Statische Routen Windows Server 2022 ohne IIS
Hi,
ein Domain Controller in einem kleinen Netzwerkstandort soll migriert werden. In dem Netzwerk gibt es zwei Gateways mit VPN-Verbindungen. Der alte Domaincontroller hatte DHCP, wo er sich selbst als default route (Standardgateway) konfiguriert hatte. Die Clienten routen also über den Domain Controller. Der Domain Controller hat Routing und RAS installiert und da unter Statische Routen die VPN Ziele über das jeweilige Gateway konfiguriert.
Jetzt wollte ich das einfach mit auf den neuen DC umziehen. Der macht ja jetzt DHCP (usw) und sollte dann sich selbst als Router einstellen lassen. Dazu muss er dann natürlich die statischen routen kennen.
Für Routing und RAS muss ich ja Serverrolle "Remotezugriff" installieren, richtig? Da kann ich dann drei Sachen auswählen ("DirectAccess und VPN (RAS)", "Routing" und "Webanwendungsproxy"). Wenn ich Routing (und nur Routing) auswähle, will er Verwaltungstools für alle mitinstallieren, OK, aber auch den WebServer IIS (und CMAK und "Direct Access und VPN" und die IIS Verwaltungsprogramme). Ich möchte aber keinen kompletten IIS und sonstwas auf einem Domain Controller haben, einfach nur wegen 15 statischen Routen.
Mache ich was falsch? Kann ich tatsächlich bei Windows Server 2022 keine statischen Routen (mit Bordmittel-GUIs) einstellen?
Was würdet ihr tun? Ich sehe folgende Optionen:
1) routen per "route add" setzen
2) ein OPNsense appliance machen
3) zähneknirschend den IIS installieren, aber nicht starten oder so
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und so), Option 2) fügt Komplexität hinzu, die man eigentlich ja nicht braucht und Option 3) ist am schlimmsten (Ich will keine Funktionen auf dem DC, ich will keine sinnlose Angriffsoberfläche, kein Remote-Sonstwas außer RDP).
Was meint ihr?
ein Domain Controller in einem kleinen Netzwerkstandort soll migriert werden. In dem Netzwerk gibt es zwei Gateways mit VPN-Verbindungen. Der alte Domaincontroller hatte DHCP, wo er sich selbst als default route (Standardgateway) konfiguriert hatte. Die Clienten routen also über den Domain Controller. Der Domain Controller hat Routing und RAS installiert und da unter Statische Routen die VPN Ziele über das jeweilige Gateway konfiguriert.
Jetzt wollte ich das einfach mit auf den neuen DC umziehen. Der macht ja jetzt DHCP (usw) und sollte dann sich selbst als Router einstellen lassen. Dazu muss er dann natürlich die statischen routen kennen.
Für Routing und RAS muss ich ja Serverrolle "Remotezugriff" installieren, richtig? Da kann ich dann drei Sachen auswählen ("DirectAccess und VPN (RAS)", "Routing" und "Webanwendungsproxy"). Wenn ich Routing (und nur Routing) auswähle, will er Verwaltungstools für alle mitinstallieren, OK, aber auch den WebServer IIS (und CMAK und "Direct Access und VPN" und die IIS Verwaltungsprogramme). Ich möchte aber keinen kompletten IIS und sonstwas auf einem Domain Controller haben, einfach nur wegen 15 statischen Routen.
Mache ich was falsch? Kann ich tatsächlich bei Windows Server 2022 keine statischen Routen (mit Bordmittel-GUIs) einstellen?
Was würdet ihr tun? Ich sehe folgende Optionen:
1) routen per "route add" setzen
2) ein OPNsense appliance machen
3) zähneknirschend den IIS installieren, aber nicht starten oder so
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und so), Option 2) fügt Komplexität hinzu, die man eigentlich ja nicht braucht und Option 3) ist am schlimmsten (Ich will keine Funktionen auf dem DC, ich will keine sinnlose Angriffsoberfläche, kein Remote-Sonstwas außer RDP).
Was meint ihr?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34246614552
Url: https://administrator.de/forum/statische-routen-windows-server-2022-ohne-iis-34246614552.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
12 Kommentare
Neuester Kommentar
irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !Was würdet ihr tun? Ich sehe folgende Optionen:
Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag .
🖖
Moin...
ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!
Frank
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und so..
das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!
Frank
Also ich wäre bedingungslos für deine Variante 2) die *Sense
Option 2 und 4 wären in der Tat die beste Wahl!Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein verantwortungsvoller Netzwerker macht so einen Unsinn. Zumal wenn man nicht akribisch darauf achtet das dann ICMP Redirects erlaubt sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll aber niemals Router ist schon abartig. "Wat fürn Bullshit am Freitag"🐟 trifft es schon recht gut und spricht eher für die 4.
