schreinercons
Goto Top

Vernetzung zweier Standorte mit jeweils einem W2k3-SBS

Es sollen die zwei lokalen Netzwerke von einem Kunden über ein VPN in eins gekoppelt werden. Firma A und Firma B besitzen jeweils einen eigenen Windows Server 2003 Small Business mit eigenem Exchange.

Hi an alle Administratoren,

ich habe von einem Kunden einen Auftrag bekommen. Ich soll einen Kostenvoranschlag für die Vernetzung zweier Standorte erstellen.

Also es sollen praktisch zwei lokale Netzwerke über ein VPN in eines gekoppelt werden. Das Problem was ich an der Sache sehe sind die beiden W2k3-SBS oder?
Ist es möglich die Firma A und Firma B so zusammen zu bringen, dass ich die Netzwerke nicht groß aufbohren muss? Also alles so belassen kann, wie es im Moment ist?
Es muss lediglich auf die Dateien der Firmen zugegriffen werden.

Wie sollte man das Projekt angehen? Ich hoffe ich habe soweit die meisten Details gesagt. Wenn euch was fehlen sollte, einfach schreiben face-smile


Ich hoffe auf zahlreiche Antworten.


Lg

Content-ID: 109443

Url: https://administrator.de/contentid/109443

Ausgedruckt am: 20.11.2024 um 02:11 Uhr

bigzorro
bigzorro 19.02.2009 um 10:02:19 Uhr
Goto Top
auf den sbs rras konfigurieren und per vpn verbinden, ggf zwischen den beiden netzen routen.

sollten nur nicht beidseitig gleiche ips in verwendung sein.
Dani
Dani 19.02.2009 um 11:40:00 Uhr
Goto Top
Moin,
an deiner Stelle würde ich Links und Rechts einen Router aufstellen, der site-2-site VPN unterstützt. Damit ist der Tunnel nicht von Windows Server abhängig und auch somit keine weiteren Ports nach außen offen. Somit ein Angriffspunkt weniger.
Wenn du RRAS nimmst, stellt sich die Frage wer sich wo einwählt und das Routing ist auch nicht ganz so einfach. Absehen von der Sicherheit...l
Wichtig ist eben, dass beide Seiten feste IP's haben. Somit ist es easy für die Router sich zu finden. Des Weiteren haben die festen IP's den Vorteil, dass du damit auch eine gewisse Sicherheit schaffen kannst - nämlich erlaube nur von dieser IP einen Tunnel. Auch wenn ein Fremder deine IP kennt und den Schlüssel, kann er keine Verbindung aufbauen.

Was die Router angeht, wir setzen klar auf Cisco. Asonsten eben Linksys.
Als Tunnel empfehle ich IPSEC mit PreKey oder Zertifikaten. face-smile


Grüße,
Dani
schreinercons
schreinercons 19.02.2009 um 11:44:23 Uhr
Goto Top
Hi Dani,

danke schon mal für die Antwort.
Das mit dem Site-2-Site VPN hatte ich auch schon eingeplant. Wenn ich nun die Verbindung zwischen beiden Router hergestellt habe, wie muss ich dann vorgehen.
Muss ich bei den jeweiligen DC's mit Vertrauensstellungen arbeiten und stören sich die beiden w2k3 und exchanges sich nicht?

Lg
Dani
Dani 19.02.2009 um 12:27:01 Uhr
Goto Top
Hi,
Muss ich bei den jeweiligen DC's mit Vertrauensstellungen arbeiten und stören sich die beiden w2k3 und exchanges sich nicht?
das Thema ist ein bisschen heikel...ich weiß grad nicht ob SBS-to-SBS Vertrauenseinstellungen zulässt. Wir haben hier ausschließlich mit W2k3 Datacenter oder Enterprise. face-smile
Da musst du auf die Experten warten...


