Einbinden eines Windows Server 2003 + Proxy-Server in das bestehende Firmennetzwerk

[MrAndersson 10]

Hallo,

 

wir haben in unserem Unternehmen ca. 2000 Mitarbeiter, untergliedert in ca. 70 Abteilungen.

Jeder Abteilung steht 1 Internetrechner zu. Die Rechner befinden sich alle in einer Arbeitsgruppe und haben ohne Beschränkung Internetzugriff.

Nun sollen allen Mitarbeitern ein eigenes Netzlaufwerk (ca. 50 MB) freigegeben werden, auf dem sie Dateien ablegen können und alle Mitarbeiter sollen

sich mit ihren Rechten von jedem Rechner im Netzwerk aus anmelden können. Dazu möchte ich gerne einen Windows 2003 Server einsetzen.

Hinzu kommt noch, dass die Benutzer nur noch bestimmte Rechte haben sollen (nur auf bestimmten Websites surfen, Ports sollen geblockt werden und

Viren abgefangen werden). Dazu hatte ich an einen Proxy-Server gedacht. Leider kenne ich mich auf diesem Gebiet nicht so gut aus und bräuchte eure Hilfe.

Die Rechner und unser Internetrouter befinden sich momentan im 192.168.1.x Netz.

Ist es möglich den Server und den Proxy-Server auch problemlos in das 192.168.1.x Netz zu implementieren?

Ich hatte einmal gelernt, dass der Proxy normalerweise 2 Netze trennt, wobei ich diesen ja dann nicht problemlos einbinden könnte.

Oder muss ich die Rechner und den Server ins 192.168.2.x Netz einbinden und dann mit dem Proxy die Pakete von 192.168.2.x nach 192.168.1.x routen?

Ich hoffe ihr könnt mir sagen, wie ich den Windows Server 2003 und den Proxy in das Netz einbinden kann?

 

Gruß

[Jim di Griz 13]

nur zum besseren Verständnis:

 

sollen nur die 70 Internetrechner (einer pro Abteilung) an den Proxy und ein Netzlaufwerk bekommen?

oder sollen alle 2000 Rechner ein Netzlaufwerk für die Nutzer bereitstellen?

Sind mit 2000 Mitarbeitern auch 2000 Rechner gemeint oder ist es ein Dreischichtbetrieb (teilen sich Mitarbeiter Rechner)??

 

Wie auch immer, die Dimension erschreckt mich grade, 2000 Rechner (ohne Netz?), davon 70 ohne jeden Schutz im Internet, sind die 70 Rechner mit den 2000 anderen per Netz verbunden?

 

Für 2000 wird ein Server als Proxy wohl reichen, die Userdaten sollten schon auf einem anderen Server liegen.

 

Soll das alles für alle 2000 eingerichtet werden würde ich erstmal eine genue Aufstellung der Andorderungen machen, das ist (so wie es hier geschildert ist) eher der Neuaufbau einer UnternehmensIT

[MrAndersson 10]

sollen nur die 70 Internetrechner (einer pro Abteilung) an den Proxy und ein Netzlaufwerk bekommen?

oder sollen alle 2000 Rechner ein Netzlaufwerk für die Nutzer bereitstellen?

Sind mit 2000 Mitarbeitern auch 2000 Rechner gemeint oder ist es ein Dreischichtbetrieb (teilen sich Mitarbeiter Rechner)??

Nein, ich glaube du hast das komplett falsch verstanden. Ich habe mich da wohl auch schlecht ausgedrückt, deshalb nocheinmal ausführlich:

Wir haben ein internes Firmennetz (in dem fast jeder Mitarbeiter seinen eigenen Rechner hat), welches physikalisch vom Internetnetz getrennt ist. In dem internen Netz bearbeiten nun alle Mitarbeiter ihre Vorgänge und haben manchmal zusätzlich noch einen Internetrechner, welcher eben nicht in einer Domäne hängt (den Rest habe ich ja schon oben aufgeführt).

Ja, alle 70 Internetrechner sollen über den Proxy laufen. Die Netzwerkfreigaben ("Home-Ordner") für die jeweiligen Benutzer werde ich dann auf dem Windows 2003 Server einstellen.

