lastcentral
Goto Top

Statische Routen Windows Server 2022 ohne IIS

Hi,

ein Domain Controller in einem kleinen Netzwerkstandort soll migriert werden. In dem Netzwerk gibt es zwei Gateways mit VPN-Verbindungen. Der alte Domaincontroller hatte DHCP, wo er sich selbst als default route (Standardgateway) konfiguriert hatte. Die Clienten routen also über den Domain Controller. Der Domain Controller hat Routing und RAS installiert und da unter Statische Routen die VPN Ziele über das jeweilige Gateway konfiguriert.

Jetzt wollte ich das einfach mit auf den neuen DC umziehen. Der macht ja jetzt DHCP (usw) und sollte dann sich selbst als Router einstellen lassen. Dazu muss er dann natürlich die statischen routen kennen.

Für Routing und RAS muss ich ja Serverrolle "Remotezugriff" installieren, richtig? Da kann ich dann drei Sachen auswählen ("DirectAccess und VPN (RAS)", "Routing" und "Webanwendungsproxy"). Wenn ich Routing (und nur Routing) auswähle, will er Verwaltungstools für alle mitinstallieren, OK, aber auch den WebServer IIS (und CMAK und "Direct Access und VPN" und die IIS Verwaltungsprogramme). Ich möchte aber keinen kompletten IIS und sonstwas auf einem Domain Controller haben, einfach nur wegen 15 statischen Routen.

Mache ich was falsch? Kann ich tatsächlich bei Windows Server 2022 keine statischen Routen (mit Bordmittel-GUIs) einstellen?

Was würdet ihr tun? Ich sehe folgende Optionen:

1) routen per "route add" setzen
2) ein OPNsense appliance machen
3) zähneknirschend den IIS installieren, aber nicht starten oder so

Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und so), Option 2) fügt Komplexität hinzu, die man eigentlich ja nicht braucht und Option 3) ist am schlimmsten (Ich will keine Funktionen auf dem DC, ich will keine sinnlose Angriffsoberfläche, kein Remote-Sonstwas außer RDP).

Was meint ihr?

Content-ID: 34246614552

Url: https://administrator.de/forum/statische-routen-windows-server-2022-ohne-iis-34246614552.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

11078840001
11078840001 08.03.2024 aktualisiert um 16:13:53 Uhr
Goto Top
irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !
Was würdet ihr tun? Ich sehe folgende Optionen:
Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.

RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag face-big-smile.

🖖
chiefteddy
chiefteddy 08.03.2024 um 16:18:40 Uhr
Goto Top
Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste. Löblich!
Du lässt den VPN-Tunnel auf dem DC enden? Zugriffe von Außen werden direkt auf dem DC terminiert? Sicherheit???

Ein VPN endet auf dem Internet-Router bzw. der Firewall und nicht auf dem DC!

Jürgen
em-pie
em-pie 08.03.2024 um 16:42:05 Uhr
Goto Top
Moin,

Also ich wäre bedingungslos für deine Variante 2) die *Sense

Mir stellt sich gerade die Frage, was in deinem Netzwerk (nicht) los ist, wenn der Server mal für 20-30 Minuten (Updates) nicht verfügbar ist….
Unabhängig der massiven Sicherheitsbedenken bei einem DC als zentrales Gateway…
Vision2015
Vision2015 08.03.2024 um 17:23:41 Uhr
Goto Top
Moin...
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und so..
das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?

ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!