Grüße,
Dani
wiesi200
wiesi200 19.02.2009 um 12:53:54 Uhr
Goto Top
Zitat von @Dani:
Hi,
> Muss ich bei den jeweiligen DC's mit Vertrauensstellungen
arbeiten und stören sich die beiden w2k3 und exchanges sich
nicht?
das Thema ist ein bisschen heikel...ich weiß grad nicht ob
SBS-to-SBS Vertrauenseinstellungen zulässt. Wir haben hier
ausschließlich mit W2k3 Datacenter oder Enterprise. face-smile
Da musst du auf die Experten warten...


Grüße,
Dani

Bin sicher kein Experte aber ich hab mal einen rausgeworfen und ich glaub das mit den Vertrauenseinstellungen war auch einer der Gründe dafür.
45877
45877 19.02.2009 um 13:02:34 Uhr
Goto Top
keine vertrauensstellung zwischen sbs möglich.
schreinercons
schreinercons 23.02.2009 um 09:11:11 Uhr
Goto Top
schreinercons
schreinercons 25.02.2009 um 08:10:25 Uhr
Goto Top
Hallo Admins,

Ich hatte gestern ein Meeting mit der Geschäftsführung.
Ich weiss jetzt das genaue Szenario wie die Umstellung laufen soll.

Es sollen beide Server beider Firmen zu einem zusammengeschlossen werden. Dieser steht dann in der "Hauptzentrale".
Beide Firmen sollen dann über ein VPN miteinander verbunden werden.
Der eine Server soll alle erforderlichen Dienste übernehemen (DC, Exchange, evtl. WSUS, etc.).

Mit was für einer Internetleitung sollte ich in diesem Fall rechnen? Ich brauch auf Seiten der Hauptzentrale mit Sicherheit einen min. einen S-DSL oder was würdet ihr sagen? Wie sieht das mit Benutzerprofilen aus? Sollte man diese lieber über das VPN weglassen?

Hab ich bin so einem Szenario noch etwas bestimmtes zu beachten?


Ich hoffe auf zahlreiche Antworten


Liebe Grüße
Dani
Dani 25.02.2009 um 19:14:05 Uhr
Goto Top
Hi,
viel Spaß....bei der Migration der Daten, Rechte, User und Gruppen. face-smile

So Pauschal kann man das nicht sagen..es kommt eben draf an wie groß die Dateien sind, wie viele MA am Remotestandort parallel arbeiten und welche Dienste darüber abgewickelt werden (Outlook, Internet, etc...). Ich denke es sollte an der Zentrale auf jeden Fall eine 2MBit SDSL Leitung sein wenn nicht sogar mehr.

Wie sieht das mit Benutzerprofilen aus? Sollte man diese lieber über das VPN weglassen?
Kommt auf die Bandbreite an und wie groß die Profile sind - zur Not eben ein Profilqoute setzen oder eben lokale Profile einsetzen oder aber eine dicke SDSL-Leitung.

Hab ich bin so einem Szenario noch etwas bestimmtes zu beachten?
VPN würde ich über Router2Router realsieren. Somit musst du nicht auf den Router Ports forwarden, die wiederum ein Sicherheitsrisikio darstellen. Außerdem kannast du später auch auf den Routern VPN-Zugänge für MA verwalten und hast keine Routingprobleme.


Grüße,
Dani
schreinercons
schreinercons 26.02.2009 um 11:07:02 Uhr
Goto Top
Hi Dani,

vielen Dank face-smile Den werde ich bestimmt haben :D

Nochmal zum Thema SDSL.
Würde denn eine 4Mbit/s Leitung ausreichen oder würde man selbst damit noch Geschwindigkeitsprobleme haben?
Es sollen hauptsächlich Daten, Internet und Mails über Exchange über die Leitung gehen.
Zentrale Benutzerprofile wären mir jetzt nicht sooo wichtig.
Die Hauptsache ist, ich kann vor der Geschäftsleitung gewährleisten, dass es kaum bzw. keine Performanceprobleme geben wird.

Kannst du mir eine genauere Antwort bzgl. des Problems geben?

Wie passiert das dann eigentlich mit der Anbindung der Remoteclients an die lokale Domäne?
Kriegen die dann einfach den Gateway und DNS-Server vom DC und können sich an der Domain anmelden? Das läuft dann wahrscheinlich mit DHCP-over-VPN oder?