Erspart dir auch die Frickelei mit den statischen Routen die auf einem Server nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es Router und Firewalls in einem Netzwerk gibt. 🧐
Zur Nutzung von exotischen Antquitäten wie IIS in einer Welt voller Apachen oder Nginx muss man sicher auch nix mehr sagen.
Ob das jetzt alles kranke, verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren installieren und da ne Route auf dem einzigen Server einrichten, möchte ich jetzt aber nicht bewerten.
Zumindestens haben sie wenig bis kein Netzwerk Know How wenn man sowas auf diese Weise einrichtet. Der Grund ist primär immer Routimng Unwissenheit. Denn mit dieser wenig intelligenten "Schrotschusslösung" entledigt man sich der Pflicht das IP Routing sauber zu konfigurieren wenn diese Server RRAS Dienste übernehmen was aber generell auch schon ein Fehler ist, denn diese Dienste gehören bekanntlich niemals auf ein internes Gerät und schon gar nicht auf einen sensitiven Server sondern immer auf die Peripherie. Also ist sowas eher hingepfuscht.Folglich ist verantwortungslos schon recht milde geurteilt für solche "Bastler" von "gewissen" Dienstleistern.
Woher weißt Du überhaupt, was da an Leitungen dran hängt
Gut, da magst du Recht haben. In einem Mini Popelnetz mit 5 User ist das sicher weniger relevant als in einem mit 2000 Usern. Es ist und bleibt aber ein grundsätzlicher Designfehler in der IP Einrichtung den verantwortungsvolle Netzwerker definitiv NICHT machen. Weisst du auch alles selber wenn du einmal fair und ruhig darüber nachdenkst. aber Microsoft ist ja sehr sehr erfolgreich
Oha...aber ganz sicher NICHT im Netzwerk Bereich. Da reicht es schon nur einmal das endlose MS Drama vom mystischen Fuchs zu verfolgen:Wie man das Windows 10 und 11 TCP-Handling wieder desuboptimieren kann
Nur einer der vielen Punkte die Bände spricht über deren Netzwerk Kompetenz....
Moin..
Der alte Domain Controller ist ja das default GW, der zu anderen Routern (Firewalls)
routen gesetzt hat.
Du hast sicherlich schon gesehen, dass ich schrieb, dass Windows das
automatisch installieren möchte, wenn man "Routing" installieren möchte und ich
genau deswegen gefragt habe.
also ein Windows Server, auch nicht der 2022er Server möchte das von alleine Installieren!
warum macht der Router nicht das Routing?
Erstmal danke für Deine schnelle Antwort.
Ja, aus Security und Safetygründen.
oha...
also wenn du RAS auf dem DC installierst, bist du doch auf dem DC! na merkste was?
Nein, erstens sind es nicht "meine" Tunnel und zweitens enden sie nicht auf dem DC.`
uhh, für nen Kunden, also noch schlimmer!
Nein, werden da keine.
doch!
(viel weiterhelfen tun Deine Rückfragen jetzt aber auch nicht, oder?)
ich auch...
Erstmal danke für Deine schnelle Antwort.
Irgendwie gefällt mir das auch am besten. Die kann dann auch CARP (leider kein VRRP),
das könnte man dann auch gleich einrichten. Es würde wohl erstmal nur für eine VM reichen,
was jetzt leider auch fern von ideal ist.
Dann ist das ein geplantes Wartungsfenster und dann ist da im Prinzip gar nichts los.
Ist das Windows echt soooo schlecht, dass man ihm nicht mal simples IPv4
Routing zutraut? Wenn ich sowas andeute, werde ich von Kollegen immer gleich
nieder gemacht, dass seien Falschaussagen aus der vorherigen Dekade, inzwischen
sei das alles sicher...
wozu hast du nen Router? und was macht der genau?
Danke für Deine Antw... ähh ich meine Danke für Dein Schreiben.
Na Linuxe und *BSDs. Da werden statische routen zwar je nach System
unterschiedlich konfiguriert, aber meist total simpel über eine
Konfigurationsdatei. Brauch ich aber nicht, weil ich ein pfSense oder ein VRRP
Switch/Firewall/Router habe, wenn es mehrere Routen gibt
(und ich unter Windows nicht mal dem Ping Tool traue).
oha... du traust windows nicht mal nen Ping zu. willst aber RAS und kennst nicht mal was es bedeutet?
Option 1 hat übrigens gleich die erste Antwort hier im Faden auch vorgeschlagen:
also ist es ja wohl nicht sooo abwegig.
(ohh man, muss das jetzt wieder sein...)
ja... mit Ruhm bekleckerst du dich nicht grade...
