Welcher Netzplan ist der Beste ?

[cebo 10]

Hallo zusammen.

 

Zur Zeit arbeitet mein win2k DC mit isa 2k als alleiniger Server im Netzwerk.

Intern sind 8 Clients angeschlossen. Extern sitzt der Router mit der Internetanbindung fürs Netzwerk.

 

Alle internen Clients arbeiten auf dem vom DC bereitgestellten WTS.

Die Anzahl der Mitarbeiter die sich von aussen über das Internet mit dem WTS verbinden nimmt immer mehr zu.

 

Ich möchte jetzt einen zusätzlichen WTS für externe Zugriffe bereitstellen. Zu diesem Zweck habe ich den Win2k3 Server angeschafft. Meines Wissens lassen sich die Benutzerrechte des WTS2K3 gegenüber dem WTS2K besser einschränken.

 

Welcher Netzplan ist für diesen Zweck der Beste .

 

Grüsse

 

Cebo

[Lian 2.361]

TS auf einem DC ist unschön und auch nicht empfohlen

 

Q. I want to deploy Terminal Server on my domain controller. How do I give users access?

A. Microsoft does not recommend this practice, as it compromises security on the domain controller.

 

Frequently Asked Questions About Terminal Services

 

Was meinst Du mit Netzplan?

 

TS weg vom DC, dazu als TS (nur) den neuen Server nutzen.

Benutzer von außen (nur) über ein gesichertes VPN auf den TS zugreifen lassen.

Den DC auf 2K3 upgraden.

 

hth

[cebo 10]

Mit Netzplan meine ich, wie soll ich das Netwerk aufbauen. Kann ich den WTS2K3 aussen vor die Domäne setzen ? Oder soll ich den ISA runternehmen und den DC mit einer Netzwerkkarte betreiben?

 

cebo

[PAT 10]

Oder soll ich den ISA runternehmen und den DC mit einer Netzwerkkarte betreiben?

Unbedingt! Wie Lian schon richtig schrieb, ist ein TS auf einem DC kein gute Idee. Aber ein ISA auf einem DC erst recht nicht. (Ich weiß, beim SBS ist dies der Fall, ich halte aber auch nichts vom SBS.)

[cebo 10]

... Aber ein ISA auf einem DC erst recht nicht.

 

Ich weiss nicht warum Du das schreibst, kann mit meiner Erfahrung sicherlich nicht mithalten aber das System läuft so schon seit rund nem Jahr völlig problemlos und zuverlässig. Zusätzlich arbeitet er noch als Fileserver und Exchange 2k läuft auch noch mit.

 

Ist denn eine andere Lösung nicht denkbar ? Gerade weil der DC so rund läuft, würde ich ihn ungerne neu aufsetzen.

 

Grüsse

 

Cebo

[PAT 10]

Ich meinte auch nicht, dass es (technisch gesehen) nicht gehen würde. Aber es spricht gegen den Grundgedanken der Sicherheit. Aber benutze zu diesem Thema mal die Boardsuche, haben wir hier schon öfters behandelt.

[cebo 10]

Es ist schon klar, dass sich bei dem Thema Anmeldung von WTS Clients an einem DC bei jedem hier die Nackenhaare sträuben. Wie gesagt, ich möchte das ja auch durch einen zusätzlichen WTS ändern. Die Frage ist nur, wie ich das am Besten hinkriege und das möglichst ohne meinen DC zu schrotten. Also wohin setze ich den neuen WTS.

[Deejablo 10]

Na logischerweise in die Domäne.

Warum willst du den TS außen vor lassen? Dann hast du Sicherheitstechnisch absolut nix gewonnen.

 

VPN kannst du dann z.B. direkt über den ISA realisieren.

[cebo 10]

Bisher nutze ich VPN nicht in Verbindung mit WTS. Clienten von außen nutzen TSWeb. Funktioniert prima. Nur ob Tsweb durch den ISA auf den neuen WTS funktioniert ?

 

VPN wird nur von "internen" WLan clienten genutzt, da der WLAN Accesspoint aussen vor dem ISA sitzt.

[Deejablo 10]

Warum sollte TSWeb nicht durch den ISA-Server funktionieren?

 

Wie du ne Web- bzw. Serververöffentlichung bei nem ISA machst, weißt du hoffentlich ;-)

[cebo 10]

Warum sollte TSWeb nicht durch den ISA-Server funktionieren?

 

Wie du ne Web- bzw. Serververöffentlichung bei nem ISA machst, weißt du hoffentlich ;-)

 

.... ich bin da nicht wirklich so versiert ;) Wenn du da nen Link hättest wäre das super.

 

Hälst du denn diese Konstellation überhaupt für akzeptabel oder würdest du mir dringend raten den DC mit einer Netzwerkkarte zu betreiben und den WTS mit dem ISA zu bestücken.

 

Grüsse

[Deejablo 10]

Also wenn es sich absolut und unter gar keinen Umständen verhindern läßt, dass für die 3 wichtigen Dienste, also DC, WTS und ISA weniger als 3 Rechner benutzt werden, dann am ehesten DC und ISA auf einem und den WTS separat.

 

Aber sei dir der Risiken bewußt die du dort eingehst. Eine Firewall macht nur richtig sinn, wenn sie abgekapselt von anderen Dienste läuft. Ein einziger DC in einer Domäne ist ebenfalls ein ziemliches Risiko und sollte mit einem guten Backup und Desaster Recovery Plan abgesichert sein. Schmiert der DC ab sitzen deine User im Dunklen.

 

Ein DC und WTS auf einem Rechner würde ich aber im Traum nicht dran denken.

 

Also wenn es geht versuch den ISA auch noch vom DC zu trennen. Realisier über den ISA die VPN-Einwahl. Der DC mit einer Netzwerkkarte im Netz und den WTS mit potenter Hardware sowohl für internen, wie auch externen Clients.

 

Alles andere ist auf ziemlich dünnem Eis Schlittschuh fahren :)

[cebo 10]

..... Ein einziger DC in einer Domäne ist ebenfalls ein ziemliches Risiko und sollte mit einem guten Backup und Desaster Recovery Plan abgesichert sein. Schmiert ...

 

Meinst Du damit, dass man ja eigentlich vier Server bräuchte oder kann man den 2ten DC irgendwo integrieren ?

[Christoph35 10]

Es scheint ja keine soo große Umgebung zu sein.

 

Vielleicht wäre es ein Gedanke, 2 phys. Maschinen mit je 2 VMs zu betreiben. Auf einem Host laufen der WTS und ein DC in je einer VM und auf dem 2. Host der ISA und ein 2. DC in VMs.

 

Christoph

[cebo 10]

Vielleicht wäre es ein Gedanke, 2 phys. Maschinen mit je 2 VMs zu betreiben. Auf einem Host laufen der WTS und ein DC in je einer VM und auf dem 2. Host der ISA und ein 2. DC in VMs.

Christoph

 

Wenn hierzu keine Einwände mehr kommen, würde ich es so planen.

 

Worauf kommt es bei der Einrichtung des 2ten DC im Vergleich zum ersten denn an. Gibt es zu dem Thema einen gute Seite? Muss es das gleiche Betriebssystem sein ?