Benutzer verbinden sich von zu Hause aus zum Terminal-Server - Gefahr?

[Canni 11]

Sonst noch jemand Kommentare zu meinen Gesprächsvorschlägen?

[Volvotrucker 10]

Apropos Domäne: würden alle Notebooks in eine Domäne kommen, dann könnte doch von unserem 2. mit VPN angebundenen Standort (das is kein eigener Standort, dort muss nur teilweise was aufm Server nachgeschaut werden) kein Notebook eine Verbindung zum DC herstellen, wenn nicht ein eigener DC dort vor Ort wäre, richtig?

Doch, das wäre für die dann so wie du jetzt eh schon für alle hast. VPN und Domänenmitgliedschaft des Rechners haben so erstmal nix miteinander zu tun. Du musst für die nur in der Dom nen Benutzer anlegen, mit dessen Zugangsdaten sie sich einwählen/zugreifen können

Dann würden - beispielsweise - Gruppenrichtlinien nur übernommen werden, wenn ein User wirklich hier im LAN ist. ?

Ja. GPO greifen nur für die Rechner, die Mitglied der Domäne sind.

[Canni 11]

Hallo,

 

ich will doch eher damit sagen, dass eine Domäne garnicht unbedingt Sinn macht, zumal die Notebooks eigentlich dauerhaft außerhalb der Domäne betrieben werden würden.

 

Konkret: im Normalfall hat doch der Benutzer ein Notebook, das er tagsüber am LAN betreibt (dort besteht die Verbindung mit der Domäne, GPOs werden übernommen etc.) und abends nimmt er das Gerät mit, z.B. nach Hause. Hier erscheint dann bei jedem Start eine Fehlermeldung, dass der DC nicht gefunden werden konnte. Richtig?

 

Unsere User sind aber teilweise dauerhaft an einem bestimmten Objekt - und kommen vielleicht 1 mal im Monat ins Büro.

 

Verstehst Du jetzt, was ich meine?

[Volvotrucker 10]

Das mit der Fehlermeldung stimmt so nicht.

Und wenn du den Routing und RAS für VPN nimmst, kannst du die VPN vor der Anmeldung schon herstellen (Anmelden über DFÜ-Netzwerk und hier die VPN auswählen) und der Benutzer bekommt die Gruppenrichtlinien zugewiesen, wenn die Leitung nicht all zu schwach ist.

[Canni 11]

Richtig, das stimmt, aber das setzt vorraus, dass schon vor der Anmeldung eine Internetverbindung hergestellt wird. Und unsere User stellen die Verbindung (z.B. per UMTS - schon aus Kostengründen) immer erst nach der Anmeldung her und nur für die Zeit, wo sie sie benötigen.

[Canni 11]

Wer hat noch Anmerkungen zu meinen letzten Beiträgen, also eine Art Plan?

[Bkolbe 10]

Guten morgen,

 

sorry konnte am Freitag nicht mehr antworten.

 

erstmal kurz zum VPN:

es müßte dann halt kein Portforwarding in der Firewall geschaltet werden, sondern die Firewall/Router empfängt die VPN Anforderung und baut den Tunnel auf. Somit wäre kein Server von außen erreichbar, würde ich schon als Zuwachs von Sicherheit so sehen. Mit der Benutzerverwaltung würde sich ja nichts ändern, da bei euch die Domäne eh nicht / kaum genutzt wird.

Aber das ist bestimmt nicht dein dringenstes Problem.

 

zu deinem Sever:

Interessant ist wie hoch die Prozessorauslastung(durchschnittlich /Spitze) ist, Wie viele User gleichzeitig zugreifen (Und was für eine Last babei erzeugt wird), Wie der RAM ausgenutzt wird (von den Anwendungen, die auf dem neuen Server laufen sollen), deine Auslastung der Festptlatten. So ganze nebenbei wäre auch das angepeilte Budget nicht schlecht. Es reichen auch ungefähre Angaben, schreib aber dazu, ob es sich um den jetzigen IST-Wert oder um einen Schätzwert für den neuen SErver handelt,

[dippas 10]

Ich kann nicht in Regress genommen werden, ich bin Auszubildender in einem ganz anderen Fachbereich.

 

Off-Topic:

Autsch

Wie würde der BOFH fragen: "Ihren Benutzernamen bitte". Verrate bloß niemanden, wo Du arbeitest. Es könnte sein, dass jemand diese Info gegen dich verwendet ;)

[Canni 11]

Hallo zusammen,

 

ich werde eine kleine IST / SOLL - Dokumentation fertig machen, die ich zusammen mit meinem Chef besprechen möchte.

 

TOP 1: Appliance (GPA 250 von GateProtect)

TOP 2: Server als Fileserver, Datenbankserver und DC

TOP 3: XP Prof auf die Notebooks, Erwerb von Notebooks für die User, die sich derzeit mit Privatrechnern im LAN und VPN verbinden.

 

Das Problem ist z.B. die Steuerberaterin: soll ich mich dagegen sträuben, dass die weiterhin ins LAN kann via RDC ... denn der können wir ja wohl keinen Notebook stellen.

[lameth 10]

hab den thread jetzt nur überflogen, aber mal ein paar anmerkungen von mir:

 

-) mit dem ms actionpack bekommst du - gerade für so eine kleine firma - genügend os/office client/server lizenzen zusammen.

das geld, welches hier gespart wird (und da kommt schon ne ganze stange zusammen),

könnte man dann in hardware und/oder einen zentralisierten antiviren-schutz stecken.

 

-) firewall inkl. proxy & vpn auf linuxbasis (oder direkt ipcop, oder - wenn du die kenntnisse dafür hast - selber zusammenstellen).

dafür reicht irgendeine €250 ws und du kannst gut steuern wer wohin surft bzw. was lädt.

 

-) antivir-server, der auch die clients überwacht, updates automatisch verteilt und die prüfroutinen u. -regeln setzt (bietet an sich eh fast jeder an)

da steckt halt leider bissl geld dahinter :-)

 

-) keine ahnung, obs schon jemand erwähnt hat - die einbindung der lokalen laufwerke u. schnittstellen kannst du ganz einfach über die rdp verwaltung am server deaktivieren

 

Das Problem ist z.B. die Steuerberaterin: soll ich mich dagegen sträuben, dass die weiterhin ins LAN kann via RDC ... denn der können wir ja wohl keinen Notebook stellen.

 

aber wenn sie sich anmeldet hat sie einen benutzer.

und benutzer - bzw. ihre rechte im netz - lassen sich über richtlinien steuern (zb. http out, ordnerbeschränkungen).

[Canni 11]

Hi,

 

danke für die Antwort.

 

Das wäre aber doch wieder eine Frickellösung.

 

Die Frage wäre für mich, wie ich die Anschlüsse der Appliance aufteile.

 

TS an ne NIC, DC an ne NIC und den Switch mit den LAN-Geräten an ne NIC?

 

Welche Einstellungen müssen am DC und am TS getroffen werden, damit die sich über zwei Netze (192.168.3.xxx und 192.168.2.xxx) finden? Danke