4026
Dec 26, 2004, updated at Jan 01, 2005 (UTC)
6573
8
0
Win 2k3 standard und 2k3 sbs premium edition: Wie krieg ich die am besten unter einen Hut?
Hallo miteinander!
Stehe vor folgender Problematik bzw. so habe ich mir das vorgestellt:
1x SBS2k3 Server (Exchange, Web-Remotearbeitsplatz, OWA, OMA, ISA, Internetzugang)
1x Win2k3 Standard-Server (WWS, Profile, File und Printserver)
7x Win XP Pro Clients (intern)
10x Remotearbeitsplätze (extern)
Meine genaue Problematik ist:
1. Welchem Server übergebe ich die Anmelde Routine oder ist es möglich intern und extern zu trennen und auf die einzelnen Server zu verteilen. Wäre es evtl. geschickt diese Aufgabe dem SBS zu überlassen (wegen neuen Benutzer und Postfächern) und dem Win 2k3 Server die Benutzerprofile zu übergeben (sollten Serverseitig gespeichert sein.)
2. Bei der 2000er Version gab es noch sowas wie einen Primary DC und einen Secondary DC. Bei 2k3 habe ich sowas noch nicht gefunden. oder ist das die geschichte mit dem Mitgliedsserver?
3. Wo lege ich am besten die Profile ab
4. Wie wäre der empfehlenswerteste Installationsablauf (Welcher Server zuerst?.....)
5. Wie realisiere ich die Outlook über http geschickte für meine externen Mitarbeiter?
Ich habe für jeden Server 15 CAL´s und bisher waren maximal 11 gleichzeitig benutzt (Zur Info bzgl. der Auslastung: Hatte bisher nur den SBS2k3 laufen und der ging regelmäßig richtig in die Knie.)
Die Gesamte Datenverwaltung soll über den 2k3 Server gehen,
SBS2003 hängt direkt mit dem ISA am Inet (Sollte ja sicher genug sein).
Für Hinweise, Tipps und Verbesserungsvorschläge wäre ich Dankbar.
Für alle die jetzt noch arbeiten (oder Ihrem Hobby(?!?) nachgehen)
Frohe Weihnachten und noch einen Guten Rutsch nach 2k5
Grüße
Heiko
Stehe vor folgender Problematik bzw. so habe ich mir das vorgestellt:
1x SBS2k3 Server (Exchange, Web-Remotearbeitsplatz, OWA, OMA, ISA, Internetzugang)
1x Win2k3 Standard-Server (WWS, Profile, File und Printserver)
7x Win XP Pro Clients (intern)
10x Remotearbeitsplätze (extern)
Meine genaue Problematik ist:
1. Welchem Server übergebe ich die Anmelde Routine oder ist es möglich intern und extern zu trennen und auf die einzelnen Server zu verteilen. Wäre es evtl. geschickt diese Aufgabe dem SBS zu überlassen (wegen neuen Benutzer und Postfächern) und dem Win 2k3 Server die Benutzerprofile zu übergeben (sollten Serverseitig gespeichert sein.)
2. Bei der 2000er Version gab es noch sowas wie einen Primary DC und einen Secondary DC. Bei 2k3 habe ich sowas noch nicht gefunden. oder ist das die geschichte mit dem Mitgliedsserver?
3. Wo lege ich am besten die Profile ab
4. Wie wäre der empfehlenswerteste Installationsablauf (Welcher Server zuerst?.....)
5. Wie realisiere ich die Outlook über http geschickte für meine externen Mitarbeiter?
Ich habe für jeden Server 15 CAL´s und bisher waren maximal 11 gleichzeitig benutzt (Zur Info bzgl. der Auslastung: Hatte bisher nur den SBS2k3 laufen und der ging regelmäßig richtig in die Knie.)
Die Gesamte Datenverwaltung soll über den 2k3 Server gehen,
SBS2003 hängt direkt mit dem ISA am Inet (Sollte ja sicher genug sein).
Für Hinweise, Tipps und Verbesserungsvorschläge wäre ich Dankbar.
