Welche Serverdienste auf welchen Server / wieviele Server

[thomas.taubinge 10]

Hallo.

 

Ich weiß, dass schon viel über das Thema diskutiert wurde, wie ein Netzwerk in einer Firma aufgebaut werden sollte. Ich möchte hier mal eure Meinung über die Aufteilung der Dienste auf die einzelnen Server erfragen.

 

Die folgenden Angaben beziehen sich im konkreten Fall auf ein KMU mit ca. 180 Clienten, die auf die Zentrale und 8 Standorte aufgeteilt sind.

 

Wie seitens Geschäftsführung fast immer vorgegeben soll möglichst alles redundant (oder zumindest jeder mögliche Ausfall innerhalb weniger Stunden behoben) sein und so wenig als möglich kosten.

 

Dienste, die auf die Server aufzuteilen sind (alle Server stehen in der Zentrale):

 

AD inkl. DNS

DHCP

ExChange inkl. SPAM-Filter und Virusprüfung

Fileserver

WSUS

FireWall inkl. VPN-Zugänge

Proxy-Server

Sicherung

Virus

externer FTP-Server

 

Mein Lösungsansatz:

 

DCs auf den Standorten machen nicht wirklich sinn, da bei einem Standleitungsausfall sowieso nicht auf unseren wichtigsten Server (AS400) zugegriffen werden kann.

 

DC1 (besteht) mit W2k3R1, AD, alle FSMO-Rollen (Master), DNS (AD-integriert) ohne Forward zum Provider (Clients sollen ja über Proxy surfen), DHCP (Clients über Reservierungen), WSUS (ohne Ausfallskonzept), Printserver (über virtuellen DNS-Eintrag) und FileShares zu Sicherungszwecken + vielleicht einmal Intranet (über virtuellen DNS-Eintrag)

 

DC2 (besteht) mit W2k3R2, AD, GC, DNS (AD-integriert), DHCP (Spiegelung vom DC1), DFS und ExChange 2003

 

Server3 (in Planung) mit W2k3R2, DFS, Printserver (über virtuellen DNS-Eintrag), Virusserver (über virtuellen DNS-Eintrag) und Reserve für weitere Serverdienste + villeicht einmal Intranet-Backup (über virtuellen DNS-Eintrag)

 

Proxyserver (besteht): alter P3 500 mit Linux und Squid-Proxy-Dienst (reicht aus, da nicht viel gesurft wird)

 

Sicherungsmaschine ist ein Rechner der EDV-Abteilung mit einer großen, freigegeben HDD, auf den alle Server mittels NTBackup draufsichern ("Der PC hat ja nachts sonst nichts zu tun")

 

FTP-Server (geplant): Standard-PC mit FTP-Serverprogramm in DMZ

 

 

Einstellungen für ExChange: interne und offizielle Domäne sind gleich, daher würde ich den offiziellen MX-Eintrag auf den Provider zeigen lassen, der dann nach einer Virusprüfung auf unseren ExChange direkt über die feste offizielle IP forwarded (incoming SMTP-Traffic auf der Firewall dabei natürlich auf die IP des SMTP-Relay-Hosts vom Provider beschränken)

Bezüglich SPAM steht es mir noch bevor, mich mit den eingebauten Möglichkeiten von ExChange 2003 zu beschäftigen)

 

Einstellungen Firewall: 3 Nics (1 x XDSL zum Provider, 1 x DMZ, 1 x internes Netz)

Traffic: intern zu extern via NAT, intern zu DMZ allowed, DMZ zu extern via NAT, extern zu intern nur SMTP (siehe Einstellungen für ExChange), extern zu DMZ FTP und seitens Geschäftsführung soll hier auch noch ein Server mit unseren offiziellen HP reinkommen, wobei ich hiervon nur abraten kann (siehe unzählige andere Beiträge)

 

 

Meiner Meinung nach sollten somit alle wichtigen Dienste (bis auf ExChange) redundant laufen.

 

Wenn erwünscht, kann ich euch zur Sicherung per NTBackup mein Konzept mitsamt Batchdatei inkl. E-Mail-Benachrichtigung zur Verfügung stellen.

 

Was sind eure Meinungen zu meinem Lösungsansatz bzw. wo kann man etwas verbessern?