Jump to content

DSL - SBS2003 Grundsatzentscheidung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo ! Möchte einen SBS2003 Standard ins Leben rufen und habe ein paar grundsätzliche Fragen.

 

Folgende Ziele sind angestrebt:

 

- E-Mail mit Exchange über POP3-Connector

- WEB-Access für Outlook-Konten

- FAX-Dienste für alle Clints

- VPN

- Terminalserver (erst zu einem späteren Zeitpunkt und über separaten TSE-Server)

- Client haben alle Windows XP Prof.oder Windows XP Home oder Windows 2000

 

Provider = 1und1 DSL ohne feste IP (also klassisch)

 

Welche Lösung hinsichtlich des Internetzugangs für diese Ziele ist am sinnvollsten?

 

- SBS2003 mit 2 NICs (intern / öffentlich)

oder

- SBS2003 mit 1 NIC (intern) und einem DSL-Router (welcher ?)

oder

- SBS2003 mit 1 NIC (intern) und einem DSL-PC (AVM-DSL Karte)

 

Für Entscheidungshilfen danke ich euch schon einmal im Voraus.

Link zu diesem Kommentar

WEnn kein Wert auf GRuppenrichtlinien o.Ä. gelegt wird, müssen die XP Homerechner nicht in die Domäne!

Solange am SBS und am Rechner das gleiche Benutzerkonto mit dem gleichen Kennwort existieren gehts genauso! (Freigeben verbinden, Exchangeanbindung etc...)

 

Die Dynamische IP kannste mit (z.b.) DynDNS zu einem festen DNS Namen machen! Dann kannste die VPN Einwahl gut nutzen!

 

Internetzugang würde ich lösen:

SBS mit 2 Nics, eine davon ins interne Netz, die andre an den Router mit Firewallfunktionalität.

Achte darauf dass der Router VPN Passthrough unterstüzt! Das tun zwar fast alle aktuellen, aber die alten nich umbedingt. (Wir machen gute Erfahrungen mit dem SMC7004VBR, der hat auch einen DynDNS Updater integriert)

 

Mfg,

Flo

Link zu diesem Kommentar

Hallo schaffhp,

 

willkommen an Board.

 

- SBS mit einer NIC

- DHCP auf dem Server einrichten und Router als GW weiterreichen (im Router DHCP aus)

- dynamische IP mittels DynDNS umgehen

- Pop3-Konnector weglassen -> lieber bei 1&1 nen MX-Eintrag auf die DynDNS-Adresse umleiten -> hat den Vorteil, dass Mails direkt rein und rausgehen -> 15 min. Intervall umgangen

- Port 80 im Router an SBS-Server weiterleiten, damit OWA funzt (bei SSL auch Port 443. SSL ist die Empfehlung)

- Port 1723 (+ GRE) weiterleiten, damit pptp-VPN funzt. Für IPsec-VPN Port 500

- bei Faxdiensten mit FritzPCI bitte Tipps&Tricks in diesem Board beachten (Stichwort TAPI)

- XP-Home Rechner kannste bei Domänenzugehörigkeit abschminken, da XP-Home kein Domänenmitglied sein kann

 

Empfehlung für DSL-Router: Falls ein paar Euro drin sind, dann LANCOM, fall noch mehr Geld übrig, dann Netscreen 5GT (Juniper). Draytek Vigor 2900 Router wird hier auch von einigen gerne genommen.

 

LANCOM und Netscreen können von Haus aus VPN entgegennehmen. Vigor sicherlich auch, weis ich aber nicht, da keine Erfahrungen.

 

Wichtige Anforderung ist die Firewallfunktionalität/Konfigurierbarkeit. Geräte < 100 Euro aufpassen, da nicht immer eingehende Verbindungen richtig einrichtbar sind ;)

 

Auf keinen Fall kann ich

- SBS2003 mit 2 NICs (intern / öffentlich)

oder

- SBS2003 mit 1 NIC (intern) und einem DSL-PC (AVM-DSL Karte)

empfehlen, da dann der Rechner insgesamt direkt am InterNetz hängt -> Stichwort Sicherheit

 

grüße

 

dippas

Link zu diesem Kommentar
Hallo schaffhp,

...

- Pop3-Konnector weglassen -> lieber bei 1&1 nen MX-Eintrag auf die DynDNS-Adresse umleiten -> hat den Vorteil, dass Mails direkt rein und rausgehen -> 15 min. Intervall umgangen

...

dippas

 

Da seh ich aber ein Problem:

Nach einem 24h Kick gibts ne neue Adresse, bis jeder DNS Server die Änderung mitbekommen hat vergehen nach eigener Erfahrung zw. 5Minuten und knapp 2Stunden!

 

D.h. in dieser Zeit würden doch versandte Mails verloren gehen oder?

 

Was ist wenn der DSL Anschluss einmal streikt? Dann können auch keine Emails empfangen werden?

