2x SBS 2k3, wie 2 getrennte Netzwerke betreiben + Replikation von AD/DNS

[Michel89 10]

Hallo, dies ist mein erster Beitrag im Forum, ich hoffe nicht mein letzter.

 

Folgendes:

Ich habe 2 SBS 2k3.

1. SBS: 192.168.0.2

2. SBS: 192.168.0.3

Router: 192.168.0.1

 

Die AD und DNS werden repliziert.

Auf dem SBS-1 ist der DHCP-Server aktiv.

Adresspool:192.168.0.1 - 192.168.0.254

Ausschlüsse: 192.168.0.1 - 192.168.0.10

 

3 PC's befinden sich in der Domäne im Netzwerk und bekommen IP,Router,DNS,WINS über DHCP zugewiesen.

 

Wenn jetzt ein Außendienstmitarbeiter sein Notebook mit einer Netzwerkdose verbindet, dann möchte ich, dass er keinen Zugriff auf das Firmennetzwerk hat. Er darf nur über den Router in das Internet.

 

Habe es schon mit einem DHCP-Relay-Agend + 2 Netzwerkarten mit verschiedenen IP-Kreisen ausprobiert, habe mich durch 1001 foren begeben, aber ich habe keine Lösung gefunden.

 

Ich bitte um eine rasche Antwort, danke schonmal im vorraus.

[Daim 12]

Servus,

 

Ich habe 2 SBS 2k3.

1. SBS: 192.168.0.2

2. SBS: 192.168.0.3

[...]

 

Die AD und DNS werden repliziert.

 

wie jetzt? Befinden sich etwa zwei SBS-Server in EINER AD-Domäne?

[Michel89 10]

Ja genau so sieht es immoment aus.

 

2 SBS in einer AD, oder kommt es da jetzt zu komplikationen?

Das ist das erste mal das ich einen SBS repliziere. Also habe ich einfach einen 2ten installiert, dcpromo ausgeführt und den auch in die selbe Domäne eingebunden.

[Daim 12]

2 SBS in einer AD, oder kommt es da jetzt zu komplikationen?

 

Allerdings! Denn es kann in einer SBS-Domäne NUR einen SBS geben, keine zwei. Für Migrationsszenarien können für eine kurze Zeit (7 Tage, mit einem Patch 21 Tage) nebeneinander betrieben werden. Nach Ablauf der Zeit wandelt sich der SBS zu einem "Fahrstuhl-SBS".

 

Siehe:

 

LDAP://Yusufs.Directory.Blog/ - Die Besonderheiten eines Small Business Server`s (SBS)

[Michel89 10]

Oh, ok. Danke für die schnelle Antwort.

Aber wenn ich jetzt einen Replikationsserver betreiben möchte, sprich 2 Server in der gleichen Domäne mit AD/DNS und WINS Replikation auf den 2ten Server, wie mach ich das?

Einen Server 2003 installieren und darauf die Dienste replizieren?

 

Mfg Michel

 

Frage hat sich schon erledigt...habe nicht ganz zu ende gelesen.

[Michel89 10]

Also angenommen ich habe dann jetzt einen server 2003 Standard installiert und als Replikationsserver eingerichtet. Wie kann ich das mit den 2 Netzwerken lösen?

[Daim 12]

Also angenommen ich habe dann jetzt einen server 2003 Standard installiert und als Replikationsserver eingerichtet.

 

OK, du kannst einen weiteren/zusätzlichen Windows Server 2003 zu einer SBS-Domäne als DC hinzufügen.

 

Wie kann ich das mit den 2 Netzwerken lösen?

 

Von welchen zwei Netzwerken redest du?

[Michel89 10]

"3 PC's befinden sich in der Domäne im Netzwerk und bekommen IP,Router,DNS,WINS über DHCP zugewiesen.

 

Wenn jetzt ein Außendienstmitarbeiter sein Notebook mit einer Netzwerkdose verbindet, dann möchte ich, dass er keinen Zugriff auf das Firmennetzwerk hat. Er darf nur über den Router in das Internet."

 

Also brauche ich einen zweiten IP-Kreis für fremde Geräte.

Kann man das über den DHCP Server regeln. Mit 2 Bereichen.

Wenn ja, wie kann ich den SBS / DHCP-Server so konfigurieren das er fremde Geräte nicht in das Domainnetzwerk kommen lässt?

[Daim 12]

Wenn jetzt ein Außendienstmitarbeiter sein Notebook mit einer Netzwerkdose verbindet, dann möchte ich, dass er keinen Zugriff auf das Firmennetzwerk hat.

 

Du möchtest über DHCP dein Netzwerk absichern? Das ist der falsche Ansatz. Ein Sicherheitsfeature hast du damit ohnehin nicht in den Händen. Das ist genau so falsch wie wenn man glauben würde, dass man ohne DHCP mit manueller/statischer Konfiguration "sicherer" sein würde.

 

Die Vergabe der IP-Adressen hat nicht im geringsten mit Sicherheit zu tun.

 

Wenn du die Netzwerkkommunikation mit fremden Systemen unterbinden möchstest, benötigst du IPSec, 802.1x oder unter Windows Server 2008 das NAP.

