8
Netzwerkarchitektur mit SRV 2012
Hallo liebe Admins,
wir nutzen einen ESXi auf dem :
-DC,DNS,DHCP
-Exchange,OWA
-Terminalserver (soll zukünftig auch von außen erreichbar sein)
installiert sind
Zudem haben wir:
-Firewall 192.168.100.0 (Firmennetz mit Clients und Server)
-Fritzbox 192.168.133.0 (portforwarding zur Firewall/Internen Netz)
Nun zu meiner Frage:
Momentan kommen die Mitarbeiter per mail.domain.de/owa an das Outlook WebAccess dran.
Zukünftig sollen sie aber auch den Terminalserver von außerhalb nutzen können, was wäre für hier die beste konstellation?
> Exchange
z.B INTERNET->FIREWALL->IIS (Maschine auf der nur ein IIS läuft) /
\ >Terminalserver
>IIS Exchange
oder: INTERNET-FIREWALL /
\ >IIS Terminalserver
Was bietet ihr den besten schutz?
Ich hoffe meine Frage ist verständlich erklärt
Viele Grüße!
Philipp
wir nutzen einen ESXi auf dem :
-DC,DNS,DHCP
-Exchange,OWA
-Terminalserver (soll zukünftig auch von außen erreichbar sein)
installiert sind
Zudem haben wir:
-Firewall 192.168.100.0 (Firmennetz mit Clients und Server)
-Fritzbox 192.168.133.0 (portforwarding zur Firewall/Internen Netz)
Nun zu meiner Frage:
Momentan kommen die Mitarbeiter per mail.domain.de/owa an das Outlook WebAccess dran.
Zukünftig sollen sie aber auch den Terminalserver von außerhalb nutzen können, was wäre für hier die beste konstellation?
> Exchange
z.B INTERNET->FIREWALL->IIS (Maschine auf der nur ein IIS läuft) /
\ >Terminalserver
>IIS Exchange
oder: INTERNET-FIREWALL /
\ >IIS Terminalserver
Was bietet ihr den besten schutz?
Ich hoffe meine Frage ist verständlich erklärt
Viele Grüße!
Philipp
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310254
Url: https://administrator.de/forum/netzwerkarchitektur-mit-srv-2012-310254.html
Ausgedruckt am: 23.04.2025 um 04:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo Philipp,
ich denke, das Remotedesktop-Gateway wäre hier am Besten für euch geeignet.
Aber: Warum kein VPN? Oder sollen die mit privaten Geräten auf den TS kommen?
Gruss,
tomolpi
ich denke, das Remotedesktop-Gateway wäre hier am Besten für euch geeignet.
Aber: Warum kein VPN? Oder sollen die mit privaten Geräten auf den TS kommen?
Gruss,
tomolpi
Hi Tomolpi,
Da es sich um freie Mitarbeiter handelt wird es mit dem VPN leider nicht funktionieren.
Ich hatte anfangs VPN eingesetzt, doch das abrufen der Mails per iphone etc war den Usern zu unständlich und instabiel, daher die Lösung mit Portfreigabe.
Wie würdest du dass am besten Umsetzten per Remotedesktop-Gateway?
Grüße!
Da es sich um freie Mitarbeiter handelt wird es mit dem VPN leider nicht funktionieren.
Ich hatte anfangs VPN eingesetzt, doch das abrufen der Mails per iphone etc war den Usern zu unständlich und instabiel, daher die Lösung mit Portfreigabe.
Wie würdest du dass am besten Umsetzten per Remotedesktop-Gateway?
Grüße!
Im Technet steht dazu etwas: https://technet.microsoft.com/de-de/library/cc754191(v=ws.11).aspx (2008 R2)
https://ryanmangansitblog.com/2013/03/27/deploying-remote-desktop-gatewa ... (2012/2012 R2)
Vereinfacht so: auf dem Server, der schon im Internet hängt, installiert ihr die Rolle vom RD-Gateway und fügt es eurer Sammlung der Remotedesktopdienste hinzu. Dann gebt ihr Port 443 frei (wenn er das nicht eh schon wegen https auf den OWA ist).
Der Mitarbeiter muss dann nur noch in seinem mstsc unter "Erweitert" -> Einstellungen die IP bzw. die URL eingeben, die auf den Server zeigt.