Frank
aqui
aqui 08.03.2024 aktualisiert um 20:48:08 Uhr
Goto Top
Also ich wäre bedingungslos für deine Variante 2) die *Sense
Option 2 und 4 wären in der Tat die beste Wahl!
Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein verantwortungsvoller Netzwerker macht so einen Unsinn. Zumal wenn man nicht akribisch darauf achtet das dann ICMP Redirects erlaubt sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll aber niemals Router ist schon abartig. "Wat fürn Bullshit am Freitag"🐟 trifft es schon recht gut und spricht eher für die 4.
Erspart dir auch die Frickelei mit den statischen Routen die auf einem Server nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es Router und Firewalls in einem Netzwerk gibt. 🧐
Zur Nutzung von exotischen Antquitäten wie IIS in einer Welt voller Apachen oder Nginx muss man sicher auch nix mehr sagen.
lastcentral
lastcentral 09.03.2024 um 12:06:42 Uhr
Goto Top
Zitat von @11078840001:

irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !

Danke für Deine schnelle Antwort.
ok... also *ich* kann da prima mit leben. face-smile

Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem
Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.

Der alte Domain Controller ist ja das default GW, der zu anderen Routern (Firewalls)
routen gesetzt hat.

RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag face-big-smile.

Du hast sicherlich schon gesehen, dass ich schrieb, dass Windows das
automatisch installieren möchte, wenn man "Routing" installieren möchte und ich
genau deswegen gefragt habe.


Zitat von @chiefteddy:

Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste.
Löblich!

Erstmal danke für Deine schnelle Antwort.

Ja, aus Security und Safetygründen.

Du lässt den VPN-Tunnel auf dem DC enden?

Nein, erstens sind es nicht "meine" Tunnel und zweitens enden sie nicht auf dem DC.

Zugriffe von Außen werden direkt auf dem DC terminiert? Sicherheit???

Nein, werden da keine.

(viel weiterhelfen tun Deine Rückfragen jetzt aber auch nicht, oder?)


Zitat von @em-pie:
Also ich wäre bedingungslos für deine Variante 2) die *Sense

Erstmal danke für Deine schnelle Antwort.

Irgendwie gefällt mir das auch am besten. Die kann dann auch CARP (leider kein VRRP),
das könnte man dann auch gleich einrichten. Es würde wohl erstmal nur für eine VM reichen,
was jetzt leider auch fern von ideal ist.

Mir stellt sich gerade die Frage, was in deinem Netzwerk (nicht) los ist,
wenn der Server mal für 20-30 Minuten (Updates) nicht verfügbar ist….

Dann ist das ein geplantes Wartungsfenster und dann ist da im Prinzip gar nichts los.

Unabhängig der massiven Sicherheitsbedenken bei einem DC als zentrales
Gateway…

Ist das Windows echt soooo schlecht, dass man ihm nicht mal simples IPv4
Routing zutraut? Wenn ich sowas andeute, werde ich von Kollegen immer gleich
nieder gemacht, dass seien Falschaussagen aus der vorherigen Dekade, inzwischen
sei das alles sicher...


Zitat von @Vision2015:

Moin...
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile
rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und
so..

das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?

Danke für Deine Antw... ähh ich meine Danke für Dein Schreiben.

Na Linuxe und *BSDs. Da werden statische routen zwar je nach System
unterschiedlich konfiguriert, aber meist total simpel über eine
Konfigurationsdatei. Brauch ich aber nicht, weil ich ein pfSense oder ein VRRP
Switch/Firewall/Router habe, wenn es mehrere Routen gibt
(und ich unter Windows nicht mal dem Ping Tool traue).


Option 1 hat übrigens gleich die erste Antwort hier im Faden auch vorgeschlagen:

> real networkers do CLI !

also ist es ja wohl nicht sooo abwegig. face-smile

ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!

(ohh man, muss das jetzt wieder sein...)

Was hab ich jetzt damit zu tun? Weil ich eine Frage stelle, wo es hier nichtmal eine
einheitliche Antwort gibt? Hätten alle sofort "Option 2!" gesagt, hätte ich
das ja verstanden, aber es gibt ja mindestens für 1 und 2 Befürworter.

Und offensichtlich ist mir das ja aufgefallen, sonst hätte ich ja nicht gefragt.