Für alle die jetzt noch arbeiten (oder Ihrem Hobby(?!?) nachgehen)
Frohe Weihnachten und noch einen Guten Rutsch nach 2k5
Grüße
Heiko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5110
Url: https://administrator.de/contentid/5110
Printed on: April 23, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hi,
ein Versuch (da wenig Infos, muß ich halt an manchen Stellen tippen, aber das macht ja selbst Spock in Star Trek VI oder welcher Teil war es? *grins):
Da der SBS bereits Exchange, Web-Remote, OWA und ISA bereitstellt und damit relativ dicht sein sollte, laß am besten alles andere über den zweiten w2k3 laufen.
Am besten auf dem w2k3 in einem Share, das für Domänenbenutzer Schreibzugriff hat. Die Profiles werden dann jeweils beim ersten Anmelden des Users mit Benutzerrechten erstellt.
Trenn also die gesamte Benutzerverwaltung und verlager sie auf den w2k3
yup, sollte ohne Probleme möglich sein, einfach ein oder mehrere Shares und weg damit.
Grüße,
fritzo
ein Versuch (da wenig Infos, muß ich halt an manchen Stellen tippen, aber das macht ja selbst Spock in Star Trek VI oder welcher Teil war es? *grins):
1. Welchem Server übergebe ich die Anmelde Routine oder ist es möglich intern und extern zu >trennen und auf die einzelnen Server zu verteilen. Wäre es evtl. geschickt diese Aufgabe dem >SBS zu überlassen (wegen neuen Benutzer und Postfächern) und dem Win 2k3 Server die >Benutzerprofile zu übergeben (sollten Serverseitig gespeichert sein.)
Da der SBS bereits Exchange, Web-Remote, OWA und ISA bereitstellt und damit relativ dicht sein sollte, laß am besten alles andere über den zweiten w2k3 laufen.
2. Bei der 2000er Version gab es noch sowas wie einen Primary DC und einen Secondary DC. Bei >2k3 habe ich sowas noch nicht gefunden. oder ist das die geschichte mit dem Mitgliedsserver?
Nein, so etwas gibt es hier nicht mehr, jeder DC hält eine Kopie des AD und damit die Benutzer-DB. Du könntest den SBS demoten und dem anderen die gesamte Domänenverarbeitung übertragen, was wahrscheinlich eh besser wäre, da der SBS auch Router und damit ein sehr geeignetes Angriffsziel ist. Ob das natürlich möglich ist, weiß ich nicht, da ich SBS nicht kenne.3. Wo lege ich am besten die Profile ab
Am besten auf dem w2k3 in einem Share, das für Domänenbenutzer Schreibzugriff hat. Die Profiles werden dann jeweils beim ersten Anmelden des Users mit Benutzerrechten erstellt.
4. Wie wäre der empfehlenswerteste Installationsablauf (Welcher Server zuerst?.....)
Wahrscheinlich erst der w2k3 als DC und dann den SBS der Domäne als Memberserver hinzufügen, wenn möglich (check mal die Unterlagen, ob man ihn unbedingt als DC installieren muß oder ob auch Memberserver geht).5. Wie realisiere ich die Outlook über http geschickte für meine externen Mitarbeiter?
OWA? Oder was meintest Du jetzt?Ich habe für jeden Server 15 CAL´s und bisher waren maximal 11 gleichzeitig benutzt (Zur Info >bzgl. der Auslastung: Hatte bisher nur den SBS2k3 laufen und der ging regelmäßig richtig in die >Knie.)
Trenn also die gesamte Benutzerverwaltung und verlager sie auf den w2k3
Die Gesamte Datenverwaltung soll über den 2k3 Server gehen,
SBS2003 hängt direkt mit dem ISA am Inet (Sollte ja sicher genug sein).
SBS2003 hängt direkt mit dem ISA am Inet (Sollte ja sicher genug sein).
yup, sollte ohne Probleme möglich sein, einfach ein oder mehrere Shares und weg damit.
Frohe Weihnachten und noch einen Guten Rutsch nach 2k5
Dir auch und häng nicht so viel vor dem Rechner rum, sondern gönn Dir mal was Spaß mit Glühwein und so - there`s some life in the big blue ;)Grüße,
fritzo
Hallöchen,
generell ist das was Du da vor hast definitv nicht die Beste Lösung!
Sorry, aber Dein Vorhaben ist sicherheitstechnisch ein Griff ins Klo................
