Dateiserver ohne Domain-Anmeldung

[muhlig1968 0]

Hallo,

 

ich habe einen Windows 2008 R2-Server.

 

Auf dem Server ist AD eingerichtet. Soweit ist alles gut.

 

Nun habe ich gaaaaanz viele User, die auf Daten zugreifen sollen. Dieser Server ist nur ein Fileserver. 

 

Ich kann problemlos ein Netzlaufwerk auf den Server zeigen lassen und mit den Daten aus dem AD die Anmeldungen steuern.

 

So weit so gut, aber ich habe zwei Steine im Bauch, die mir Magenschmerzen verursachen, da der Server im WAN steht und über die IP angesteuert wird.

 

1. Die Sicherheit

2. Das Problem, dass User mit WLAN sich nicht anmelden können (viel gegoogelt, scheint ein Problem zu sein)

 

Meine Frage:

 

Ist WebDav ein Lösungsweg? IIS 7.5 ist installiert.

 

Liebe Grüße

 

Maik

[Daniel -MSFT- 129]

Was meinst Du mit "Der Server steht im WAN" und warum soll man sich via WLAN nicht authentifizieren können?

 

Poste doch mal Dein eigentliches Problem und nicht die Mutmaßungen über die Ursachen

[NeMiX 76]

Falls du wirklich Port 135 und alles andere frei aus dem Internet zugänglich gemacht hast, solltest du dir evtl. eine Lösung wie Owncloud anschauen. Gibt auch mittlerweile einige Enterprise Case Studies wo das eingesetzt wird.

[muhlig1968 0]

Mit WAN meine ich, dass der Server selbst gemietet ist. Ich befinde mich also nicht innerhalb eines Firmennetzes. 

 

Owncloud scheint ein gutes Projekt zu sein, aber die Lizenzkosten sind 5-stellig pro Jahr. Das ist leider nicht finanziell tragbar.

 

Also, kurz und zusammenfassend: Der Server ist bei einem Provider gemietet, dort läuft Windows 2008 R2 mit 32 GB RAM und ein AD ist eingerichtet.

[Doso 77]

Gaaaanz viele User, aha, entsprechend an Lizenzierung wurde gedacht? Thema CALs.

[muhlig1968 0]

Genau bei den CALs hänge ich ja. Meine Idee ist ja, dass der Zugriff auf das Netzlaufwerk "nur" einen einfache CAL-Lizenz ist. Davon liegen über 200 in der Schublade und dass der Lizenzserver auf dem Windows-Server selbst mit installiert werden kann, habe ich schon verinnerlicht. Aber jede weitere Funktion ist dann ja wieder mit etwas anderem verbunden. Remote-Desktop-Lizenz, Terminal-Server-Lizenzen, etc...

 

Meine Idee ist eben, nur die Daten zur Verfügung zu stellen, die dann von außen abgerufen werden können, von Usern, die im AD verwaltet werden.

[Daniel -MSFT- 129]

Warum willst Du Dein AD über das Internet betreiben? Normalerweise macht man das in einem VPN. So zum Beispiel: http://azure.microsoft.com/en-us/documentation/articles/active-directory-new-forest-virtual-machine/

 

Was ist das denn für ein Server? Dediziert für Dich als komplette Hardware oder eine VM auf einer gehosteten Umgebung?

 

Was für CALs hast Du denn da in der Schublade? User- oder Device-CALs? Wie weist Du die den Benutzern oder Geräten zu und wie trackst Du die Nutzung?

 

WebDAV wäre auf jeden Fall - realisiert über HTTPS - die bessere Wahl zu dem, was Du jetzt aufgesetzt hast.

bearbeitet 25. Juli 2014 von Daniel -MSFT-

[NeMiX 76]

Was für einen Lizenzserver für Server Cals willst du den bitte installieren?

Du hast wahrscheinlich einen ungesicherten Server an einer dicken Internetleitung hängen. Der nächste Botnetz Server quasi.

 

Mach dir doch mal bitte etwas Gedanken über Sicherheit usw. Derzeit fährst du mit 300km/h auf eine Wand zu...

[Dukel 436]

Was hast du denn vor? Daten mit unterschiedlichen Menschen auszutauschen?

Wie kommst du auf  5 stellige Lizenzkosten bei Owncloud? Wenn du keine Enterprise Features benötigst kostet das nichts.

 

Evtl. ist auch normaler Webspace mit mehrere FTP oder Webdav Zugängen besser für dich. Diese werden gemanaged und du musst dich um nichts kümmern.

[muhlig1968 0]

Guten Morgen,

 

danke für die vielen Hinweise.