Meiner Vorstellung nach wäre Option 4 übrigens:

VRRP oder CARP auf den Firewalls (und die haben dann natürlich alle Routen)
oder, wenn's Geld reicht, einen Switch nehmen, der das macht.

Aber wir sind uns ja wohl einig, dass meine Frage berechtigt ist, denn der
vorgefundene Stand ist doof, aber geholfen hat mir Deine Antwort jetzt nicht.
(Gut, falls jemand fragt, warum ich da kein "Windows Routing" mehr nehme, kann
ich sagen, "einer aus dem Internet fand das krank.")


Zitat von @aqui:

Also ich wäre bedingungslos für deine Variante 2) die *Sense
Option 2

OK, danke für Deine schnelle Antwort.

und 4 wären in der Tat die beste Wahl!
Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein
verantwortungsvoller Netzwerker macht so einen Unsinn.

Ist zwar alles OT, aber hast Du Quellen für Deine Bewertung? Dann könnte ich
damit vielleicht argumentieren, warum ich da kein "Windows Routing" mehr nehme.

Nicht lange her, vielleicht 10 Jahre oder so, da hatten kleine Büros nur einen
einzigen Windows Server, der alles gemacht hat und das bauen gewisse
Dienstleister offensichtlich bis heute. Ob das jetzt alles kranke,
verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren
installieren und da ne Route auf dem einzigen Server einrichten, möchte ich
jetzt aber nicht bewerten.

Zumal wenn man nicht akribisch darauf achtet das dann ICMP Redirects erlaubt
sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen
gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll
aber niemals Router ist schon abartig.

Durchlauferhitzer? Meinst jetzt wegen der 1% CPU load, die das erzeugen könnte?
Woher weißt Du überhaupt, was da an Leitungen dran hängt (Spoiler: es sind wohl je 5 MBit).

BTW: Ich weiß nicht, warum das so gemacht wurde. Daher gehe ich davon aus, dass das
hier auch sonst keiner wissen kann, denn ich hab dazu ja nichts geschrieben,
wie auch, ich weiß es ja selbst nicht, daher sollte man sich mit Bewertungen
des Unbekannten vielleicht ein bisschen zurückhalten ;)


Erspart dir auch die Frickelei mit den statischen Routen die auf einem Server
nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es
Router und Firewalls in einem Netzwerk gibt. 🧐

Was hat das denn jetzt mit mirzu tun?
(Ich würde ja VRRP oder CARP nehmen)

Zur Nutzung von exotischen Antquitäten wie IIS in einer Welt voller Apachen
oder Nginx muss man sicher auch nix mehr sagen.

Du hast sicherlich schon gesehen, dass ich schrieb, dass Microsoft Windows Server 2022 diese
Antquität automatisch installieren möchte (und ich eben nicht), wenn man "Routing"
installieren möchte und ich genau deswegen gefragt habe.
(Ich mag das ja auch nicht, aber Microsoft ist ja sehr sehr erfolgreich.)
aqui
aqui 09.03.2024 aktualisiert um 13:17:28 Uhr
Goto Top
Ob das jetzt alles kranke, verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren installieren und da ne Route auf dem einzigen Server einrichten, möchte ich jetzt aber nicht bewerten.
Zumindestens haben sie wenig bis kein Netzwerk Know How wenn man sowas auf diese Weise einrichtet. Der Grund ist primär immer Routimng Unwissenheit. Denn mit dieser wenig intelligenten "Schrotschusslösung" entledigt man sich der Pflicht das IP Routing sauber zu konfigurieren wenn diese Server RRAS Dienste übernehmen was aber generell auch schon ein Fehler ist, denn diese Dienste gehören bekanntlich niemals auf ein internes Gerät und schon gar nicht auf einen sensitiven Server sondern immer auf die Peripherie. Also ist sowas eher hingepfuscht.
Folglich ist verantwortungslos schon recht milde geurteilt für solche "Bastler" von "gewissen" Dienstleistern.
Woher weißt Du überhaupt, was da an Leitungen dran hängt
Gut, da magst du Recht haben. In einem Mini Popelnetz mit 5 User ist das sicher weniger relevant als in einem mit 2000 Usern. Es ist und bleibt aber ein grundsätzlicher Designfehler in der IP Einrichtung den verantwortungsvolle Netzwerker definitiv NICHT machen. Weisst du auch alles selber wenn du einmal fair und ruhig darüber nachdenkst. face-wink
aber Microsoft ist ja sehr sehr erfolgreich
Oha...aber ganz sicher NICHT im Netzwerk Bereich. Da reicht es schon nur einmal das endlose MS Drama vom mystischen Fuchs zu verfolgen:
Wie man das Windows 10 und 11 TCP-Handling wieder desuboptimieren kann
Nur einer der vielen Punkte die Bände spricht über deren Netzwerk Kompetenz.... face-wink
Vision2015
Vision2015 09.03.2024 um 13:26:35 Uhr
Goto Top
Moin..
Zitat von @lastcentral:

