Jump to content

Externe Zugrifft mit AD-Berechtigungen auf der Datenlaufwerk möglich?


Direkt zur Lösung Gelöst von magicpeter,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

ich suche nach einer Möglichkeit die Daten eines Windows 2012 R2 Dateiservers extern zugänglich zumachen.

Der Kunde sucht eine einfache und kostengünstige Möglichkeit Dateien extern zu nutzen.

Folgende Möglichkeiten fallen wir dazu ein.

1. Shares über VPN-Tunnel nutzen



2. FTP-Server einrichten, kein VPN-Tunnel notwendig

- Sind da auch die AD Berechtigungen möglich?
 Dann wäre das eigentlich die einfachste und kostengünstigste Methode. Oder?
 

3. Teamdrive 

- keine AD Berechtigungen möglich

 
4. RemoteDesktop Server über VNP-Tunnel nutzen
- AD Berechtigungen werden genutzt
- In meinen Augen die beste und sinnvollste Möglichkeit

Was meint Ihr?

Sind beim FTP-Server auch die AD Berechtigungen möglich?



 
bearbeitet von magicpeter
Link zu diesem Kommentar

WebDAV (verschlüsselt über HTTPS) ist eine gute Lösung: läuft über den IIS ohne Drittsoftware, AD-Benutzer werden verwendet und es lässt sich ohne Zusatzsoftware als Netzlaufwerk verbinden auf den Clients. Einfach den URL statt den UNC-Pfad eingeben bei "Netzlaufwerk verbinden".

 

FTP ginge auch, aber da muss man die Dateien immer herunter- und wieder hochladen.

 

Wenn spezielle Anwendungen verwendet werden oder man den Clients nicht traut, ist ein Terminalserver (über VPN oder TS-Gateway) allenfalls die bessere Lösung, allerdings aufwändiger in der Einrichtung und teurer (Lizenzen).

Link zu diesem Kommentar

Moin Männer,

ja war sehr viel zu tun die letzen Monate.


WebDav scheint die richtige Lösung dafür zu sein.

Jetzt gibt es noch ein kleines Problem.

Der Port 443 muss ja in der externen Firewall freigeschaltet werden und auf den auf den IIS Server geroutet werden.  

Es steht aber bereits ein Exchange Server in dem LAN auf den der Port 443 bereits geroutet ist.

Habe ich da einen Gedankenfehler? 

Ist ja auch schon spät!  :( 



 

bearbeitet von magicpeter
Link zu diesem Kommentar

Könnte man nicht einen anderen Port dafür nutzen?

OK, ich habe beim diesem Projekte 3 öffentliche IPs da ich 3 VDSL Anschlüssen habe.

 

Dann nutze ich die 3te öffentliche IP und route darüber den Port 443 auf den IIS des Dateiservers.

Super danke.

Hat jemand eine gute Anleitung wie ich den WebDav Server einrichte und die bestehenden Shares darüber freigebe?

Danke euch.

 

Link zu diesem Kommentar

Um eine IP zu sparen, könntest Du den Exchange als Reverse Proxy nutzen. Geht mit dem Application Request Routing vom IIS sehr einfach.

 

Du kannst WebDAV auch auf dem Exchange einrichten, der hat ja den IIS schon installiert. Beim Pfad gibst Du einfach den UNC-Pfad der Freigabe auf dem Fileserver an. Der IIS muss nicht auf dem gleichen Server sein wie die Daten liegen.

 

Noch was zur Sicherheit: der Zugriff ist zwar verschlüsselt, aber es steht und fällt alles mit der Stärke der Benutzerpasswörter. Es ist eine Überlegung wert, ob Du die gesamten Daten extern verfügbar machen willst oder ob ein Unterverzeichnis reicht. Ein Kunde wollte, dass die externen Monteure auf die Anlagendokumentationen zugreifen können. Dafür habe ich dann auf diesem Verzeichnis eine Freigabe erstellt und nur die per WebDAV veröffentlicht. So bleiben die heiklen Daten intern.

Link zu diesem Kommentar

Sofern es externe Leute sind bedenke die Lizenzierung der Zugriffe.

 

Danke dir, es sind die gleichen Mitarbeiter die auch intern arbeiten.