Ich habe User-CALs und es geht um etwa 200 User. Azure habe ich mir auch angeschaut. Der Server ist ein VM-Server in einer gehosteten Umgebung.
Die Lizenzkosten von OwnCloud habe ich von OwnCloud selbst erfahren. Da ich nicht als Privatuser durchgehe, ist es nicht frei.

 

@Daniel: Zu Azure: Diese Idee hatte ich vor Monaten schon. Habe versucht, von Microsoft selbst mehr Informationen zu beziehen und habe dann Lizenzpartner von MS vor Ort angesprochen. Der eine hatte mir dann das Angebot für SharePoint erstellt und gesagt, Azure ginge für mich nicht und der andere hat sich gar nicht gerührt... Da war das Interesse dann schlagartig abgeklungen...

 

Also, im Endeffekt lese ich heraus, dass die WebDav-Zugänge wohl die beste Variante darstellen. WebDav einzurichten sollte wohl nicht das Problem sein....

Jetzt brauche ich nur noch im Großraum Kiel einen Coach, der mir für ein paar (natürlich bezahlte) Stunden ein paar Fragen beantwortet ;-) 

[Daniel -MSFT- 129]

Schreib mir mal 'ne PM, wenn Du einen Azure-Partner vermittelt haben willst. Für Azure brauchst Du unter Umständen keine Windows Server-CALs: http://azure.microsoft.com/de-de/pricing/licensing-faq/

 

Benötigen Kunden Windows Server-Clientzugriffslizenzen (Client Access Licences, CALs) zum Herstellen einer Verbindung mit einem Windows Server-Image, das auf virtuellen Azure-Computern ausgeführt wird?

 

Nein. Für den Zugriff auf eine Windows Server-Instanz, die in der Azure-Umgebung ausgeführt wird, sind keine Windows Server-CALs erforderlich, da die Zugriffsrechte in den Minutensätzen für die virtuellen Computer enthalten sind. Für die lokale Verwendung von Windows Server (in einer VHD oder anders) muss eine separate Lizenz erworben werden, und die lokale Verwendung unterliegt den normalen Lizenzbedingungen für die lokale Verwendung von Software.

bearbeitet 26. Juli 2014 von Daniel -MSFT-

[muhlig1968 0]

Hallo,

ich habe erst einmal außerhalb von azure getestet. Auf dem Server habe ich jetzt einen VPN-Server eingerichtet, der auch sauber läuft. Ich kann also von den Clients einen Tunnel aufbauen und die sichere Verbindung herstellen.

Jetzt denke ich, ist es dann auch Zeit, darüber nachzudenken, die Domainanmeldung jetzt zu erlauben und dann die Benutzer in die Domäne aufzunehmen.

 

Klappt aber nicht, die Anmeldung findet keinen Anmeldeserver, auch wenn ich die IP direkt eingebe. HAbe ich da einen Grundgedankenfehler?

bearbeitet 30. Juli 2014 von muhlig1968

[Daniel -MSFT- 129]

Wie löst Du die Namensauflösung für die Clients? Vermuglivh können die den Domain Controller nicht finden. Steht der Server jetzt hinter einer Firewall oder direkt im Netz? Eine permanente Domänenmitgliedschaft über eine VPN-Verbindung clientseitig halte ich für keine gute Idee.

 

Generell solltest Du Dir vielleicht jemanden hinzuziehen, der sich mit sowas auskennt. Ich verstehe Dein Einsatzszenario bisher auch nicht.

[muhlig1968 0]

Hallo Daniel,

der Server steht direkt im Netz. Deine Grundaussage ist genau das, wonach ich suche: Jemanden zuziehen, der sich damit auskennt :-)
Das Problem ist nur, dass ich in den Systemhäusern etwas verkauft bekomme. Ich suche jemanden, der sich mit mir hinsetzt und mit dem ich das dann einfach besprechen kann.

So eine Art Privatunterricht, aber ich weiß nicht, wo ich jemanden finde.

 

Mein Einsatzszenario: Knapp 200 User, gemeinsame Dateien und der Wunsch, über eine zentrale Zugriffs-Steuerung. Das ist alles :-)

Und natürlich spielen die Kosten eine Rolle, reine Dateiserver mit Zugriffsrechten und 750 GB Daten kosten mehrere Hundert Euro im Monat.

Ein gehosteter Serer mit 1 TB kostet unter 100€, da wir die CALs noch besitzen.

[zahni 521]

Hm, Dein externer Server kostest also in 2 Jahren 2400  EUR.

Da sollte ein Dateiserver machbar sein.

Bedenke auch die Datensicherung und  Dir  Dien Cloud-Anbieter hier  anbietet. Auch wenn der Server nicht ausfällt, kein C&C Server wird und auch sonst einwandfrei funktioniert, brauchst Du ein Backup, dass über  einen längeren Zeitraum einzelne Dateien zurück sichern kann...

 

-Zahni