Zitat von @11078840001:

irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !

Danke für Deine schnelle Antwort.
ok... also *ich* kann da prima mit leben. face-smile
Prima :-=

Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem
Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.

Der alte Domain Controller ist ja das default GW, der zu anderen Routern (Firewalls)
routen gesetzt hat.

RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag face-big-smile.

Du hast sicherlich schon gesehen, dass ich schrieb, dass Windows das
automatisch installieren möchte, wenn man "Routing" installieren möchte und ich
genau deswegen gefragt habe.
also ein Windows Server, auch nicht der 2022er Server möchte das von alleine Installieren!
warum macht der Router nicht das Routing?


Zitat von @chiefteddy:

Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste.
Löblich!

Erstmal danke für Deine schnelle Antwort.

Ja, aus Security und Safetygründen.
oha...

Du lässt den VPN-Tunnel auf dem DC enden?
also wenn du RAS auf dem DC installierst, bist du doch auf dem DC! na merkste was?

Nein, erstens sind es nicht "meine" Tunnel und zweitens enden sie nicht auf dem DC.`
uhh, für nen Kunden, also noch schlimmer!

Zugriffe von Außen werden direkt auf dem DC terminiert? Sicherheit???

Nein, werden da keine.
doch!

(viel weiterhelfen tun Deine Rückfragen jetzt aber auch nicht, oder?)


Zitat von @em-pie:
Also ich wäre bedingungslos für deine Variante 2) die *Sense
ich auch...

Erstmal danke für Deine schnelle Antwort.

Irgendwie gefällt mir das auch am besten. Die kann dann auch CARP (leider kein VRRP),
das könnte man dann auch gleich einrichten. Es würde wohl erstmal nur für eine VM reichen,
was jetzt leider auch fern von ideal ist.

Mir stellt sich gerade die Frage, was in deinem Netzwerk (nicht) los ist,
wenn der Server mal für 20-30 Minuten (Updates) nicht verfügbar ist….

Dann ist das ein geplantes Wartungsfenster und dann ist da im Prinzip gar nichts los.

Unabhängig der massiven Sicherheitsbedenken bei einem DC als zentrales
Gateway…

Ist das Windows echt soooo schlecht, dass man ihm nicht mal simples IPv4
Routing zutraut? Wenn ich sowas andeute, werde ich von Kollegen immer gleich
nieder gemacht, dass seien Falschaussagen aus der vorherigen Dekade, inzwischen
sei das alles sicher...

wozu hast du nen Router? und was macht der genau?

Zitat von @Vision2015:

Moin...
Option 1) wirkt komisch (1000 Euro System und dann per Kommandozeile
rumfummeln, da wird bestimmt wieder mit mir gemeckert, sei ja kein Linux und
so..

das ist jetzt nicht dein ernst oder... was machst du den so Hauptberuflich?

Danke für Deine Antw... ähh ich meine Danke für Dein Schreiben.