Durch den SBS-Server, auf dem Du den ISA und den Exchange laufen lassen möchtest hast Du auch noch DNS und AD laufen. (Und das auf einer Firewall? .... naja.......)
Letztendlich ist es sicherlich Dir überlassen, aber denk vielleicht noch einmal über den Weg, den Du gehen möchtest nach.
Solltest Du Fragen haben, melde Dich einfach:
http://www.v-n-s.com
Gruß,
Stefan
generell ist das was Du da vor hast definitv nicht die Beste Lösung!
Sorry, aber Dein Vorhaben ist sicherheitstechnisch ein Griff ins Klo................
Durch den SBS-Server, auf dem Du den ISA und den Exchange laufen lassen möchtest hast Du auch noch DNS und AD laufen. (Und das auf einer Firewall? .... naja.......)
Letztendlich ist es sicherlich Dir überlassen, aber denk vielleicht noch einmal über den Weg, den Du gehen möchtest nach.
Solltest Du Fragen haben, melde Dich einfach:
http://www.v-n-s.com
Gruß,
Stefan
Hallo,
Warum? Er hat vor, die Sachen zu entkoppeln, ist doch schon mal was. Wenn man sich anschaust, wieviele Leute einen SBS mit 50 Diensten als Gateway und gleichzeitig als DC / MTA / etc. einsetzen, kriegt man eh die Krise.
Das was er -bis jetzt- hat, ist eher "nicht so ganz optimal"
Das ist ihm ja klar, darum fragt er ja nach.
Am besten wäre wahrscheinlich, den w2k3 als Member Server mit ISA zu bestücken und als Gate zu benutzen und den Rest über den SBS abzufackeln. Wahrscheinlich aber hat er keine Lizenz für den ISA, wenn er ihn umziehen will; das war doch ein Bestandteil von SBS, oder? Anyway, eigentlich wären auch drei Kisten besser, wegen Exchange - aber das kostet natürlich.
Werbung? *grins
Grüße,
fritzo
generell ist das was Du da vor hast definitv
nicht die Beste Lösung!
nicht die Beste Lösung!
Warum? Er hat vor, die Sachen zu entkoppeln, ist doch schon mal was. Wenn man sich anschaust, wieviele Leute einen SBS mit 50 Diensten als Gateway und gleichzeitig als DC / MTA / etc. einsetzen, kriegt man eh die Krise.
Sorry, aber Dein Vorhaben ist
sicherheitstechnisch ein Griff ins
Klo................
sicherheitstechnisch ein Griff ins
Klo................
Das was er -bis jetzt- hat, ist eher "nicht so ganz optimal"
Das ist ihm ja klar, darum fragt er ja nach.Durch den SBS-Server, auf dem Du den ISA und
den Exchange laufen lassen möchtest hast
Du auch noch DNS und AD laufen. (Und das auf
einer Firewall? .... naja.......)
den Exchange laufen lassen möchtest hast
Du auch noch DNS und AD laufen. (Und das auf
einer Firewall? .... naja.......)
Am besten wäre wahrscheinlich, den w2k3 als Member Server mit ISA zu bestücken und als Gate zu benutzen und den Rest über den SBS abzufackeln. Wahrscheinlich aber hat er keine Lizenz für den ISA, wenn er ihn umziehen will; das war doch ein Bestandteil von SBS, oder? Anyway, eigentlich wären auch drei Kisten besser, wegen Exchange - aber das kostet natürlich.
Werbung? *grins
Grüße,
fritzo
Hallo,
Warum? Er hat vor, die Sachen zu entkoppeln, ist doch schon mal was. Wenn man sich anschaust, wieviele Leute einen SBS mit 50 Diensten als Gateway und gleichzeitig als DC / MTA / etc. einsetzen, kriegt man eh die Krise.
->> Entkoppeln ist ja OK, aber by the way......... wrong way!
Das was er -bis jetzt- hat, ist eher "nicht so ganz optimal" Das ist ihm ja klar, darum fragt er ja nach.
