Vernetzung zweier Standorte mit jeweils einem W2k3-SBS
Es sollen die zwei lokalen Netzwerke von einem Kunden über ein VPN in eins gekoppelt werden. Firma A und Firma B besitzen jeweils einen eigenen Windows Server 2003 Small Business mit eigenem Exchange.
Hi an alle Administratoren,
ich habe von einem Kunden einen Auftrag bekommen. Ich soll einen Kostenvoranschlag für die Vernetzung zweier Standorte erstellen.
Also es sollen praktisch zwei lokale Netzwerke über ein VPN in eines gekoppelt werden. Das Problem was ich an der Sache sehe sind die beiden W2k3-SBS oder?
Ist es möglich die Firma A und Firma B so zusammen zu bringen, dass ich die Netzwerke nicht groß aufbohren muss? Also alles so belassen kann, wie es im Moment ist?
Es muss lediglich auf die Dateien der Firmen zugegriffen werden.
Wie sollte man das Projekt angehen? Ich hoffe ich habe soweit die meisten Details gesagt. Wenn euch was fehlen sollte, einfach schreiben
Ich hoffe auf zahlreiche Antworten.
Lg
Hi an alle Administratoren,
ich habe von einem Kunden einen Auftrag bekommen. Ich soll einen Kostenvoranschlag für die Vernetzung zweier Standorte erstellen.
Also es sollen praktisch zwei lokale Netzwerke über ein VPN in eines gekoppelt werden. Das Problem was ich an der Sache sehe sind die beiden W2k3-SBS oder?
Ist es möglich die Firma A und Firma B so zusammen zu bringen, dass ich die Netzwerke nicht groß aufbohren muss? Also alles so belassen kann, wie es im Moment ist?
Es muss lediglich auf die Dateien der Firmen zugegriffen werden.
Wie sollte man das Projekt angehen? Ich hoffe ich habe soweit die meisten Details gesagt. Wenn euch was fehlen sollte, einfach schreiben
Ich hoffe auf zahlreiche Antworten.
Lg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109443
Url: https://administrator.de/contentid/109443
Ausgedruckt am: 20.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
an deiner Stelle würde ich Links und Rechts einen Router aufstellen, der site-2-site VPN unterstützt. Damit ist der Tunnel nicht von Windows Server abhängig und auch somit keine weiteren Ports nach außen offen. Somit ein Angriffspunkt weniger.
Wenn du RRAS nimmst, stellt sich die Frage wer sich wo einwählt und das Routing ist auch nicht ganz so einfach. Absehen von der Sicherheit...l
Wichtig ist eben, dass beide Seiten feste IP's haben. Somit ist es easy für die Router sich zu finden. Des Weiteren haben die festen IP's den Vorteil, dass du damit auch eine gewisse Sicherheit schaffen kannst - nämlich erlaube nur von dieser IP einen Tunnel. Auch wenn ein Fremder deine IP kennt und den Schlüssel, kann er keine Verbindung aufbauen.
Was die Router angeht, wir setzen klar auf Cisco. Asonsten eben Linksys.
Als Tunnel empfehle ich IPSEC mit PreKey oder Zertifikaten.
Grüße,
Dani
an deiner Stelle würde ich Links und Rechts einen Router aufstellen, der site-2-site VPN unterstützt. Damit ist der Tunnel nicht von Windows Server abhängig und auch somit keine weiteren Ports nach außen offen. Somit ein Angriffspunkt weniger.
Wenn du RRAS nimmst, stellt sich die Frage wer sich wo einwählt und das Routing ist auch nicht ganz so einfach. Absehen von der Sicherheit...l
Wichtig ist eben, dass beide Seiten feste IP's haben. Somit ist es easy für die Router sich zu finden. Des Weiteren haben die festen IP's den Vorteil, dass du damit auch eine gewisse Sicherheit schaffen kannst - nämlich erlaube nur von dieser IP einen Tunnel. Auch wenn ein Fremder deine IP kennt und den Schlüssel, kann er keine Verbindung aufbauen.
Was die Router angeht, wir setzen klar auf Cisco. Asonsten eben Linksys.
Als Tunnel empfehle ich IPSEC mit PreKey oder Zertifikaten.
Grüße,
Dani
Hi,
Da musst du auf die Experten warten...
Grüße,
Dani
Muss ich bei den jeweiligen DC's mit Vertrauensstellungen arbeiten und stören sich die beiden w2k3 und exchanges sich nicht?
das Thema ist ein bisschen heikel...ich weiß grad nicht ob SBS-to-SBS Vertrauenseinstellungen zulässt. Wir haben hier ausschließlich mit W2k3 Datacenter oder Enterprise. Da musst du auf die Experten warten...