Na Linuxe und *BSDs. Da werden statische routen zwar je nach System
unterschiedlich konfiguriert, aber meist total simpel über eine
Konfigurationsdatei. Brauch ich aber nicht, weil ich ein pfSense oder ein VRRP
Switch/Firewall/Router habe, wenn es mehrere Routen gibt
(und ich unter Windows nicht mal dem Ping Tool traue).

oha... du traust windows nicht mal nen Ping zu. willst aber RAS und kennst nicht mal was es bedeutet?

Option 1 hat übrigens gleich die erste Antwort hier im Faden auch vorgeschlagen:

> real networkers do CLI !

also ist es ja wohl nicht sooo abwegig. face-smile

ich bin eher für Option 4:
es macht jemand, der etwas mehr ahnung hat, und nicht das Netzwerk gefährdet!

(ohh man, muss das jetzt wieder sein...)
ja... mit Ruhm bekleckerst du dich nicht grade...

Was hab ich jetzt damit zu tun? Weil ich eine Frage stelle, wo es hier nichtmal eine
einheitliche Antwort gibt? Hätten alle sofort "Option 2!" gesagt, hätte ich
das ja verstanden, aber es gibt ja mindestens für 1 und 2 Befürworter.
ja.. die 2 wäre schon OK, und was macht so pfSense genau? ach jaaaaa Routen! geht jetzt mal nen Licht bei dir an?

Und offensichtlich ist mir das ja aufgefallen, sonst hätte ich ja nicht gefragt.

Meiner Vorstellung nach wäre Option 4 übrigens:

VRRP oder CARP auf den Firewalls (und die haben dann natürlich alle Routen)
oder, wenn's Geld reicht, einen Switch nehmen, der das macht.
wann genau würdest du einen Switch zum Routen nutzen?

Aber wir sind uns ja wohl einig, dass meine Frage berechtigt ist, denn der
vorgefundene Stand ist doof, aber geholfen hat mir Deine Antwort jetzt nicht.
nein, als Netzwerker, wäre deine frage überflüssig geswesen!
(Gut, falls jemand fragt, warum ich da kein "Windows Routing" mehr nehme, kann
ich sagen, "einer aus dem Internet fand das krank.")
nicht nur das Internet.


Zitat von @aqui:

Also ich wäre bedingungslos für deine Variante 2) die *Sense
Option 2

OK, danke für Deine schnelle Antwort.

und 4 wären in der Tat die beste Wahl!
Einen Server als Default Gateway laufen zu lassen ist schon recht krank. Kein
verantwortungsvoller Netzwerker macht so einen Unsinn.

Ist zwar alles OT, aber hast Du Quellen für Deine Bewertung? Dann könnte ich
damit vielleicht argumentieren, warum ich da kein "Windows Routing" mehr nehme.
was genau macht nochmal ein Router im Netzwerk?

Nicht lange her, vielleicht 10 Jahre oder so, da hatten kleine Büros nur einen
einzigen Windows Server, der alles gemacht hat und das bauen gewisse
Dienstleister offensichtlich bis heute. Ob das jetzt alles kranke,
verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren
installieren und da ne Route auf dem einzigen Server einrichten, möchte ich
jetzt aber nicht bewerten.
ich schon... den vor den SBS Kisten oder Singel Server stehen in der regel Router!

Zumal wenn man nicht akribisch darauf achtet das dann ICMP Redirects erlaubt
sind, ansonsten ist der Server ein "Durchlauferhitzer" für sämtlichen
gerouteten Traffic. Das einem Server aufzubürden der primär Server sein soll
aber niemals Router ist schon abartig.

Durchlauferhitzer? Meinst jetzt wegen der 1% CPU load, die das erzeugen könnte?
Woher weißt Du überhaupt, was da an Leitungen dran hängt (Spoiler: es sind wohl je 5 MBit).