 

Wie auch immer, die Dimension erschreckt mich grade, 2000 Rechner (ohne Netz?), davon 70 ohne jeden Schutz im Internet, sind die 70 Rechner mit den 2000 anderen per Netz verbunden?

Wie oben schon beschrieben befinden sich die Standartarbeitsplätze in einem anderen extra Netz. Die 70 Rechner laufen bisher nicht in einer Domäne, korrekt.

 

Für 2000 wird ein Server als Proxy wohl reichen, die Userdaten sollten schon auf einem anderen Server liegen.

Auf allen Maschinen läuft Windows XP und der Server für die Domäne soll ein Windows 2003 Server werden.

 

Ich hoffe, dass du mir nun folgen kannst (habe mich wohl etwas missverständlich ausgedrückt).

Hauptproblem ist aber wie gesagt, dass ich nicht genau weiss, wie ich den Proxy implementieren soll.

 

Auf jeden Fall schonmal vielen Dank für die schnelle Antwort!

 

Gruß

[Jim di Griz 13]

nunja, da dies ein MCSE Board ist fällt mir natürlich erstmal der ISA Server ein.

 

Allerdings kostet der Geld, es gibt allerdings auch tausende Proxies zum Download in allen Preis und Leistungsklassen.

 

Ich habe nur gefragt weil ich mir dachte das evtl. jemand anders dieselben Fragen hat, bin leider kein Produktspezialist Proxy.

 

Soll der Proxy (nur) Anfragen sammeln und oder Auswerten und oder Blocken?

[grizzly999 11]

Lieber MrAndersson,

 

da muss ich jetzt mal eingreifen. Deine Beiträge sind ein einziges unverständliches Wirrwar, und von jemandem, der Hilfe erwartet, erwarte ich

, dass er sich klar und verständlich ausdrückt.

Ich habe mich da wohl auch schlecht ausgedrückt

Ja, so ist es!

 

In dem internen Netz bearbeiten nun alle Mitarbeiter ihre Vorgänge und haben manchmal zusätzlich noch einen Internetrechner, welcher eben nicht in einer Domäne hängt (den Rest habe ich ja schon oben aufgeführt).

Welchen Rest? Da war nicht viel Greifbares aufgeführt. Und du hast jetzt nur gesagt, wer NICHT in einer Domäne ist. Dass der große Rest in einer Domäne ist, dürfen wir vermuten ja?! :rolleyes:

 

Ja, alle70 Internetrechner sollen über den Proxy laufen.

Wer jetzt? Die 70 oder alle Nutzer mit allen rd. 2000 Rechnern? So interpretierte man es nämlich oben, da stand zu lesen:

Nun sollen allen Mitarbeitern ein eigenes Netzlaufwerk (ca. 50 MB) freigegeben werden, auf dem sie Dateien ablegen können und alle Mitarbeitersollen sich mit ihren Rechten von jedem Rechner im Netzwerk aus anmelden können. [........]Hinzu kommt noch, dass die Benutzer nur noch bestimmte Rechte haben sollen (nur auf bestimmten Websites surfen, Ports sollen geblockt werden

 

Die Netzwerkfreigaben ("Home-Ordner") für die jeweiligen Benutzer werde ich dann auf dem Windows 2003 Server einstellen

Um was geht es eigentlich in dem Thread? Um eine Proxy oder einen Fileserver? Und: warum sollen diese "Netzlaufwerke" auf den Proxy mit drauf? Gibt es denn in dem 2000 Rechner zählendem Netz keinen anderen Server, der das erledigen kann?

 

Wie oben schon beschrieben befinden sich ....

Nein, da oben war nichts beschrieben.

 

Auf allen Maschinen läuft Windows XP und der Server für die Domäne soll ein Windows 2003 Server werden.

Wie, was wo, für welche Domäne? Sind die 2000 jetzt doch nicht in einer Domäne?

 

Ich hoffe, dass du mir nun folgen kannst

Bei deinem Geschreibsel kann dir keiner folgen.

 

Hauptproblem ist aber wie gesagt, dass ich nicht genau weiss, wie ich den Proxy implementieren soll.