->> Es ist beides (IST und SOLL-Zustand nicht ganz "optimal", hier sollte man lieber ein wenig warten und notfalls "etwas sparen" und einen optimaleren Weg gehen. Könnte nachträglich Ärger, Zeit und Geld sparen. ABER: nicht mein Ärger, nicht meine Zeit und nicht mein Geld!!!! Daher Solutions by himself
Am besten wäre wahrscheinlich, den w2k3 als Member Server mit ISA zu bestücken und als Gate zu benutzen und den Rest über den SBS abzufackeln. Wahrscheinlich aber hat er keine Lizenz für den ISA, wenn er ihn umziehen will; das war doch ein Bestandteil von SBS, oder? Anyway, eigentlich wären auch drei Kisten besser, wegen Exchange - aber das kostet natürlich.
Stimme Dir "fast, aber auch nur fast zu" .......... ISA als Gateway........ hm?!? (es ist angebrachter den Webproxy-Client in Verbindung mit dem Firewall-Client zu nutzen). Was Die Lizenz anbelangt,............ da sind wir wieder bei Ärger, Zeit und Geld
Werbung? *grins
->> Werbung ist gut, aber die Tipps die es hier gibt stehen im Vordergrund........
generell ist das was Du da vor hast definitv
nicht die Beste Lösung!
nicht die Beste Lösung!
Warum? Er hat vor, die Sachen zu entkoppeln, ist doch schon mal was. Wenn man sich anschaust, wieviele Leute einen SBS mit 50 Diensten als Gateway und gleichzeitig als DC / MTA / etc. einsetzen, kriegt man eh die Krise.
->> Entkoppeln ist ja OK, aber by the way......... wrong way!
Sorry, aber Dein Vorhaben ist
sicherheitstechnisch ein Griff ins
Klo................
sicherheitstechnisch ein Griff ins
Klo................
Das was er -bis jetzt- hat, ist eher "nicht so ganz optimal"
Das ist ihm ja klar, darum fragt er ja nach.->> Es ist beides (IST und SOLL-Zustand nicht ganz "optimal", hier sollte man lieber ein wenig warten und notfalls "etwas sparen" und einen optimaleren Weg gehen. Könnte nachträglich Ärger, Zeit und Geld sparen. ABER: nicht mein Ärger, nicht meine Zeit und nicht mein Geld!!!! Daher Solutions by himself
Durch den SBS-Server, auf dem Du den ISA und
den Exchange laufen lassen möchtest hast
Du auch noch DNS und AD laufen. (Und das auf
einer Firewall? .... naja.......)
den Exchange laufen lassen möchtest hast
Du auch noch DNS und AD laufen. (Und das auf
einer Firewall? .... naja.......)
Am besten wäre wahrscheinlich, den w2k3 als Member Server mit ISA zu bestücken und als Gate zu benutzen und den Rest über den SBS abzufackeln. Wahrscheinlich aber hat er keine Lizenz für den ISA, wenn er ihn umziehen will; das war doch ein Bestandteil von SBS, oder? Anyway, eigentlich wären auch drei Kisten besser, wegen Exchange - aber das kostet natürlich.
Stimme Dir "fast, aber auch nur fast zu"
.......... ISA als Gateway........ hm?!? (es ist angebrachter den Webproxy-Client in Verbindung mit dem Firewall-Client zu nutzen). Was Die Lizenz anbelangt,............ da sind wir wieder bei Ärger, Zeit und Geld Werbung? *grins
->> Werbung ist gut, aber die Tipps die es hier gibt stehen im Vordergrund........
Hi,
diskutieren wir doch einfach mal die Möglichkeiten durch, die er so hat, ok?
Ok, das Ganze ist mit nur zwei Kisten natürlich eine eher runkelige Sache. Aber er hat nur ein relativ kleines Netz für eine kleine Firma mit wahrscheinlich begrenztem Etat für solche Sachen und muß daher mit den vorhandenen Sachen zurecht kommen. Wie bereits erwähnt machen andere das mit nur einer Kiste, ohne mit der Wimper zu zucken.
Ack. Sollzustand ist imho aber mit zwei gegebenen Kisten eine bessere Lösung als die bisherige.
Ok, Du erwähnst, daß es einen optimaleren Weg gibt. Wie sieht der Deiner Meinung nach aus? Mit zwei Kisten sehe ich relativ wenige Möglichkeiten.
ack, rst - er fragt hier, weil er sich Ärger ersparen will und nach einer adäquaten Lösung sucht. Possible solutions by us, practical solution by himself after discussion?!