BTW: Ich weiß nicht, warum das so gemacht wurde. Daher gehe ich davon aus, dass das
hier auch sonst keiner wissen kann, denn ich hab dazu ja nichts geschrieben,
wie auch, ich weiß es ja selbst nicht, daher sollte man sich mit Bewertungen
des Unbekannten vielleicht ein bisschen zurückhalten ;)

deswegen kannst du es ja richtig machen, oder?

Erspart dir auch die Frickelei mit den statischen Routen die auf einem Server
nichts zu suchen haben. Du solltest dich einmal ernsthaft fragen warum es
Router und Firewalls in einem Netzwerk gibt. 🧐

Was hat das denn jetzt mit mirzu tun?
(Ich würde ja VRRP oder CARP nehmen)

Zur Nutzung von exotischen Antquitäten wie IIS in einer Welt voller Apachen
oder Nginx muss man sicher auch nix mehr sagen.

Du hast sicherlich schon gesehen, dass ich schrieb, dass Microsoft Windows Server 2022 diese
Antquität automatisch installieren möchte (und ich eben nicht), wenn man "Routing"
installieren möchte und ich genau deswegen gefragt habe.
(Ich mag das ja auch nicht, aber Microsoft ist ja sehr sehr erfolgreich.)
wozu war noch mal der router / gateway vor dem Server?

Frank
lastcentral
lastcentral 13.03.2024 um 13:39:26 Uhr
Goto Top
Zitat von @aqui:

Ob das jetzt alles kranke, verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren installieren und da ne Route auf dem einzigen Server einrichten, möchte ich jetzt aber nicht bewerten.

Woher weißt Du überhaupt, was da an Leitungen dran hängt
Gut, da magst du Recht haben. In einem Mini Popelnetz mit 5 User ist das sicher weniger relevant als in einem mit 2000 Usern. Es ist und bleibt aber ein grundsätzlicher Designfehler in der IP Einrichtung den verantwortungsvolle Netzwerker definitiv NICHT machen. Weisst du auch alles selber wenn du einmal fair und ruhig darüber nachdenkst. face-wink

ja, da gehen wenig Daten rüber. Der zweite Router (bzw Firewall) hat irgendeine Spezialleitung mit Spezial-VPN, vielleicht für irgendein Altsystem oder für ein Lizenzserver oder was weiß ich. Online-Backup ist bei 5Mbit ja eher unwahrscheinlich face-smile

aber Microsoft ist ja sehr sehr erfolgreich
Oha...aber ganz sicher NICHT im Netzwerk Bereich. Da reicht es schon nur einmal das endlose MS Drama vom mystischen Fuchs zu verfolgen:
Wie man das Windows 10 und 11 TCP-Handling wieder desuboptimieren kann
Nur einer der vielen Punkte die Bände spricht über deren Netzwerk Kompetenz.... face-wink

Klar, nicht direkt im Netzwerkbereich, aber als Host im Netzwerk nicht wegzukriegen...
lastcentral
lastcentral 13.03.2024 um 14:19:00 Uhr
Goto Top
(OT)

Danke für Deine ausführliche Antwort. Das war ja einiges zu lesen face-smile
Für die anderen Leser: ich glaube, inhaltlich wurde hier nichts Neues beigetragen.

Zitat von @Vision2015:

Moin..
Zitat von @lastcentral:

Zitat von @11078840001:

irkt komisch (1000 Euro System und dann per Kommandozeile rumfummel
real networkers do CLI !

Danke für Deine schnelle Antwort.
ok... also *ich* kann da prima mit leben. face-smile
Prima :-=

Keine der Optionen. Passende Routen setzt man der Einfachheit auf dem
Default-GW und dort bei Bedarf per Policy-Route ans Ziel routen.

Der alte Domain Controller ist ja das default GW, der zu anderen Routern (Firewalls)
routen gesetzt hat.

RRAS oder IIS um Routen zu setzen?? Wat fürn Bullshit am Freitag face-big-smile.

