiert um 11:02 Uhr
Die Überschrift ist ja auch technisch unsinnig, denn liest man es richtig ist das ja keinesfalls eine "Netzwerk" Planung sondern lediglich, wenn überhaupt, eine Winblows Planung....
Der Verlauf des Threads spricht ja auch für sich ! Kollege @Matsushita hat es ja schon richtig auf den Punkt gebracht.
Bitte warten ..
Mitglied: irgendwas-mit-it
10.12.2019 um 09:12 Uhr
Klar geht Home-Office ohne VPN Verbindung. O365 + Intune - fertig. AD, GPOs und VPN bracht man da nicht mehr. Das ist nur alter Ballast weil das früher mal so gemacht hat. Google mal BIYOD
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Netzwerk Entwurf und Planung
Frage von Motte990LAN, WAN, Wireless5 Kommentare

Guten Abend Meine Frau ,Kind und ich ziehen im März in unser Haus. Das Haus hat Keller Etage, Erd ...

CPU, RAM, Mainboards
RAM Planung
gelöst Frage von PharITCPU, RAM, Mainboards8 Kommentare

Hallo allerseits, gerade auf der Fujitsu-Homepage einen Server gesehen, den die "für den Mittelstand" bezeichnen, der 1,5TB RAM unterstützt. ...

Windows Netzwerk
VPN Planung
Frage von elo22.Windows Netzwerk7 Kommentare

Hallo, es geht um eine VPN Planung mit folgenden Vorgaben: 2 Schulstandorte mit Netzwerk Class B, an Standort B ...

LAN, WAN, Wireless
Planung eines Heimnetzes
Frage von Freezer2602LAN, WAN, Wireless1 Kommentar

Hallo zusammen, lange war ich stiller mitlesender in diesem Forum, jetzt habe ich mich aufgrund meines Anliegens angemeldet. Kurz ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 1 TagViren und Trojaner7 Kommentare

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 1 TagViren und Trojaner14 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless47 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Router & Routing
NAS im VPN zu langsam mit FritzBox 7490
Frage von holger3208Router & Routing19 Kommentare

Hallo, ich habe eine Telekom VDsl Leitung mit einer 50/10 Leitung. Einen Qnap NAS TS-231P2 (4GB RAM) Eine FritzBox ...

TK-Netze & Geräte
Empfehlung DSL Modem
Frage von CorraggiounoTK-Netze & Geräte18 Kommentare

Hi Leute, könntet ihr mir eine Empfehlung für ein DSL Modem aussprechen? Provider ist die Telekom dahinter steht gleich ...

Windows 10
Desktopverknüpfung für alle User
gelöst Frage von Zeus0815Windows 1014 Kommentare

Hallo zusammen, habe einen Schwung PCs gekauft. Dort hat der Hersteller einen Ordner auf C: abgelegt. Von dort aus ...