Naja, aber du hast ja einen guten Vertrauensvorschuss, sie lassen dich immerhin ein 2000-Mann Netz administrieren. :thumb1: :)

 

 

Zusammenfassend:

==============

Es hat mich jetzt sehr viel Zeit gekostet, das Ganze hier mehrmals zu lesen, dann diesen Beitrag hier zu schreiben, und es ist mir und anscheinend den anderen auch nicht ansatzweise klar, was da bei dir Sache ist. Nach 6 Jahren Erfahrung hier im Board weiß ich schon, dass das in seitenlangem Nachfragen Enden wird. Dem will ich vorbeugen:

Du schreibst das Ganze -die Ausgangslage und die exakten Anforderungen - jetzt noch mal tgechnisch korrekt gut verständlich, so dass jeder versteht, was wo ist, welcher Rechern wo hin gehört, usw., zusammen, gerne auch in einem neuen Thread und ich lösche dann den hier. Aber wer Hilfe will, der muss auch was bringen.

 

Danke für dein Verständnis

 

 

grizzly999

[MrAndersson 10]

Es ist eigentlich ganz einfach:

 

Wir haben: 2000 Mitarbeiter (welche in ca. 70 Abteilungen arbeiten).

Pro Abteilung haben wir einen Internetrechner, welche momentan noch in einer Arbeitsgruppe eingebunden sind.

Es gibt momentan weder einen Proxy-Server noch einen AD Server. Ich hoffe die Ausgangslage ist nun klar?

 

Nun möchte ich eine Domäne erstellen: An dieser sollen sich nun alle Mitarbeiter der Abteilungen (für jede Abteilung wird ein Benutzer erstellt) anmelden können.

Das mit dem Netzwerklaufwerk lassen wir erst einmal außen vor, mir geht es hier erst einmal nur um die Implementierung des Windows Servers und des Proxys.

 

Da wir in unserem Netz dann auch eine gewisse Sicherheit haben möchten, wollen wir mit dem Proxy noch URLs, Ports und Viren blocken.

 

Und hier liegt nun der Hase im Pfeffer:

Kann ich den Proxyserver in dem 192.168.1.x Netz problemlos einbinden?

Habe mal gelernt, dass ein Proxy normalerweise die Pakete von Netz1 in Netz2 routet. Ich möchte diesen aber einfach nur in das oben 192.168.1.x Netz einbinden, quasi nur als Filterfunktion. Ist das möglich?

 

Ich hoffe ihr habt verstanden, was ich vorhabe ?

[Jim di Griz 13]

Kann ich den Proxyserver in dem 192.168.1.x Netz problemlos einbinden?

Habe mal gelernt, dass ein Proxy normalerweise die Pakete von Netz1 in Netz2 routet. Ich möchte diesen aber einfach nur in das oben 192.168.1.x Netz einbinden, quasi nur als Filterfunktion. Ist das möglich?

 

Ja hier liegt allerdings der Hase im Pfeffer.

 

wenn da 70 rechner stehen haben die alle eine einwahlverbindung? wenn nicht gibt es bereits einen router.

 

um die frage zu beantworten: ja das ist möglich. Netz 1 in deinem Beispiel ist das Internet. Netz 2 in deinem Beispiel ist das 192.168.1.x Netz.

In dem Fall muss der Proxy also staendig routen. Er kann aber einfach im selben Netz sein und trotzdem den gesamten Verkehr filtern, damit das funktioniert sollte allerdings eine Firewall den Http-Verkehr der Clients verhindern (sonst umgeht man den Proxy einfach indem man ohne Proxyeintrag am Client surft)

Ich habe schon verstanden was gewünscht ist.

Aber ich habe immer noch keine Ahnung was vor Ort steht.

Und ich kann einfach nicht glauben das jemand 2000 rechner mit AD und Netz anscheinend alleine verwaltet und solche Fragen stellt.

 

Anyway. Es gibt tausende Proxies in allen Preis und Leistungsklassen.

Es ist möglich die gewünschte Aufgabe mit einem Proxy zu bewältigen.