Grüße,
Dani
Zitat von @Dani:
Hi,
> Muss ich bei den jeweiligen DC's mit Vertrauensstellungen
arbeiten und stören sich die beiden w2k3 und exchanges sich
nicht?
das Thema ist ein bisschen heikel...ich weiß grad nicht ob
SBS-to-SBS Vertrauenseinstellungen zulässt. Wir haben hier
ausschließlich mit W2k3 Datacenter oder Enterprise.
Da musst du auf die Experten warten...
Grüße,
Dani
Hi,
> Muss ich bei den jeweiligen DC's mit Vertrauensstellungen
arbeiten und stören sich die beiden w2k3 und exchanges sich
nicht?
das Thema ist ein bisschen heikel...ich weiß grad nicht ob
SBS-to-SBS Vertrauenseinstellungen zulässt. Wir haben hier
ausschließlich mit W2k3 Datacenter oder Enterprise.
Da musst du auf die Experten warten...
Grüße,
Dani
Bin sicher kein Experte aber ich hab mal einen rausgeworfen und ich glaub das mit den Vertrauenseinstellungen war auch einer der Gründe dafür.
keine vertrauensstellung zwischen sbs möglich.
Hi,
viel Spaß....bei der Migration der Daten, Rechte, User und Gruppen.
So Pauschal kann man das nicht sagen..es kommt eben draf an wie groß die Dateien sind, wie viele MA am Remotestandort parallel arbeiten und welche Dienste darüber abgewickelt werden (Outlook, Internet, etc...). Ich denke es sollte an der Zentrale auf jeden Fall eine 2MBit SDSL Leitung sein wenn nicht sogar mehr.
Hab ich bin so einem Szenario noch etwas bestimmtes zu beachten?
VPN würde ich über Router2Router realsieren. Somit musst du nicht auf den Router Ports forwarden, die wiederum ein Sicherheitsrisikio darstellen. Außerdem kannast du später auch auf den Routern VPN-Zugänge für MA verwalten und hast keine Routingprobleme.
Grüße,
Dani
viel Spaß....bei der Migration der Daten, Rechte, User und Gruppen.
So Pauschal kann man das nicht sagen..es kommt eben draf an wie groß die Dateien sind, wie viele MA am Remotestandort parallel arbeiten und welche Dienste darüber abgewickelt werden (Outlook, Internet, etc...). Ich denke es sollte an der Zentrale auf jeden Fall eine 2MBit SDSL Leitung sein wenn nicht sogar mehr.
Wie sieht das mit Benutzerprofilen aus? Sollte man diese lieber über das VPN weglassen?
Kommt auf die Bandbreite an und wie groß die Profile sind - zur Not eben ein Profilqoute setzen oder eben lokale Profile einsetzen oder aber eine dicke SDSL-Leitung.Hab ich bin so einem Szenario noch etwas bestimmtes zu beachten?
VPN würde ich über Router2Router realsieren. Somit musst du nicht auf den Router Ports forwarden, die wiederum ein Sicherheitsrisikio darstellen. Außerdem kannast du später auch auf den Routern VPN-Zugänge für MA verwalten und hast keine Routingprobleme.
Grüße,
Dani
Hi,
Wichtig ist eben, dass der VPN-Tunnel von 2 Router aufgebaut wird. Ansonsten kann dich das Routing viele Nerven kosten.
Grüße,
Dani
Die Hauptsache ist, ich kann vor der Geschäftsleitung gewährleisten, dass es kaum bzw. keine Performanceprobleme geben wird.
Dann nimm ne 100MBit Leitung - dann dürfte es sicher keine Probleme geben. Sry, aber da wird es wohl auf einen Testlauf ankommen. Ich denke mit 4MBit düfest du gut fahren.Wichtig ist eben, dass der VPN-Tunnel von 2 Router aufgebaut wird. Ansonsten kann dich das Routing viele Nerven kosten.
Wie passiert das dann eigentlich mit der Anbindung der Remoteclients an die lokale Domäne?
Gaar nichts...denn für die beiden sieht das dann aus wie normales LAN. Vorraussetzung ist eben die Router-to-Router-Verbindung.Grüße,
Dani
Moin,
Grüße,
Dani
Aber wenn ich doch eine Site-2-Site Verbindung über die Router mache, was ich auch schon geplant hatte,
dann muss ich doch in jedem LAN einen eigenen IP-Adressbereich verwenden, oder?
Mache 2 verschiedene Netze....es gibt auch mit einem Subnetz. Aber das ist nicht so ganz einfach.dann muss ich doch in jedem LAN einen eigenen IP-Adressbereich verwenden, oder?
Und wenn der Remotestandort einen anderen Bereich hat wieder der Standort wo der Server steht, so kann
ich die Clients doch nicht ohne weiteres in die lokale Domäne nehmen.
Aha..und wie kommst du darauf? Wenn du an den jeweiligen Gateways jeden Standorts eine statische route für das andere Netz einträgest ist das kein Problem. Somit werden die Pakete entsprechend geroutet.ich die Clients doch nicht ohne weiteres in die lokale Domäne nehmen.
Grüße,
Dani