Hoffe du kannst mir noch ein bisschen weiterhelfen


Danke im Voraus


Edit: Wäre toll wenn sich vielleicht noch andere an der Sache beteiligen face-big-smile
Tristan
Dani
Dani 26.02.2009 um 15:36:49 Uhr
Goto Top
Hi,
Die Hauptsache ist, ich kann vor der Geschäftsleitung gewährleisten, dass es kaum bzw. keine Performanceprobleme geben wird.
Dann nimm ne 100MBit Leitung - dann dürfte es sicher keine Probleme geben. Sry, aber da wird es wohl auf einen Testlauf ankommen. Ich denke mit 4MBit düfest du gut fahren.
Wichtig ist eben, dass der VPN-Tunnel von 2 Router aufgebaut wird. Ansonsten kann dich das Routing viele Nerven kosten.

Wie passiert das dann eigentlich mit der Anbindung der Remoteclients an die lokale Domäne?
Gaar nichts...denn für die beiden sieht das dann aus wie normales LAN. Vorraussetzung ist eben die Router-to-Router-Verbindung.


Grüße,
Dani
schreinercons
schreinercons 27.02.2009 um 08:31:47 Uhr
Goto Top
Zitat von @Dani:
> Wie passiert das dann eigentlich mit der Anbindung der
Remoteclients an die lokale Domäne?
Gaar nichts...denn für die beiden sieht das dann aus wie
normales LAN. Vorraussetzung ist eben die
Router-to-Router-Verbindung.


Grüße,
Dani


Aber wenn ich doch eine Site-2-Site Verbindung über die Router mache, was ich auch schon geplant hatte, dann muss ich doch in jedem LAN einen eigenen IP-Adressbereich verwenden, oder? Und wenn der Remotestandort einen anderen Bereich hat wieder der Standort wo der Server steht, so kann ich die Clients doch nicht ohne weiteres in die lokale Domäne nehmen. Und das ist doch eigentlich der Sinn von Site-2-Site VPN, oder irre ich mich da?


Liebe Grüße
Dani
Dani 27.02.2009 um 08:40:15 Uhr
Goto Top
Moin,
Aber wenn ich doch eine Site-2-Site Verbindung über die Router mache, was ich auch schon geplant hatte,
dann muss ich doch in jedem LAN einen eigenen IP-Adressbereich verwenden, oder?
Mache 2 verschiedene Netze....es gibt auch mit einem Subnetz. Aber das ist nicht so ganz einfach.

Und wenn der Remotestandort einen anderen Bereich hat wieder der Standort wo der Server steht, so kann
ich die Clients doch nicht ohne weiteres in die lokale Domäne nehmen.
Aha..und wie kommst du darauf? Wenn du an den jeweiligen Gateways jeden Standorts eine statische route für das andere Netz einträgest ist das kein Problem. Somit werden die Pakete entsprechend geroutet.


Grüße,
Dani
schreinercons
schreinercons 27.02.2009 um 09:55:27 Uhr
Goto Top
Also heisst das im Prinzip für mich, wenn ich die statischen Routen auf jedem Router eingetragen habe, kann ich die remote clients ganz normal wie als ob Sie in dem lokalen Netzwerk angeschlossen sind, in die Domäne aufnehmen?
Das wäre ja ne coole Nummer face-big-smile

Btw. wie findest du den Router für diese Situation?

http://www.store.ctn-systeme.de/draytek-vigor-adsl-modem-router/draytek ...


Danke
Tristan
Dani
Dani 27.02.2009 um 12:47:36 Uhr
Goto Top
Normal schon...wir hatten bisher keine Probleme. face-smile
Wir sind hier bei Sachen Netzwerk total auf der Cisco Schiene (Router, Firewall, Switches, Access-Points, Telefone, etc...). Daher kenn ich nichts anderes. Kann dir also nicht sagen wie das zu händeln ist.


Grüße,
Dani