Um eine IP zu sparen, könntest Du den Exchange als Reverse Proxy nutzen. Geht mit dem Application Request Routing vom IIS sehr einfach.

 

Du kannst WebDAV auch auf dem Exchange einrichten, der hat ja den IIS schon installiert. Beim Pfad gibst Du einfach den UNC-Pfad der Freigabe auf dem Fileserver an. Der IIS muss nicht auf dem gleichen Server sein wie die Daten liegen.

 

Noch was zur Sicherheit: der Zugriff ist zwar verschlüsselt, aber es steht und fällt alles mit der Stärke der Benutzerpasswörter. Es ist eine Überlegung wert, ob Du die gesamten Daten extern verfügbar machen willst oder ob ein Unterverzeichnis reicht. Ein Kunde wollte, dass die externen Monteure auf die Anlagendokumentationen zugreifen können. Dafür habe ich dann auf diesem Verzeichnis eine Freigabe erstellt und nur die per WebDAV veröffentlicht. So bleiben die heiklen Daten intern.

Ja, das mit mit Exchange und dem IIS darauf ist eine gute Idee.

Da der Port 443 ja schon auf den Exchange geroutet wird muss ich jetzt nur nur die externe Domain webdav.kundendomain.de richtig leiten.

Wie kriege ich das hin.

DNS beim Provider Domain eintragen webdav.kundendomain.de und dann interen DNS webdav.kundendomain.de eintragen und auf den IIS / Exchange leiten.

 

Aber ich haben ja schon auf den Exchange eine Domain weitergeleitet um die Kommunikation zu ermöglichen remote.kundendomain.de für OWA.

 

Stören die sich das nicht?

 

Oder kann ich da mit im IIS konfigurieren?

 

 

 

 

Link zu diesem Kommentar
Ja, das mit mit Exchange und dem IIS darauf ist eine gute Idee.

 

Das halten vermutlich nicht alle für eine gute Idee.

 

Vielleicht hat ja

 

 

Geht mit dem Application Request Routing vom IIS sehr einfach

 

was mit der (nicht von allen für gut befundenen) Lösung zu tun.

bearbeitet von testperson
Link zu diesem Kommentar

Folgende Möglichkeiten der Anbindung von Externen Mitarbeitern habe ich mir einmal aufgeschrieben.

 

1. Shares über VPN-Tunnel nutzen
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt


2. FTP-Server einrichten
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: nicht notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: keine
Sicherheit: Mittel, abhängig von der Passwortstärke, da der Zugang öffentlich erreichbar ist


3. Teamdrive
Daten werden über eine Private Cloud auf die PCs der externen Mitarbeiter synchronisiert
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: nicht notwendig
Berechtigungen: keine AD Berechtigungen sind möglich
Einrichtung:
Lizenz: Teamdrive Server und Teamdrive Client
Sicherheit: Mittel, Daten verlassen das Haus


4. RemoteDesktop Server über VNP-Tunnel nutzen
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: 1 Windows Lizenz€, Microsoft Windows 2012 Remotedesktoplizenzen  pro Benutzer €, Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt

 


5. WebDAV
SSL-Zertifikat: notwendig 89€ / Jahr)
VPN-Tunnel: nicht notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: keine
Sicherheit: Mittel, abhängig von der Passwortstärke, da der Zugang öffentlich erreichbar ist


6. WebDAV über VPN-Tunnel nutzen
SSL-Zertifikat: nicht notwendig
VPN-Tunnel: notwendig
Berechtigungen: AD Berechtigungen sind möglich
Einrichtung: 
Lizenz: Gateprotect Client pro Person 
Sicherheit: Sehr gut, da ein VPN - Tunnel das gesamte System schützt

 

Ist das nicht die einfachste, billigste und sicherste Möglichkeit Shares über einen VPN-Tunnel zur Verfügung zustellen?

Die Anforderung ist nur die Dateien herunter zu laden und dann wieder hoch zu laden.

Ich weiss, ist keine optimale Anwendung.

Eigentlich ist dafür doch ein RemoteDesktop Server über VNP-Tunnel zu nutzen ;-) 

Ja aber wenn die Kunden nichts ausgeben wollen.

Danke für eueren Input.

bearbeitet von magicpeter
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...