Du hast sicherlich schon gesehen, dass ich schrieb, dass Windows das
automatisch installieren möchte, wenn man "Routing" installieren möchte und ich
genau deswegen gefragt habe.
also ein Windows Server, auch nicht der 2022er Server möchte das von alleine Installieren!
warum macht der Router nicht das Routing?

Weil es halt zwei gibt.

und wie gesagt:
Wenn ich Routing (und nur Routing) auswähle, will er Verwaltungstools für alle mitinstallieren, OK, aber auch den WebServer IIS (und CMAK und "Direct Access und VPN" und die IIS Verwaltungsprogramme)

Zitat von @chiefteddy:

Du willst auf dem DC aus Sicherheitsgründen keine zusätzlichen Dienste.
Löblich!

Erstmal danke für Deine schnelle Antwort.

Ja, aus Security und Safetygründen.
oha...

Was meinst Du?

Du lässt den VPN-Tunnel auf dem DC enden?
also wenn du RAS auf dem DC installierst, bist du doch auf dem DC! na merkste was?

Nein, erstens sind es nicht "meine" Tunnel und zweitens enden sie nicht auf dem DC.`
uhh, für nen Kunden, also noch schlimmer!

(Die Tunnel, die es nicht gibt, sind nicht noch schlimmer, weil es sie nicht gibt.)


Zugriffe von Außen werden direkt auf dem DC terminiert? Sicherheit???

Nein, werden da keine.
doch!

ähm... hab ich was verpasst?!
(Ich bin der OP und sage, dass da nichts terminiert wird)

Zitat von @em-pie:
Also ich wäre bedingungslos für deine Variante 2) die *Sense
ich auch...

das nehme ich dann mal als klaren Favoriten und mach das so.

Ist das Windows echt soooo schlecht, dass man ihm nicht mal simples IPv4
Routing zutraut? Wenn ich sowas andeute, werde ich von Kollegen immer gleich
nieder gemacht, dass seien Falschaussagen aus der vorherigen Dekade, inzwischen
sei das alles sicher...

wozu hast du nen Router? und was macht der genau?

Es gibt mehrere. Der eine macht vermutlich ein Spezial-VPN, vielleicht für eine Spezial-Anwendung oder ist die Backdoor für den BND, was weiß ich face-smile
Ich habe bloß eine Routentabelle bekommen.

Na Linuxe und *BSDs. Da werden statische routen zwar je nach System
unterschiedlich konfiguriert, aber meist total simpel über eine
Konfigurationsdatei. Brauch ich aber nicht, weil ich ein pfSense oder ein VRRP
Switch/Firewall/Router habe, wenn es mehrere Routen gibt
(und ich unter Windows nicht mal dem Ping Tool traue).

oha... du traust windows nicht mal nen Ping zu. willst aber RAS und kennst nicht mal was es bedeutet?

Nein, will ich eben nicht.
(Und schon gar nicht auf nem DC. Und ich will auch ganz bestimmt kein RAS, VPN oder sonstwas hinter den Firewalls terminieren. Ich hoffe sogar, dass das gar nicht geht, weil die das filtern würden, aber ich würde das nichtmal ausprobieren.)


(ohh man, muss das jetzt wieder sein...)
ja... mit Ruhm bekleckerst du dich nicht grade...

Was hab ich jetzt damit zu tun? Weil ich eine Frage stelle, wo es hier nichtmal eine
einheitliche Antwort gibt? Hätten alle sofort "Option 2!" gesagt, hätte ich
das ja verstanden, aber es gibt ja mindestens für 1 und 2 Befürworter.
ja.. die 2 wäre schon OK, und was macht so pfSense genau? ach jaaaaa Routen! geht jetzt mal nen Licht bei dir an?

ja, mir geht ein Licht auf, ich glaube nämlich, Du hast jetzt fast meine Frage verstanden face-smile

VRRP oder CARP auf den Firewalls (und die haben dann natürlich alle Routen)
oder, wenn's Geld reicht, einen Switch nehmen, der das macht.
wann genau würdest du einen Switch zum Routen nutzen?

