Zum Inhalt wechseln


Foto

Externe Zugrifft mit AD-Berechtigungen auf der Datenlaufwerk möglich?

Windows Server 2012 R2

  • Bitte melde dich an um zu Antworten
48 Antworten in diesem Thema

#1 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 04. Juli 2017 - 15:03

Moin,

ich suche nach einer Möglichkeit die Daten eines Windows 2012 R2 Dateiservers extern zugänglich zumachen.

Der Kunde sucht eine einfache und kostengünstige Möglichkeit Dateien extern zu nutzen.

Folgende Möglichkeiten fallen wir dazu ein.

1. Shares über VPN-Tunnel nutzen



2. FTP-Server einrichten, kein VPN-Tunnel notwendig

- Sind da auch die AD Berechtigungen möglich?
 Dann wäre das eigentlich die einfachste und kostengünstigste Methode. Oder?
 

3. Teamdrive 

- keine AD Berechtigungen möglich

 
4. RemoteDesktop Server über VNP-Tunnel nutzen
- AD Berechtigungen werden genutzt
- In meinen Augen die beste und sinnvollste Möglichkeit

Was meint Ihr?

Sind beim FTP-Server auch die AD Berechtigungen möglich?



 

Bearbeitet von magicpeter, 04. Juli 2017 - 15:05.

Gruss

Der Peter


#2 mwiederkehr

mwiederkehr

    Junior Member

  • 126 Beiträge

 

Geschrieben 04. Juli 2017 - 15:17

WebDAV (verschlüsselt über HTTPS) ist eine gute Lösung: läuft über den IIS ohne Drittsoftware, AD-Benutzer werden verwendet und es lässt sich ohne Zusatzsoftware als Netzlaufwerk verbinden auf den Clients. Einfach den URL statt den UNC-Pfad eingeben bei "Netzlaufwerk verbinden".

 

FTP ginge auch, aber da muss man die Dateien immer herunter- und wieder hochladen.

 

Wenn spezielle Anwendungen verwendet werden oder man den Clients nicht traut, ist ein Terminalserver (über VPN oder TS-Gateway) allenfalls die bessere Lösung, allerdings aufwändiger in der Einrichtung und teurer (Lizenzen).



#3 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 04. Juli 2017 - 15:47

Super,

an WebDAV habe ich noch nicht gedacht...

Das wäre ein Lösung...

Ich recherchiere einmal..;-) 

Danke


Gruss

Der Peter


#4 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 04. Juli 2017 - 16:41

Mensch, der Peter. Lange nix gehört..

 

Ich werfe beim "Anforderungslosen-Software-für-X-Suchen-Bingo" Citrix Sharefile oder Owncloud / Nextcloud in die Runde.


Good morning, that's a nice TNETENNBA!

#5 mba

mba

    Board Veteran

  • 862 Beiträge

 

Geschrieben 04. Juli 2017 - 16:42

Bitte winscp nicht vergessen 😉

#6 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 04. Juli 2017 - 20:51

Moin Männer,

ja war sehr viel zu tun die letzen Monate.


WebDav scheint die richtige Lösung dafür zu sein.

Jetzt gibt es noch ein kleines Problem.

Der Port 443 muss ja in der externen Firewall freigeschaltet werden und auf den auf den IIS Server geroutet werden.  

Es steht aber bereits ein Exchange Server in dem LAN auf den der Port 443 bereits geroutet ist.

Habe ich da einen Gedankenfehler? 

Ist ja auch schon spät!  :( 



 


Bearbeitet von magicpeter, 04. Juli 2017 - 20:52.

Gruss

Der Peter


#7 Dukel

Dukel

    Board Veteran

  • 9.241 Beiträge

 

Geschrieben 04. Juli 2017 - 21:22

Zweite öffentliche IP oder einen Reverse Proxy nutzen.


Stop making stupid people famous.


#8 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 05. Juli 2017 - 04:25

Könnte man nicht einen anderen Port dafür nutzen?

OK, ich habe beim diesem Projekte 3 öffentliche IPs da ich 3 VDSL Anschlüssen habe.

 

Dann nutze ich die 3te öffentliche IP und route darüber den Port 443 auf den IIS des Dateiservers.

Super danke.

Hat jemand eine gute Anleitung wie ich den WebDav Server einrichte und die bestehenden Shares darüber freigebe?

Danke euch.

 


Gruss

Der Peter


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 05. Juli 2017 - 05:06

Ich recherchiere einmal..;-)

Danke


Make something i***-proof and they will build a better i***.


#10 mwiederkehr

mwiederkehr

    Junior Member

  • 126 Beiträge

 

Geschrieben 05. Juli 2017 - 06:09

Um eine IP zu sparen, könntest Du den Exchange als Reverse Proxy nutzen. Geht mit dem Application Request Routing vom IIS sehr einfach.

 

Du kannst WebDAV auch auf dem Exchange einrichten, der hat ja den IIS schon installiert. Beim Pfad gibst Du einfach den UNC-Pfad der Freigabe auf dem Fileserver an. Der IIS muss nicht auf dem gleichen Server sein wie die Daten liegen.