 

Oder werden die bei 1&1 "zwischengepuffert" wie bei Pop3 konten?

Link zu diesem Kommentar

 

Auf keinen Fall kann ich

 

- SBS mit zwei NICs...

 

empfehlen, da dann der Rechner insgesamt direkt am InterNetz hängt -> Stichwort Sicherheit

 

@dippas

Sogar bei einem SBS mit zwei NICs kann, darf und muss man ein Firewallgerät davorschalten. Das ist die von Microsoft empfohlene (der SBS-Installationsassistent warnt, wenn er nur eine NIC entdeckt) und von mir standardmässig eingerichtete Konfiguration. Das so entstandene Perimeternetz kann bei Bedarf durch ein zweites, internes Firewallgerät weiter gesichert werden. Dies erlaubt somit auch die Positionierung von Mitgliedservern für FTP oder Exchange OWA (Front End) vor dem SBS.

Link zu diesem Kommentar
Pop3-Konnector weglassen -> lieber bei 1&1 nen MX-Eintrag auf die DynDNS-Adresse umleiten -> hat den Vorteil, dass Mails direkt rein und rausgehen -> 15 min. Intervall umgangen

 

@dippas,

 

Lt. "schaffhp" hat dieser einen 1&1 Standard DSL-Zugang. Meines Wissens ist es dabei nicht möglich für den Exchange-Server einen MX-Eintrag zu setzen bzw. eintragen zu lassen.

 

Weißt Du da mehr - wenn ja, bitte um Anleitung und ggf. welches Paket von 1&1 notwendig ist.

 

Besten Dank im voraus...

 

Gruß Haecki

Link zu diesem Kommentar
Da seh ich aber ein Problem:

Nach einem 24h Kick gibts ne neue Adresse, bis jeder DNS Server die Änderung mitbekommen hat vergehen nach eigener Erfahrung zw. 5Minuten und knapp 2Stunden!

 

DynDNS betreibt eigene DNS-Server für die Domains. Die Änderung erfolgt innerhalb weniger Sekunden ;)

 

D.h. in dieser Zeit würden doch versandte Mails verloren gehen oder?

 

Nein, eine im Moment x nicht zustellbare Mail dreht ne Wartescheife und wird in bestimmten Intervallen erneut zugestellt.

 

Was ist wenn der DSL Anschluss einmal streikt? Dann können auch keine Emails empfangen werden?

 

Die "Warteschleife" im Exchange 2003 ist beispielsweise standartmäßig so konfiguriert, das er 3 x alle 10 Minuten versucht die Mail loszuwerden. Danach versucht er es alle 15 Minuten und das ganze dann 2 tage lang. Sollte reichen ;)

 

Oder werden die bei 1&1 "zwischengepuffert" wie bei Pop3 konten?

 

Das ist abhängig davon, ob man bei 1&1 Pop-Konten unterhält ;)

 

Aber die Sache mit der Zwischenpufferung ist grundsätzlich richtig.

 

Wenn ich den eigenen MX-Eintrag meiner Domain auf den Exchange (DynDNS) umlege und diesem eine niedrigere Prio gebe, als dem von 1&1, dann wird erst versucht an Exchange auszuliefern und bei nichterfolg bleiben die beim 1&1-Mailer bis der Exchange wieder läuft.

Link zu diesem Kommentar
@dippas,

 

Lt. "schaffhp" hat dieser einen 1&1 Standard DSL-Zugang. Meines Wissens ist es dabei nicht möglich für den Exchange-Server einen MX-Eintrag zu setzen bzw. eintragen zu lassen.

 

Weißt Du da mehr - wenn ja, bitte um Anleitung und ggf. welches Paket von 1&1 notwendig ist.

 

Besten Dank im voraus...

 

Gruß Haecki

 

ich habe privat ein normales Webhosting-Paket. Da kann ich das bereits einrichten. Es ist also nicht zwingend ein Super-Duper-Extrem-Profi-Paket notwendig.

 

Anleitung?

 

Einloggen, auf "Domains" gehen, zu ändernde Domain vorne anhaken, aus der oberen Menüleiste das Drop-Down von "DNS" anklicken, "Einstellungen bearbeiten" anklicken

 

Unter "erweiterte Einstellungen" bei MX-Einträge dann "anderer Mailserver" auswählen und den DynDNS-Namen reinpacken (Prio 10 ins rechte Feld)

 

Unter "weitere backup-Einträge" dann "Standart Backup-MX-Eintrag" auswählen und abspeichern

 

Jetzt dauert es noch einen Moment, denn hier sind nur Änderungen bei den DNS-Server weltweit notwendig, aber das ist ja sicherlich nachvollziehbar.

 

grüße

 

dippas

Link zu diesem Kommentar
@dippas

Sogar bei einem SBS mit zwei NICs kann, darf und muss man ein Firewallgerät davorschalten.