Was hab ich jetzt damit zu tun? Weil ich eine Frage stelle, wo es hier nichtmal eine
einheitliche Antwort gibt? Hätten alle sofort "Option 2!" gesagt, hätte ich
das ja verstanden, aber es gibt ja mindestens für 1 und 2 Befürworter.
ja.. die 2 wäre schon OK, und was macht so pfSense genau? ach jaaaaa Routen! geht jetzt mal nen Licht bei dir an?
Und offensichtlich ist mir das ja aufgefallen, sonst hätte ich ja nicht gefragt.
Meiner Vorstellung nach wäre Option 4 übrigens:
VRRP oder CARP auf den Firewalls (und die haben dann natürlich alle Routen)
oder, wenn's Geld reicht, einen Switch nehmen, der das macht.
wann genau würdest du einen Switch zum Routen nutzen?
Aber wir sind uns ja wohl einig, dass meine Frage berechtigt ist, denn der
vorgefundene Stand ist doof, aber geholfen hat mir Deine Antwort jetzt nicht.
nein, als Netzwerker, wäre deine frage überflüssig geswesen!
OK, danke für Deine schnelle Antwort.
Ist zwar alles OT, aber hast Du Quellen für Deine Bewertung? Dann könnte ich
damit vielleicht argumentieren, warum ich da kein "Windows Routing" mehr nehme.
was genau macht nochmal ein Router im Netzwerk?
Nicht lange her, vielleicht 10 Jahre oder so, da hatten kleine Büros nur einen
einzigen Windows Server, der alles gemacht hat und das bauen gewisse
Dienstleister offensichtlich bis heute. Ob das jetzt alles kranke,
verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren
installieren und da ne Route auf dem einzigen Server einrichten, möchte ich
jetzt aber nicht bewerten.
ich schon... den vor den SBS Kisten oder Singel Server stehen in der regel Router!
Durchlauferhitzer? Meinst jetzt wegen der 1% CPU load, die das erzeugen könnte?
Woher weißt Du überhaupt, was da an Leitungen dran hängt (Spoiler: es sind wohl je 5 MBit).
BTW: Ich weiß nicht, warum das so gemacht wurde. Daher gehe ich davon aus, dass das
hier auch sonst keiner wissen kann, denn ich hab dazu ja nichts geschrieben,
wie auch, ich weiß es ja selbst nicht, daher sollte man sich mit Bewertungen
des Unbekannten vielleicht ein bisschen zurückhalten ;)
deswegen kannst du es ja richtig machen, oder?
Was hat das denn jetzt mit mirzu tun?
(Ich würde ja VRRP oder CARP nehmen)
Du hast sicherlich schon gesehen, dass ich schrieb, dass Microsoft Windows Server 2022 diese
Antquität automatisch installieren möchte (und ich eben nicht), wenn man "Routing"
installieren möchte und ich genau deswegen gefragt habe.
(Ich mag das ja auch nicht, aber Microsoft ist ja sehr sehr erfolgreich.)
wozu war noch mal der router / gateway vor dem Server?
Frank
Zitat von @lastcentral:
Danke für Deine schnelle Antwort.
ok... also *ich* kann da prima mit leben.
Prima :-=Zitat von @11078840001:
irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !Danke für Deine schnelle Antwort.
ok... also *ich* kann da prima mit leben.
Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem
Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.
Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.
Der alte Domain Controller ist ja das default GW, der zu anderen Routern (Firewalls)
routen gesetzt hat.
RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag .
Du hast sicherlich schon gesehen, dass ich schrieb, dass Windows das
automatisch installieren möchte, wenn man "Routing" installieren möchte und ich
genau deswegen gefragt habe.
warum macht der Router nicht das Routing?
Zitat von @chiefteddy:
Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste.
Löblich!
Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste.
Löblich!
Erstmal danke für Deine schnelle Antwort.
Ja, aus Security und Safetygründen.
Du lässt den VPN-Tunnel auf dem DC enden?
Nein, erstens sind es nicht "meine" Tunnel und zweitens enden sie nicht auf dem DC.`
Zugriffe von Außen werden direkt auf dem DC terminiert? Sicherheit???
Nein, werden da keine.
(viel weiterhelfen tun Deine Rückfragen jetzt aber auch nicht, oder?)
Erstmal danke für Deine schnelle Antwort.
Irgendwie gefällt mir das auch am besten. Die kann dann auch CARP (leider kein VRRP),
das könnte man dann auch gleich einrichten. Es würde wohl erstmal nur für eine VM reichen,
was jetzt leider auch fern von ideal ist.
Mir stellt sich gerade die Frage, was in deinem Netzwerk (nicht) los ist,
wenn der Server mal für 20-30 Minuten (Updates) nicht verfügbar ist….
wenn der Server mal für 20-30 Minuten (Updates) nicht verfügbar ist….
Dann ist das ein geplantes Wartungsfenster und dann ist da im Prinzip gar nichts los.