 

 

Da wir in unserem Netz dann auch eine gewisse Sicherheit haben möchten, wollen wir mit dem Proxy noch URLs, Ports und Viren blocken.

 

Das ist eher eine Firewall mit Proxy. Aber ich haette vermutet das es schon eine Firewall gibt bei 70 Rechnern im Internet.

Man kann den ganzen Kram (alle gewünschten Dienste) natürlich auf einen Server packen.

Es ist nur nicht sonderlich elegant und nicht so einfach aufzubauen und zu verwalten wie eine sauber verteilte Lösung. Und dadurch unsicherer.

[MrAndersson 10]

wenn da 70 rechner stehen haben die alle eine einwahlverbindung? wenn nicht gibt es bereits einen router.

Nein, die 70 Rechner hängen alle an einem Router (192.168.1.1).

 

um die frage zu beantworten: ja das ist möglich. Netz 1 in deinem Beispiel ist das Internet. Netz 2 in deinem Beispiel ist das 192.168.1.x Netz.

In dem Fall muss der Proxy also staendig routen.

Heisst das nun ich brauche 2 Netzwerkkarten im Proxy und die Pakete müssen von Netzwerkkarte 1 auf Netzwerkkarte 2 geroutet werden?

Wäre super nett, wenn du mir diesen Punkt einmal erklären könntest.

Wäre somit folgende Konfiguration richtig:

 

Er kann aber einfach im selben Netz sein und trotzdem den gesamten Verkehr filtern, damit das funktioniert sollte allerdings eine Firewall den Http-Verkehr der Clients verhindern (sonst umgeht man den Proxy einfach indem man ohne Proxyeintrag am Client surft)

Diesen Punkt kann man dann doch bestimmt in den Gruppenrichtlinien festlegen,oder? Dass die Benutzer die Internetoptionen nicht verändern dürfen.

 

Aber ich habe immer noch keine Ahnung was vor Ort steht.

Und ich kann einfach nicht glauben das jemand 2000 rechner mit AD und Netz anscheinend alleine verwaltet und solche Fragen stellt.

Pass auf: Wir haben 2 physikalisch getrennte Netze. Das eine ist ein internes Netz, d.h. es gehen keine Daten raus ins Internet. Jeder Mitarbeiter hat nun seinen eigenen Rechner, der im internen Netz steht (kommt nicht ganz hin wegen Schichtdienst/Teilzeit usw.).

Nun sind diese 2000 Mitarbeiter ja alle in verschiedenen Abteilungen. Pro Abteilung gibt es dann einen Internet-Rechner (70Abteilungen = 70 Rechner), an dem die Mitarbeiter recherchieren können (an ihrem internen Rechner haben sie ja kein Internet!).

Und um diese Rechner und dieses Netz geht es nun. Für diese Rechner soll nun eine Domäne erstellt werden und eine zentrale Virenscannerlösung eingerichtet werden. Bisher waren alle Rechner in einer Arbeitsgruppe und hatten einen lokalen Virenscanner installiert.

Ich hoffe jetzt weisst du, wie unser Netzwerk aufgebaut ist.

 

Das ist eher eine Firewall mit Proxy. Aber ich haette vermutet das es schon eine Firewall gibt bei 70 Rechnern im Internet.

Man kann den ganzen Kram (alle gewünschten Dienste) natürlich auf einen Server packen.

Es ist nur nicht sonderlich elegant und nicht so einfach aufzubauen und zu verwalten wie eine sauber verteilte Lösung. Und dadurch unsicherer.

Nein, es wurde auf den Rechnern bisher nur die lokale Windows-Firewall verwendet.

Meinst du mit sauber verteilt: eigener Windows 2003 Server, eigener Proxy ?

 

Wäre super nett, wenn du mir meine noch offenen Fragen beantworten könntest.