[Michel89 10]

Ja das verstehe ich, aber....^^

 

Also dann nochmal von Anfang an.

Zu den Hintergründen, ich mache ein Projekt für Ausbildung: "EINBINDUNG EINES MICROSOFT WINDOWS SBS 2003 IN EIN VORHANDENES FIRMENNETZWERK MIT ACTIVE DIRECTORY U. DNS-SERVER REPLIKATION AUF EINEN ZWEITEN SERVER"

 

Ich habe von einem Herrn aus dem Prüfungsausschus eine Auflage bekommen:

 

"Ergänzend zum Projektantrag sollen die Möglichkeiten der Einrichtung von DHCP-Zonen unter besonderer Berücksichtigung der Möglichkeiten ausgewählter Benutzer-/ Rechnergruppen in bestimmte Rechnernetzwerke zu routen, oder gerade dies zu unterbinden, beschrieben werden"

 

Da ich diese Auflage nicht verstanden habe, meine Mitarbeiter auch nicht, geschweige denn mein Chef, habe ich noch einmal genauer nachgefragt.

 

Dabei kam dann das raus: "Es geht schlicht und einfach darum, wie sie mittels der DHCP-Zonen Rechnern bestimmte Möglichkeiten auf Hardware-Ebene gewähren können und sie somit aus dem Netzwerk heraushalten können. Gleichzeitig sollen Sie noch berücksichtigen, wie für diesen Fall bestimmte Routingoptionen ausgelöst werden können."

 

 

Vieleicht kann man jetzt meine Frage nachvollziehen, warum ich es mit dem DHCP-Server machen möchte.

 

Meiner Meinung nach sind die Aufgabenstellungen sehr schwammig und nicht fachlich formuliert. Ich habe mir schon eine Zeitlang den Kopf darüber zebrochen.

 

Mfg Michel

[LukasB 10]

"Ergänzend zum Projektantrag sollen die Möglichkeiten der Einrichtung von DHCP-Zonen unter besonderer Berücksichtigung der Möglichkeiten ausgewählter Benutzer-/ Rechnergruppen in bestimmte Rechnernetzwerke zu routen, oder gerade dies zu unterbinden, beschrieben werden"

 

Die Aufgabenstellung disqualifiziert den Herrn. Ist aber normal - habe ich mit meinen Lehrlingen auch oft genug.

 

Leider bringt dich das in eine ****e Situation - wenn dein Chef und deine Firma hinter dir stehen, können sie dem Experten klarmachen das er keine Ahnung hat und seine Aufgaben gefälligst normal formulieren soll - wie daim schon schrieb: Die Aufgabenstellung lässt sich mit 802.1x oder IPsec hervorragend lösen.

 

Allerdings sind beide nontrivial zu implementieren und könnten den Umfang deiner Arbeit sprengen.

[Michel89 10]

Danke für die Antwort LukasB. Es hat wohl keinen Sinn (ich habe auch nicht die Zeit) mich jetzt noch wieder in einen anderen Bereich wie z.B. IPSec einzulesen.

Gibt es vieleicht einen Referenzlink der auf eine Lösung mit IPSec hinweißt? Um das thema einfach mal anzuschneiden.

 

Ich habe gestern noch einmal mit dem Herrn telefoniert und wie es mir schien weiß er selber nicht wie man soetwas realisieren soll.

Dann werden wir wohl mal in den sauren Apfle beißen und dem Herrn versuchen klar zu machen, dass diese Aufgabenstellung unsinnig ist.

 

Mfg Michel

[MrCocktail 191]

Hi,

 

also jetzt mal etwas um die Ecke denken und folgendes annehmen:

alle normalen Rechner sind bekannt (MAC Nummer) und dürfen ins Firmennetz und ins Internet, machen wir also Netzwerk 1 raus.

Alle anderen Rechner sind unbekannt.

 

Da hier der Router nicht weiter beschrieben wird, nehmen wir doch mal einen "intelligenten" Router an und keinen "Speedport".

 

Alle bekannten Rechner bekommen ein eigenes Subnetz, genauso wie die unbekannten Rechner ein eigenes Subnetz bekommen. Auf dem Router unterbinden wir einfach das Routing zwischen den beiden Subnetzen und sollten das Problem gelöst haben.

 

Das ist allerdinge keine Lösung die ich irgendwo mal live sehen möchte, kann aber vielleicht deinen Prüfer zufriedenstellen.

 

Gruss

J

[Michel89 10]

Danke MrCocktail für die Antwort, also einen normalen Hardware Router benutzen?

-Einen DHCP-Bereich für die bekannten Rechner erstellen.

-Nur so viele Adressen im Pool freigeben wie es bekannte Rechner gibt.

-Die MAC Adressen in der Reservierung eintragen.

 

Oder die MAC adressen im Router eingeben?

[MrCocktail 191]

Naja, du reservierst einfach jedem Firmenrechner eine IP Adresse aus Subnetz X und alle anderen bekommen eine aus Subnetz Y.

Der Router darf dann die beiden Subnetze X und Y nicht zu einander routen.

 

Wenn du es nur in der Theorie beschreiben muss, reicht es doch so, wenn das allerdings ein konkretes Projekt mit Aufbau ist, musst du es anders loesen.

 

Gruss

J