"wenn's Geld reicht" bedeutet, wenn das Budget für eine entsprechende Infrastruktur gereicht hat.

Beispiele im ersten Treffer Forum-Suche L3 Routing Switch mit ACL und VRRP gesucht (hab nur überflogen)

Aber wir sind uns ja wohl einig, dass meine Frage berechtigt ist, denn der
vorgefundene Stand ist doof, aber geholfen hat mir Deine Antwort jetzt nicht.
nein, als Netzwerker, wäre deine frage überflüssig geswesen!

Abgesehen davon, dass es sicherlich Netzwerker gibt, die sich mit Windows-Server-Details nicht so gut auskennen, dass sie wissen, wie man "Routing" ohne "IIS" installiert, ja, die Windows gar nicht als Teil ihrer Aufgaben sehen, ist zwar die eine oder andere Antwort wenig hilfreich und daher meine Frage denen gegenüber überflüssig, aber andere haben ja die gleiche Meinung wie ich, nämlich Option 1 oder 2.

Nicht lange her, vielleicht 10 Jahre oder so, da hatten kleine Büros nur einen
einzigen Windows Server, der alles gemacht hat und das bauen gewisse
Dienstleister offensichtlich bis heute. Ob das jetzt alles kranke,
verantwortungslose Netzwerker sind, beispielsweise die, die diese Konnektoren
installieren und da ne Route auf dem einzigen Server einrichten, möchte ich
jetzt aber nicht bewerten.
ich schon... den vor den SBS Kisten oder Singel Server stehen in der regel Router!

Ja, da stehen Router. Und manchmal sogar mehrere.

BTW: Ich weiß nicht, warum das so gemacht wurde. Daher gehe ich davon aus, dass das
hier auch sonst keiner wissen kann, denn ich hab dazu ja nichts geschrieben,
wie auch, ich weiß es ja selbst nicht, daher sollte man sich mit Bewertungen
des Unbekannten vielleicht ein bisschen zurückhalten ;)

deswegen kannst du es ja richtig machen, oder?

Das würde ich vermutlich nicht wollen. Diese Router mit den mini Leitungen gehören vermutlich zu irgendwelchen sehr speziellen Anwendungen, vielleicht Alarmsystem, Brandmeldeanlagen, Lizenzserver für ausgemusterte Systeme, die wegen Dokumentenaufbewahrungsfristen noch funktionieren müssen, irgendwelche Wartungszugänge für Hersteller von teuren Spezialmaschinen, Zugang zum internen Netzwerk des Verfassungsschutzes, was weiß ich. Und ich glaube, ich möchte das auch gar nicht wisssen face-smile

Du hast sicherlich schon gesehen, dass ich schrieb, dass Microsoft Windows Server 2022 diese
Antquität automatisch installieren möchte (und ich eben nicht), wenn man "Routing"
installieren möchte und ich genau deswegen gefragt habe.
(Ich mag das ja auch nicht, aber Microsoft ist ja sehr sehr erfolgreich.)
wozu war noch mal der router / gateway vor dem Server?

Welchen der Router (bzw. Firewalls) meinst Du jetzt? face-smile

Ich bin für Hilfe dankbar und beantworte dazu natürlich gerne Fragen, aber ich habe den Eindruck, dass wir das an der Stelle jetzt nicht weiter vertiefen müssen (aber da ich ja Hilfe möchte und für jede dankbar bin, antworte ich natürlich auf Fragen, so gut ich kann).
aqui
Lösung aqui 24.03.2024 um 12:43:31 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
lastcentral
lastcentral 25.03.2024 um 23:21:08 Uhr
Goto Top
ja, stimmt, ich habe Meinungen bekommen (OPNsense genommen, stelle ich gerade auf CARP um, was prima funktioniert)