 

Naja, sollte nicht jeder eine Firewall am Netzwerkausgang zum Internet haben ;)

 

Das ist die von Microsoft empfohlene (der SBS-Installationsassistent warnt, wenn er nur eine NIC entdeckt) und von mir standardmässig eingerichtete Konfiguration.

 

Die Sache mit dem meckern kann ich nicht bestätigen. Habe erst gestern abend einen SBS mit einer NIC eingerichtet. Da hat der nicht gemeckert.

 

Das so entstandene Perimeternetz kann bei Bedarf durch ein zweites, internes Firewallgerät weiter gesichert werden. Dies erlaubt somit auch die Positionierung von Mitgliedservern für FTP oder Exchange OWA (Front End) vor dem SBS.

 

Ich glaube, hier kann man eine Philosophie-Frage raus machen. Wenn ich Deine Konfig richtig verstehe, dann sähe das - vom Internet ins interne Netz aus betrachtet- so aus:

 

Internet -> Firewall -> Perimeternetzwerk mit beispielsweise OWA -> Firewall -> SBS-NIC2 -> SBS-NIC1 -> internes Netz

 

Interpretiere ich richtig?

 

Natürlich klappt das auch, aber ich habe da eine andere Meinung.

 

Gleiche Betrachtungsweise:

 

Internet -> Firewall -> DMZ an richtigem DMZ-Port mit beispielsweise OWA und

Internet -> Firewall -> LAN-Port = internes Netz

 

meine Lösung erfordert aber zugegebenermaßen eine "richtige" Firewall (also soetwas wie Netscreen, Checkpoint, Cisco PIX oder auch Astaro) mit der Möglichkeit feine Regeln je Zone zu definieren. Ein einfacher DSL-Router wäre meines Erachtens nicht unbedingt die erste Wahl.

 

grüße

 

dippas

Link zu diesem Kommentar
Naja, sollte nicht jeder eine Firewall am Netzwerkausgang zum Internet haben ;)

Absolut korrekt. Aber es gibt selbst Firmen, die darauf noch zu verzichten meinen.

 

Die Sache mit dem meckern kann ich nicht bestätigen. Habe erst gestern abend einen SBS mit einer NIC eingerichtet. Da hat der nicht gemeckert.

Bei meinem letzten habe ich einen Warnhinweis bekommen, dass nur eine NIC installiert sei. Das ist aber schon lange, lange her, da ich ausnahmslos mit zwei NICs installiere.

 

Ich glaube, hier kann man eine Philosophie-Frage raus machen.

An meinem Kühlschrank hängt der Kalenderspruch: "Wir philosophieren nicht, weil wir die absolute Wahrheit haben, sondern weil sie uns fehlt." Mir geht es auch so;-)

 

 

Wenn ich Deine Konfig richtig verstehe, dann sähe das - vom Internet ins interne Netz aus betrachtet- so aus:

Internet -> Firewall -> Perimeternetzwerk mit beispielsweise OWA -> Firewall -> SBS-NIC2 -> SBS-NIC1 -> internes Netz.

Interpretiere ich richtig?

Absolut.

 

Natürlich klappt das auch, aber ich habe da eine andere Meinung.

Gleiche Betrachtungsweise:

Internet -> Firewall -> DMZ an richtigem DMZ-Port mit beispielsweise OWA und

Internet -> Firewall -> LAN-Port = internes Netz

Ich verweise auf meinen Kühlschrank.

 

meine Lösung erfordert aber zugegebenermaßen eine "richtige" Firewall (also soetwas wie Netscreen, Checkpoint, Cisco PIX oder auch Astaro) mit der Möglichkeit feine Regeln je Zone zu definieren. Ein einfacher DSL-Router wäre meines Erachtens nicht unbedingt die erste Wahl.

Einverstanden. Ich arbeite ausschliesslich mit Zywalls und Lancom.

Link zu diesem Kommentar
Hallo,

 

wenn XP Home unbedingt sein muss schau mal in die letzte c´t. Dort war ein Artikel wie du aus XP Home ein Pro machst. Die Domainzugeförigkeit mit Home funktioniert im übrigen sehr wohl. Sie eine der letzten c´t-Ausgaben.

 

ja, aber dann ließ auch, was die letzte c´t zu den Unterschieden schreibt. Die haben ja nun die 2. Home-Pro - Version vorgestellt.

 

Es kann nur eine Pro geben ...

 

Pro bleibt Pro, Basta! ;)

 

Scherz beiseite. Es gibt viel wichtigere Argumente, eine solche Version nicht im Firmenumfeld zu nutzen:

1. Lizenzfrage

2. Updatefrage

3. Administration

4. zu erwartender Support

 

Im Übrigen, gibt es meines Erachtens keinen Grund, warum es XP-Home sein muss. Ist doch nur ein Abklatsch (sorry).

 

grüße

 

dippas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...