Jetzt reden wir aneinander vorbei, wegen der Termini. Ack, ISA sollte als Webproxy verwendet werden. Es gibt mehrere Möglichkeiten. Die beste ist sicherlich, den ISA einfach als Proxy in den Browsereinstellungen einzutragen und weg. Bei manchen Programmen hast Du dann allerdings Probleme, zB wenn in diesen gar kein Proxy eingetragen werden kann oder wenn der Browser halt kein IE ist, sondern zB Firefox oder bei diversen FTP-Clients. In diesem Fall kann man den Firewallclient installieren und dann die Anwendungen in den Firewallclienteinstellungen definieren. ISA als Gateway bei nur einem Hop (auch zuzüglich) geht aber auch. Siehst Du da sicherheitstechnische Nachteile?
Ja. Da SBS den ISA beinhaltet, wird er den SBS wahrscheinlich als Firewallserver einsetzen.
Grüße,
fritzo
diskutieren wir doch einfach mal die Möglichkeiten durch, die er so hat, ok?
Entkoppeln ist ja OK, aber by the way......... wrong way!
Ok, das Ganze ist mit nur zwei Kisten natürlich eine eher runkelige Sache. Aber er hat nur ein relativ kleines Netz für eine kleine Firma mit wahrscheinlich begrenztem Etat für solche Sachen und muß daher mit den vorhandenen Sachen zurecht kommen. Wie bereits erwähnt machen andere das mit nur einer Kiste, ohne mit der Wimper zu zucken.
Es ist beides (IST und SOLL-Zustand nicht ganz "optimal"
Ack. Sollzustand ist imho aber mit zwei gegebenen Kisten eine bessere Lösung als die bisherige.
hier sollte man lieber ein wenig warten und notfalls "etwas sparen" und einen optimaleren Weg gehen.
Ok, Du erwähnst, daß es einen optimaleren Weg gibt. Wie sieht der Deiner Meinung nach aus? Mit zwei Kisten sehe ich relativ wenige Möglichkeiten.
Könnte nachträglich Ärger, Zeit und Geld sparen. ABER: nicht mein Ärger, nicht meine Zeit und
nicht mein Geld!!!! Daher Solutions by himself
nicht mein Geld!!!! Daher Solutions by himself
ack, rst - er fragt hier, weil er sich Ärger ersparen will und nach einer adäquaten Lösung sucht. Possible solutions by us, practical solution by himself after discussion?!
.......... ISA als Gateway........ hm?!? (es ist angebrachter den Webproxy-Client in Verbindung
mit dem Firewall-Client zu nutzen).
mit dem Firewall-Client zu nutzen).
Jetzt reden wir aneinander vorbei, wegen der Termini. Ack, ISA sollte als Webproxy verwendet werden. Es gibt mehrere Möglichkeiten. Die beste ist sicherlich, den ISA einfach als Proxy in den Browsereinstellungen einzutragen und weg. Bei manchen Programmen hast Du dann allerdings Probleme, zB wenn in diesen gar kein Proxy eingetragen werden kann oder wenn der Browser halt kein IE ist, sondern zB Firefox oder bei diversen FTP-Clients. In diesem Fall kann man den Firewallclient installieren und dann die Anwendungen in den Firewallclienteinstellungen definieren. ISA als Gateway bei nur einem Hop (auch zuzüglich) geht aber auch. Siehst Du da sicherheitstechnische Nachteile?
Was Die Lizenz anbelangt,............ da sind wir wieder bei Ärger, Zeit und Geld
Ja. Da SBS den ISA beinhaltet, wird er den SBS wahrscheinlich als Firewallserver einsetzen.
Grüße,
fritzo
@ fritzo
Zum Thema Firefox........... erklär mir bitte mal warum das Ding (genauso wie die Linuxkisten) durch den ISA-Server nicht durchlaufen laufen sollten?