Unabhängig der massiven Sicherheitsbedenken bei einem DC als zentrales
Gateway…
Gateway…
Ist das Windows echt soooo schlecht, dass man ihm nicht mal simples IPv4
Routing zutraut? Wenn ich sowas andeute, werde ich von Kollegen immer gleich
nieder gemacht, dass seien Falschaussagen aus der vorherigen Dekade, inzwischen
sei das alles sicher...
Zitat von @Vision2015:
Moin...
das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?
Moin...
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile
rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und
so..
rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und
so..
das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?
Danke für Deine Antw... ähh ich meine Danke für Dein Schreiben.
Na Linuxe und *BSDs. Da werden statische routen zwar je nach System
unterschiedlich konfiguriert, aber meist total simpel über eine
Konfigurationsdatei. Brauch ich aber nicht, weil ich ein pfSense oder ein VRRP
Switch/Firewall/Router habe, wenn es mehrere Routen gibt
(und ich unter Windows nicht mal dem Ping Tool traue).
Option 1 hat übrigens gleich die erste Antwort hier im Faden auch vorgeschlagen:
> real networkers do CLI !
also ist es ja wohl nicht sooo abwegig.
ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!
(ohh man, muss das jetzt wieder sein...)
Was hab ich jetzt damit zu tun? Weil ich eine Frage stelle, wo es hier nichtmal eine
einheitliche Antwort gibt? Hätten alle sofort "Option 2!" gesagt, hätte ich
das ja verstanden, aber es gibt ja mindestens für 1 und 2 Befürworter.
Und offensichtlich ist mir das ja aufgefallen, sonst hätte ich ja nicht gefragt.
Meiner Vorstellung nach wäre Option 4 übrigens:
VRRP oder CARP auf den Firewalls (und die haben dann natürlich alle Routen)
oder, wenn's Geld reicht, einen Switch nehmen, der das macht.
Aber wir sind uns ja wohl einig, dass meine Frage berechtigt ist, denn der
vorgefundene Stand ist doof, aber geholfen hat mir Deine Antwort jetzt nicht.
(Gut, falls jemand fragt, warum ich da kein "Windows Routing" mehr nehme, kann
ich sagen, "einer aus dem Internet fand das krank.")
nicht nur das Internet.ich sagen, "einer aus dem Internet fand das krank.")
OK, danke für Deine schnelle Antwort.
und 4 wären in der Tat die beste Wahl!
Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein
verantwortungsvoller Netzwerker macht so einen Unsinn.
Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein
verantwortungsvoller Netzwerker macht so einen Unsinn.
Ist zwar alles OT, aber hast Du Quellen für Deine Bewertung? Dann könnte ich
damit vielleicht argumentieren, warum ich da kein "Windows Routing" mehr nehme.
Nicht lange her, vielleicht 10 Jahre oder so, da hatten kleine Büros nur einen
einzigen Windows Server, der alles gemacht hat und das bauen gewisse
Dienstleister offensichtlich bis heute. Ob das jetzt alles kranke,
verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren
installieren und da ne Route auf dem einzigen Server einrichten, möchte ich
jetzt aber nicht bewerten.
Zumal wenn man nicht akribisch darauf achtet das dann ICMP Redirects erlaubt
sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen
gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll
aber niemals Router ist schon abartig.
sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen
gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll
aber niemals Router ist schon abartig.
Durchlauferhitzer? Meinst jetzt wegen der 1% CPU load, die das erzeugen könnte?
Woher weißt Du überhaupt, was da an Leitungen dran hängt (Spoiler: es sind wohl je 5 MBit).
BTW: Ich weiß nicht, warum das so gemacht wurde. Daher gehe ich davon aus, dass das
hier auch sonst keiner wissen kann, denn ich hab dazu ja nichts geschrieben,
wie auch, ich weiß es ja selbst nicht, daher sollte man sich mit Bewertungen
des Unbekannten vielleicht ein bisschen zurückhalten ;)
Erspart dir auch die Frickelei mit den statischen Routen die auf einem Server
nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es
Router und Firewalls in einem Netzwerk gibt. 🧐
nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es
Router und Firewalls in einem Netzwerk gibt. 🧐
Was hat das denn jetzt mit mirzu tun?
(Ich würde ja VRRP oder CARP nehmen)
Zur Nutzung von exotischen Antquitäten wie IIS in einer Welt voller Apachen
oder Nginx muss man sicher auch nix mehr sagen.
oder Nginx muss man sicher auch nix mehr sagen.
Du hast sicherlich schon gesehen, dass ich schrieb, dass Microsoft Windows Server 2022 diese
Antquität automatisch installieren möchte (und ich eben nicht), wenn man "Routing"
installieren möchte und ich genau deswegen gefragt habe.
(Ich mag das ja auch nicht, aber Microsoft ist ja sehr sehr erfolgreich.)
Frank
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?