 

Noch was zur Sicherheit: der Zugriff ist zwar verschlüsselt, aber es steht und fällt alles mit der Stärke der Benutzerpasswörter. Es ist eine Überlegung wert, ob Du die gesamten Daten extern verfügbar machen willst oder ob ein Unterverzeichnis reicht. Ein Kunde wollte, dass die externen Monteure auf die Anlagendokumentationen zugreifen können. Dafür habe ich dann auf diesem Verzeichnis eine Freigabe erstellt und nur die per WebDAV veröffentlicht. So bleiben die heiklen Daten intern.



#11 djmaker

djmaker

    Board Veteran

  • 3.454 Beiträge

 

Geschrieben 05. Juli 2017 - 06:47

Sofern es externe Leute sind bedenke die Lizenzierung der Zugriffe.


Thomas

K.Y.S.S. - Keep Your Signatur Short :)

#12 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 05. Juli 2017 - 14:03

Sofern es externe Leute sind bedenke die Lizenzierung der Zugriffe.

 

Danke dir, es sind die gleichen Mitarbeiter die auch intern arbeiten.


Um eine IP zu sparen, könntest Du den Exchange als Reverse Proxy nutzen. Geht mit dem Application Request Routing vom IIS sehr einfach.

 

Du kannst WebDAV auch auf dem Exchange einrichten, der hat ja den IIS schon installiert. Beim Pfad gibst Du einfach den UNC-Pfad der Freigabe auf dem Fileserver an. Der IIS muss nicht auf dem gleichen Server sein wie die Daten liegen.

 

Noch was zur Sicherheit: der Zugriff ist zwar verschlüsselt, aber es steht und fällt alles mit der Stärke der Benutzerpasswörter. Es ist eine Überlegung wert, ob Du die gesamten Daten extern verfügbar machen willst oder ob ein Unterverzeichnis reicht. Ein Kunde wollte, dass die externen Monteure auf die Anlagendokumentationen zugreifen können. Dafür habe ich dann auf diesem Verzeichnis eine Freigabe erstellt und nur die per WebDAV veröffentlicht. So bleiben die heiklen Daten intern.

Ja, das mit mit Exchange und dem IIS darauf ist eine gute Idee.
Da der Port 443 ja schon auf den Exchange geroutet wird muss ich jetzt nur nur die externe Domain webdav.kundendomain.de richtig leiten.
Wie kriege ich das hin.
DNS beim Provider Domain eintragen webdav.kundendomain.de und dann interen DNS webdav.kundendomain.de eintragen und auf den IIS / Exchange leiten.

Aber ich haben ja schon auf den Exchange eine Domain weitergeleitet um die Kommunikation zu ermöglichen remote.kundendomain.de für OWA.

Stören die sich das nicht?

Oder kann ich da mit im IIS konfigurieren?
 



 


Gruss

Der Peter


#13 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 05. Juli 2017 - 14:06

Ja, das mit mit Exchange und dem IIS darauf ist eine gute Idee.

 

Das halten vermutlich nicht alle für eine gute Idee.

 

Vielleicht hat ja

 

 

Geht mit dem Application Request Routing vom IIS sehr einfach

 

was mit der (nicht von allen für gut befundenen) Lösung zu tun.


Bearbeitet von testperson, 05. Juli 2017 - 14:07.

  • NorbertFe gefällt das
Good morning, that's a nice TNETENNBA!

#14 magicpeter

magicpeter

    vollkommen Ahnungsloser

  • 1.405 Beiträge

 

Geschrieben 05. Juli 2017 - 14:41

Folgende Möglichkeiten der Anbindung von Externen Mitarbeitern habe ich mir einmal aufgeschrieben.

 

1. Shares über VPN-Tunnel nutzen
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt


2. FTP-Server einrichten
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: nicht notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: keine
Sicherheit: Mittel, abhängig von der Passwortstärke, da der Zugang öffentlich erreichbar ist


3. Teamdrive
Daten werden über eine Private Cloud auf die PCs der externen Mitarbeiter synchronisiert
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: nicht notwendig
Berechtigungen: keine AD Berechtigungen sind möglich
Einrichtung:
Lizenz: Teamdrive Server und Teamdrive Client
Sicherheit: Mittel, Daten verlassen das Haus


4. RemoteDesktop Server über VNP-Tunnel nutzen
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: 1 Windows Lizenz€, Microsoft Windows 2012 Remotedesktoplizenzen  pro Benutzer €, Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt

 


5. WebDAV
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: nicht notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: keine
Sicherheit: Mittel, abhängig von der Passwortstärke, da der Zugang öffentlich erreichbar ist


6. WebDAV über VPN-Tunnel nutzen
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt

 

Ist das nicht die einfachste, billigste und sicherste Möglichkeit Shares über einen VPN-Tunnel zur Verfügung zustellen?

Die Anforderung ist nur die Dateien herunter zu laden und dann wieder hoch zu laden.

Ich weiss, ist keine optimale Anwendung.

Eigentlich ist dafür doch ein RemoteDesktop Server über VNP-Tunnel zu nutzen ;-) 

Ja aber wenn die Kunden nichts ausgeben wollen.

Danke für eueren Input.


Bearbeitet von magicpeter, 05. Juli 2017 - 14:42.

Gruss

Der Peter


#15 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 05. Juli 2017 - 15:02

Und vpn braucht kein Zertifikat weil du pptp nutzt oder wie?
  • chrismue gefällt das

Make something i***-proof and they will build a better i***.