Hier läuft das Prima (ISA 2004) - ......... ohne Kabel am ISA vorbei
Gruß,
Stefan
PS: tip tip tip.......... auf Antwort wartend
PPS: Hat was mit der Authentifizierungsmethode zu tun, nun aber Du
Zum Thema Firefox........... erklär mir bitte mal warum das Ding (genauso wie die Linuxkisten) durch den ISA-Server nicht durchlaufen laufen sollten?
Hier läuft das Prima (ISA 2004) - ......... ohne Kabel am ISA vorbei
Gruß,
Stefan
PS: tip tip tip.......... auf Antwort wartend
PPS: Hat was mit der Authentifizierungsmethode zu tun, nun aber Du
Hi Stefan,
Genau. Wenn Du NT-Authentifizierung benutzen willst, hast Du mit IE keinerlei Probleme, da er die Auth durchreicht. Andere Browser können das nicht. Hier gibts aber eine Lösung. Du kannst die Übergabe von Credentials definieren, wenn der Firewallclient installiert ist - im Programmverzeichnis befindet sich ein kleines dosbox-Tool namens "credtool.exe". Damit kann man für einen bestimmten User und eine bestimme Anwendung definieren. Syntax ist
CREDTOOL [-r|-w|-d] -n Anwendungsname [-c Benutzer Domäne Kennwort]
-r Benutzerinformationen lesen
-w Benutzerinformationen schreiben oder speichern
-d Benutzerinformationen löschen
-n Anwendungsname - Gibt den Namen der ausführbaren Anwendungsdatei
ohne die Dateinamenerweiterung an
-c Benutzer Domäne Kennwort - Gibt die Daten des Zugangskontos an
Also für Firefox: "credtool -w -n firefox.exe -c %username% %userdomain% passwort"
Wie das mit mehreren Usern funktioniert, weiß ich nicht - evtl. kann man ein Script vorschalten.
Grüße
fritzo
Zum Thema Firefox........... erklär mir
bitte mal warum das Ding (genauso wie die
Linuxkisten) durch den ISA-Server nicht
durchlaufen laufen sollten?
PPS: Hat was mit der
Authentifizierungsmethode zu tun, nun aber
Du
bitte mal warum das Ding (genauso wie die
Linuxkisten) durch den ISA-Server nicht
durchlaufen laufen sollten?
PPS: Hat was mit der
Authentifizierungsmethode zu tun, nun aber
Du
Genau. Wenn Du NT-Authentifizierung benutzen willst, hast Du mit IE keinerlei Probleme, da er die Auth durchreicht. Andere Browser können das nicht. Hier gibts aber eine Lösung. Du kannst die Übergabe von Credentials definieren, wenn der Firewallclient installiert ist - im Programmverzeichnis befindet sich ein kleines dosbox-Tool namens "credtool.exe". Damit kann man für einen bestimmten User und eine bestimme Anwendung definieren. Syntax ist
CREDTOOL [-r|-w|-d] -n Anwendungsname [-c Benutzer Domäne Kennwort]
-r Benutzerinformationen lesen
-w Benutzerinformationen schreiben oder speichern
-d Benutzerinformationen löschen
-n Anwendungsname - Gibt den Namen der ausführbaren Anwendungsdatei
ohne die Dateinamenerweiterung an
-c Benutzer Domäne Kennwort - Gibt die Daten des Zugangskontos an
Also für Firefox: "credtool -w -n firefox.exe -c %username% %userdomain% passwort"
Wie das mit mehreren Usern funktioniert, weiß ich nicht - evtl. kann man ein Script vorschalten.
Grüße
fritzo
OK!
Habe noch einen zu Deinem Ansatz.....
Schau Dir mal auf dem ISA-Server im Bereich der Clientinstallation die Einstellungen an.............
Hier kannst Du bestimmte Werte an den Client übergeben. (Anwendung - Disable - 0)
nun aber wieder Du
PS: Ich glaube wir schweifen ein wenig ab und der Ärmste kriegt hier keine Antwort auf seine Frage
Habe noch einen zu Deinem Ansatz.....
Schau Dir mal auf dem ISA-Server im Bereich der Clientinstallation die Einstellungen an.............
Hier kannst Du bestimmte Werte an den Client übergeben. (Anwendung - Disable - 0)
nun aber wieder Du
PS: Ich glaube wir schweifen ein wenig ab und der Ärmste kriegt hier keine Antwort auf seine Frage