Dann muss der MA nur noch den Servernamen des TS eingeben, auf verbinden klicken und wird gebeten, sich am Gateway zu authentifizieren.
Das wars schon
Ah okay,
aber der Server der im Internet hängt ist der Exchange. ist es sinnvoll auf einen Exchange den RD-Gateway Dienst zu installieren?
Oder soll ich lieber portforwarding von 3389 auf die jeweilige IP vom TS-Server
(so habe ich es auch mit dem Exchange gemacht Port 443 auf die jeweilige IP Adresse des Exchangeservers)
Viele Grüße!
aber der Server der im Internet hängt ist der Exchange. ist es sinnvoll auf einen Exchange den RD-Gateway Dienst zu installieren?
Oder soll ich lieber portforwarding von 3389 auf die jeweilige IP vom TS-Server
(so habe ich es auch mit dem Exchange gemacht Port 443 auf die jeweilige IP Adresse des Exchangeservers)
Viele Grüße!
Zitat von @Philipp.S:
Ah okay,
aber der Server der im Internet hängt ist der Exchange. ist es sinnvoll auf einen Exchange den RD-Gateway Dienst zu installieren?
Naja, eine andere Möglichkeit bleibt uns wohl nicht. Wie immer: Backup bzw. Image vorher machen.Ah okay,
aber der Server der im Internet hängt ist der Exchange. ist es sinnvoll auf einen Exchange den RD-Gateway Dienst zu installieren?
Oder soll ich lieber portforwarding von 3389 auf die jeweilige IP vom TS-Server
Nein, bloss nicht! RDP ist nicht verschlüsselt und sollte nur im internen Netz bzw. in Verbindung mit VPN oder Gateway genutzt werden.(so habe ich es auch mit dem Exchange gemacht Port 443 auf die jeweilige IP Adresse des Exchangeservers)
Das ist okay, 443 ist ja https, da hast du die Verschlüsselung durch das Zertifikat.Viele Grüße!
Gruss zurück,tomolpi
hehe danke für die Rückmeldung =)
aber nochmal wegen dem anderen Gedanken.
Würde es dann nicht mehr Sinn machen einen kleinen Server hochzuziehen auf dem ein IIS läuft und der dann nur anhand der Subdirectories bsp: mail.domain.de/rdweb für rdp oder mail.domain.de/owa für Exchange auf die jeweiligen Server verweist?
Danke und viele Grüße!
aber nochmal wegen dem anderen Gedanken.
Würde es dann nicht mehr Sinn machen einen kleinen Server hochzuziehen auf dem ein IIS läuft und der dann nur anhand der Subdirectories bsp: mail.domain.de/rdweb für rdp oder mail.domain.de/owa für Exchange auf die jeweiligen Server verweist?
Danke und viele Grüße!
Zitat von @Philipp.S:
hehe danke für die Rückmeldung =)
aber nochmal wegen dem anderen Gedanken.
Würde es dann nicht mehr Sinn machen einen kleinen Server hochzuziehen auf dem ein IIS läuft und der dann nur anhand der Subdirectories bsp: mail.domain.de/rdweb für rdp oder mail.domain.de/owa für Exchange auf die jeweiligen Server verweist?
Wenn ihr noch eine Server-Lizenz übrig habt...hehe danke für die Rückmeldung =)
aber nochmal wegen dem anderen Gedanken.
Würde es dann nicht mehr Sinn machen einen kleinen Server hochzuziehen auf dem ein IIS läuft und der dann nur anhand der Subdirectories bsp: mail.domain.de/rdweb für rdp oder mail.domain.de/owa für Exchange auf die jeweiligen Server verweist?
Sonst würde ich eher sowas wie Mail.domain.tld
Remote.domain.tld
Machen.
Haben wir auch so, die verweisen dann auf unterschiedliche Server.
Hi Tomolpi,
die Lizenz ist kein problem.
Bzgl. den Subdomains, d.h. du würdest z.b eine machen für:
mail.domain.tld die dann auf -> 1.123.123.546/owa zeigt
und
remote.domain.tld die dann auf ->1.123.123.546/rdweb zeigt?
Grüße!
die Lizenz ist kein problem.
Bzgl. den Subdomains, d.h. du würdest z.b eine machen für:
mail.domain.tld die dann auf -> 1.123.123.546/owa zeigt
und
remote.domain.tld die dann auf ->1.123.123.546/rdweb zeigt?
Grüße!