 

Gruß

[Jim di Griz 13]

in deinem Bild oben kann der Proxyserver auch an der position des win2003 servers stehen. Ein Proxyserver fängt alle http/https abfragen ab und beantwortet diese aus seinem datenspeicher (cache) wenn die seite schon einmal geladen wurde. er steht nur logisch zwischen internet und client und nicht wie in deinem bild auch zwingend physikalisch.

der client sagt dem proxy welche seite der proxy ihm holen soll. Damit spricht der Client nicht mehr mit dem Internet sondern nur noch der Proxy (um es mal umgangssprachlich zu umschreiben)

Und da kommt auch schon der Punkt der mich am meisten wundert an deinem netz, das was bei dir als router gezeigt ist sollte eine Firewall sein.

jedes der drei produkte router firewall proxy deckt einen teil deiner anforderungen ab.

wenn du um geld zu sparen alle 3 componenten (router firewall proxy) in software realisieren willst (im gegensatz zu einer hardwarekomponente) muss der 2003 server da sein wo bei dir der router steht.

 

Deswegen gibt es so viele proxies, ist eigentlich nichts anderes als ein zwischenspeicher. Ohne Firewall ein eingebildeter schutz.

 

Es geht letztendlich bei der Sache nicht nur um deinen Schutz. 70 Rechner ohne jeden Schutz im Internet sind 70 zusaetzliche Rechner für ein beliebiges Botnet

 

Diesen Punkt kann man dann doch bestimmt in den Gruppenrichtlinien festlegen,oder? Dass die Benutzer die Internetoptionen nicht verändern dürfen.

 

und wenn jemand Firefox oder einen beliebigen anderen browser auf floppy oder usb-stick mitbringt?

[ssxwolfi 10]

Also so richtig verstehe ich das immer noch nicht. Du schreibst was von 2000 Rechnern, gibst aber nur 2 Netze an (192.168.1.x und 192.168.2.x). Da stimmt doch schon was rein rechnerisch nicht. Es würden nur 254 Rechner funktionieren, da du gar nicht genug IP-Adressen zur Verfügung hast... :confused:

Die 70 Internetrechner hängen im 192.168.1.x Netz, richtig? Die 2000 anderen im 192.168.2.x Netz, was eigentlich nicht sein kann, richtig? Und du möchtest im den 192.168.1.x Netz irgendwas reinhängen, damit Nutzer Daten zwischen den beiden Netzen austauschen können, verstehe ich das richtig? Also die eigentlich Konstellation, das die 2000 Rechner keinen Internetzugriff haben und die 70 schon soll erhalten bleiben und du möchtest nur die Möglichkeit haben, Daten zwischen den Netzen auszutauschen?

Die 70 User möchtest du nun in eine Domain mit einem Server packen. Zwischen dieser Domain und dem Internet möchtest du einen Proxy stellen. Die Benutzer sollen ihre Daten auf den Server packen und vom anderen Netz möchtest du diese Daten austauschen können (beide Richtungen?). In dem 2000 User Netz gibt es keinen Virenscanner? Deswegen ein extra Netz für Internet?

Um den Zugriff zu bewerkstelligen brauchst du eigentlich nur eine Netzwerkkarte in den Internet-Server stecken, der an euer internes Netz angeschlossen ist. Auf dem Internetserver schaltest du Routing gar nicht erst an. Damit können keine Pakete vom internen ins externe Netz gelangen. Den Proxy packst du auf einen extra Rechner oder kaufst dir einen fertigen. Virenscanner auf den Server drauf und auf die 70 Internetclients verteilen lassen. Fertig ist.

Allerdings finde ich das eine "******"-Lösung:

1. Was ist, wenn ein Virus irgendwo drin steckt, den der Virenscanner noch nicht kennt. In deinem internen Netz wird der niemals erkannt werden ...

2. Hast du dir schon mal ausgerechnet, was die Mitarbeiter an Zeit verschwenden, nur weil sie zu einem Internetrechner laufen müssen, sich da anmelden und wieder abmelden, Daten hin- und herkopieren, .... Wenn ich nur 5 Minuten am Tag pro Mitarbeiter rechen (aber dafür kann der nicht hin und her, abmelden, kopiere, ...) sind das 10.000 Minuten am Tag. Das sind über 160 Stunden * 20 Euro -> 3200 Euro pro Tag. Du hast nach ein paar Wochen das Geld für eine richtige Firewall, die normal im Netz mit drinne hängt raus. Siehe anderen Beitrag, ISA-Server z.B.