Exchange zentral oder dezentral

[smartino 11]

 

Default verwendet Outlook/Exchange den/die GS(s), der in derselben Site, bzw. im selben Subentz steht wie der Exchange selbst. In dieser Konstelation könnte vorteilhaft sein, einen lokalen GC zu verwenden.

 

was bitte ist ein GS?

 

Thomas

[gelöscht 0]

was bitte ist ein GS?

 

Thomas

Das muss "GC" (Global Catalog) heisen, nur ein Tipfehler...

 

ASR

[Velius 10]

 

 

dann werde ich persönlich Nachforschen müssen. Ich habe die definitive Auskunft, daß es nicht geht. Du hast nicht zufällig eine Quelle, in der IPSEC Kaskadierung erklärt wird?

Ach Du brauchst Berater-Aufträge? :wink2:

 

Externe Unterstützung wurde bereits vor einiger Zeit auf Seite USA hinzugezogen. Leider kommt nicht alles, was von extern eingekauft wird zu Ergebnissen, die unsere Bedürfnisse entsprechend berücksichtigen. Aber wem sage ich das.

 

Viele Grüße

Thomas

 

 

Dann ist diese Auskunft definitv, sowie der Ausdruck 'kaskadieren' falsch. Mit Cisco geht das, wobei jedes Teil mit jedem Quatscht, eben ein sog. 'Full-Mesh' bricht einer weg haben die anderen immer noch Verbindung untereinander. Mit BGP oder auch anderen Mitteln kannst du auch Backub Routen zu Stand-by Routern machen - dann erledigen die den Job sollte oben genanntes passieren.

 

Natürlich wäre es nützlich, wenn die IPSec-VPN Teile alle vom selben Hersteller wären. Check Point z.B.. macht das (noch) ein bisschen anders, aber auch da gibt's Hub-n-Spoke und Full-Mesh Modelle. Aber auch eine Check Point kann mit einem CISCO Teil eine VPN Verbindung aufbauen, da das Prinzip und die Protokolle dafür standartisiert sind, falls du das meinst mit 'kaskadieren'.

Allerdings ist es nicht wirklich ratsam, alle möglichen VPN Produkte zu mixen - da läufts du irgenwann in einen Hammer.

MPLS ist aber nach wie vor teurer als IPSec VPNs. Das liegt auch daran dass der ISP die Infrastruktur unterstützen muss - man kann nicht wie bei IPSec-VPNs IPS/Hersteller/Produkt wild mixen. Kann aber wie oben erwähnt auch ein segen sein.

 

 

Und zu guter letzt: Nein, brauch keine Aufträge, danke.;) Wollte nur wie Matthias langsam drauf hinweisen dass dein Vorhaben mit dem Wissenstand der Dinge nicht mehr ganzheitlich und möglicherweise auch korrekt nachvollziehbar ist. Deswegen Hilfe hinzuziehen, Konzept entferfen, wie sowas aussehen könnte, und nicht schon jetzt Entscheidungen aufgrund Annahmen fällen. Ich weiss, da ist auch noch ein Lernprozess dahinter (woher soll man wissen, was eine Annahme ist und was nicht wenn man nicht darauf hingewiesen wird).;)

 

 

cheers

Velius

[Velius 10]

Nur zum verdeutlichen: Ich weiss nicht, was du bei einem VPN kaskadieren möchtest. Ein VPN ist primär eine Verschlüsselungmethode zwischen zwei Endpunkten über öffenliche und noch viel wichtiger, nicht selbst verwaltete Strukturen - der eine Punkt verschlüsselt, der andere Entschlüsselt. Alles andere ist eine Frage von Routing- Mechanisem/Protokollen wie BGP, usw.

Deswegen ist der Ausdruck 'kaskadieren' in diesem zusammenhang falsch gewählt. Man kann unabhängig von der ersten beiden Punkten weitere VPNs irgendwohin aufbauen - und wenn alle drei Punkte zu den jeweils zwei anderen ein VPN haben spricht man eben klassisch von einem Full-Mesh.

[smartino 11]

Nur zum verdeutlichen: Ich weiss nicht, was du bei einem VPN kaskadieren möchtest.

 

hatte ich das nicht geschrieben? Ich dachte schon. Nunja, kann mich auch täuschen aber das ist eh ein Nebenkriegsschauplatz und nicht wirklich DAS Problem; daher war es in dem Zusammenhang dieser Diskussion eher leiglich laut gedacht.

 

Momentan haben wir in West-Europa einen IMAP, über den per VPN IPSEC alle Osteuropäer ihre Mails holen/senden. Entscheiden wir uns für eine zentrale Exchange-Lösung in US, müssen wir hinsichtlich der VPNs etwas ändern. Also entweder ein direktes VPN zu den US Kollegen von den Osteuropäern oder eben "kaskadieren".

 

Ansonsten Danke für Deine Anmerkungen. Habe dann zwischenzeitlich auch ein wenig nachgeforscht- Was ich "kaskadieren" will (Full-Mesh) kann unsere Ausstattung tatsächlich leider nicht. Naja; wie gesagt - Nebenkriegsschauplatz.

 

Die eigentliche Frage bleibt: zentraler Ansatz mit der Problematik des SPoF oder ein dezentraler Ansatz. Für beide Ansätze gibt es (wie man in dieser Diskussion schön lesen kann) sehr gute und fundierte Argumente. Ob dabei ein Externer helfen kann ...

 

Die externe Firma, die beauftragt wurde (und nicht sehr überzeugen konnte, weil nicht genug auf uns eingegangen), hatte wie ich ja schrieb einen zentralen Ansatz empfohlen, eine anderes Unternehmen würde evtl. einen dezentralen Ansatz empfehlen. Persönlich denke ich, daß wir in dieser Phase noch nicht schon wieder eine externes Unternehmen beauftragen, sondern werden das selber entscheiden :-)

 

In einer späteren Phase werden wir sicherlich jemanden dazuholen; alleine schon weil bei uns die Manpower nicht ausreicht die Migration in der gewünschten Zeit fertig zu stellen und außerdem braucht man ja jemanden, dem man die Schuld geben kann, wenns klemmt ;)

 

Momentan übrigens kippt die Meinung (woran auch die Diskussion hier beteiligt ist) intern eher in Richtung dezentraler Lösung.

 

Grüße

 

Thomas

[Velius 10]

Wie erwähnt - ich blick da auch nicht 100% durch weil ich nie bei euch war und es keine Doku gibt soweit - vom Osten ein VPN nach Westeuropa, soweit so gut. ABER: Vom Westen gibt's kein VPN in die USA? Das Paket wird dann nämlich von Ost- über Westeuropa zur USA geleitet und zwar über Routing.

 

Zugegeben, bei solche einer Konstellation würd ich mir schon auch sorgen über den zentralen Ansatz machen ausser die einzelnen Stellen wurden Ausfallsicher konzipiert...