VPN-Clients an Terminal Server (site-to-site) als Arbeitsgruppe oder Domänenmitglieder?
Hallo z'samm,
ich hätt' da mal eine Praxisfrage bzw. gern Erfahrungsberichte, wie ihr so einen Fall handhaben würdet:
Gegeben ist ein LAN (Win2003 Domäne), an das via site-to-site-VPN zwei weitere kleine LANs (Außenstellen) angebunden sind. Die Außenstellen waren früher eigenständige Netware-Netze, jetzt sind dort nur noch Windows-Clients (überwiegend XP mit steigendem Anteil Win7) in einer Arbeitsgruppe im Einsatz, die sich via VPN auf einen Windows-Terminal-Server im Hauptnetzwerk verbinden. Das klappt soweit alles sauber.
Mir stellt sich nun die Frage, ob es sinnvoll ist, die Arbeitsgruppen-Computer in die Domäne aufzunehmen und ob dadurch irgendwelche Nachteile entstehen. Hintergrund der Aktion: Neben dem reinen Terminal-Server-Zugriff existieren in den Außenstellen noch "PC-Server", die eine gemeinsame Freigabe für eben diese Außenstelle zur Verfügung stellen (zum lokalen Datenaustausch) und auf dem Terminal Server habe ich einen "Tausch"-Ordner eingerichtet, damit man auch Daten vom Donmänennetz auf den lokalen PC und vice versa bekommt (die Sache mit den in die RDP-Sitzung eingeschleiften lokalen Laufwerken ist den Benutzern zu kompliziert). In dieser Konstellation haben die Benutzer mehrere Accounts und Kennwörter - innerhalb der Domäne ließe sich das natürlich alles deutlich vereinfachen. Mein Plan ist es daher, die Außenstellen-Rechner (auch die "PC-Server") in die Domäne aufzunehmen und die lokale Arbeitsgruppen-Anmeldung somit abzuschaffen.
Die Frage ist halt, wie viel Traffic so eine Domänenmitgliedschaft bei der Anmeldung und auch im laufenden Betrieb der Rechner verschlingt. Wir haben dort nur eine 2000-mbit-Verbindung (immerhin SDSL), andererseits gibt es auch nur sehr wenige Gruppenrichtlinien und lediglich 10 Clients in der Außenstelle.
Habt ihr in dieser Richtung Erfahrung, ist eine Domänenmitgliedschaft über ein "dünnes" VPN sinnvoll und machbar, oder holt man sich damit mehr Ärger ins Haus als es Nutzen bringt?
Bin gespannt auf eure Meinungen.
ich hätt' da mal eine Praxisfrage bzw. gern Erfahrungsberichte, wie ihr so einen Fall handhaben würdet:
Gegeben ist ein LAN (Win2003 Domäne), an das via site-to-site-VPN zwei weitere kleine LANs (Außenstellen) angebunden sind. Die Außenstellen waren früher eigenständige Netware-Netze, jetzt sind dort nur noch Windows-Clients (überwiegend XP mit steigendem Anteil Win7) in einer Arbeitsgruppe im Einsatz, die sich via VPN auf einen Windows-Terminal-Server im Hauptnetzwerk verbinden. Das klappt soweit alles sauber.
Mir stellt sich nun die Frage, ob es sinnvoll ist, die Arbeitsgruppen-Computer in die Domäne aufzunehmen und ob dadurch irgendwelche Nachteile entstehen. Hintergrund der Aktion: Neben dem reinen Terminal-Server-Zugriff existieren in den Außenstellen noch "PC-Server", die eine gemeinsame Freigabe für eben diese Außenstelle zur Verfügung stellen (zum lokalen Datenaustausch) und auf dem Terminal Server habe ich einen "Tausch"-Ordner eingerichtet, damit man auch Daten vom Donmänennetz auf den lokalen PC und vice versa bekommt (die Sache mit den in die RDP-Sitzung eingeschleiften lokalen Laufwerken ist den Benutzern zu kompliziert). In dieser Konstellation haben die Benutzer mehrere Accounts und Kennwörter - innerhalb der Domäne ließe sich das natürlich alles deutlich vereinfachen. Mein Plan ist es daher, die Außenstellen-Rechner (auch die "PC-Server") in die Domäne aufzunehmen und die lokale Arbeitsgruppen-Anmeldung somit abzuschaffen.
Die Frage ist halt, wie viel Traffic so eine Domänenmitgliedschaft bei der Anmeldung und auch im laufenden Betrieb der Rechner verschlingt. Wir haben dort nur eine 2000-mbit-Verbindung (immerhin SDSL), andererseits gibt es auch nur sehr wenige Gruppenrichtlinien und lediglich 10 Clients in der Außenstelle.
Habt ihr in dieser Richtung Erfahrung, ist eine Domänenmitgliedschaft über ein "dünnes" VPN sinnvoll und machbar, oder holt man sich damit mehr Ärger ins Haus als es Nutzen bringt?
Bin gespannt auf eure Meinungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196426
Url: https://administrator.de/contentid/196426
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Mahlzeit,
solange du keine servergespecherten Profile überträgst, sollte es kein Problem sein, die PCs in die Domäne aufzunehmen und gegen deine lokalen DCs zu authentifizieren.
Wenn es mehr als 5 Clients sind und du dir Sorgen bzgl. der Verfügbarkleit der Leitung machen musst, dann bringt ein DC in der Außenstelle wirklich was. Auch kannst du dann mittels DFS deine Ordner synchen.
Man könnte diesen Außenstellen-DC als RODC einrichten und dann wäre der Sicherheit genüge getan.
solange du keine servergespecherten Profile überträgst, sollte es kein Problem sein, die PCs in die Domäne aufzunehmen und gegen deine lokalen DCs zu authentifizieren.
Wenn es mehr als 5 Clients sind und du dir Sorgen bzgl. der Verfügbarkleit der Leitung machen musst, dann bringt ein DC in der Außenstelle wirklich was. Auch kannst du dann mittels DFS deine Ordner synchen.
Man könnte diesen Außenstellen-DC als RODC einrichten und dann wäre der Sicherheit genüge getan.
Zitat von @computerschuster:
Hallo und vielen Dank für die Antworten; die Sache mit dem RODC in der Außenstelle habe ich mir auch schon
überlegt, aber das wird wohl an den Kosten scheitern. Der Kunde möchte vor Ort nur "dumme" Clients haben,
schon der "Server-PC" auf Basis eines normalen XPs war ein Kompromiss.
Vielleicht wäre das Ganze mit Server-BS auch etwas oversized, wenn die Leute doch eh fast nur den TS in der Zentrale nutzen...Hallo und vielen Dank für die Antworten; die Sache mit dem RODC in der Außenstelle habe ich mir auch schon
überlegt, aber das wird wohl an den Kosten scheitern. Der Kunde möchte vor Ort nur "dumme" Clients haben,
schon der "Server-PC" auf Basis eines normalen XPs war ein Kompromiss.
Wir haben zwar derzeit durch diverse Umstellungen noch eine Handvoll Server-2003-Versionen über und könnten aus dem
Server-PC auf dem Wege kostenneutral einen echten Server machen, aber read-only geht WIMRE erst ab 2008, oder?
Korrekt, erst ab W2K8 (auch ohne R2) gibt es den RODC.Server-PC auf dem Wege kostenneutral einen echten Server machen, aber read-only geht WIMRE erst ab 2008, oder?