Netzwerkaufbau

[skyacer 10]

Hi,

 

mich beschäftigt gerade folgende Frage.

 

und zwar welches Netzwerk wäre besser bzw welche Vor und Nachteile hätten folgende Aufbauten:

 

Netz A:

Alle Clients, Server und Endgeräte sind an einem Router angeschlossen,

DNS, DHCP sowie AD laufen auf dem Server.

 

Netz B:

Alle Clients und Endgeräte sind auf einer zweiten Netzwerkkarte am Server angeschlossen und der Server wiederrum direkt am Router.

 

Ich hoffe ihr könnt mir gute Ratschläge geben.

 

Grüße Sky

[nawas 32]

Natürlich B

Da du auf dem W2k8 noch mal eine Firewall gegebenen falls auch eine Antivirensoftware dazwischen hast. (bessere Kontrolle der User/Clients im bezug auf z.B. freigegebene Internetseiten,...)

 

Vorteil von A wäre weniger last auf dem Server

 

Oder kannst du evtl. auch einen managementbaren Switch vorm Router schalten ??

[djmaker 95]

Das hängt wie immer von der Umgebung und den Anforderungen ab.

 

Schreibe doch einmal was Du genau erreichen willst.

[lefg 276]

Du hast die dritte Möglichkeit wohl nicht erkannt, bei der gibt es einen Internetrouter, einen Switch oder mehrere, einen Server mit den gewünschten Funktionen und eben die Clients, das alles ganz schnörkellos in einem Netz mit einem IP-Bereich.

 

Vor-, Nachteile, ich halte sowas für Malerei in schwarzweis.

 

Am Server zu routen zwischen den Interfaces oder zu bridgen, ich konstruiere da keine Vor-/Nachteile.

 

Und falls der Internetrouter für den Hausgebrauch oder das Smalloffice einen Switch enthält, was solls, in der Betrachtung sind Routing und Switching verschiedene Funktionen; sollte da auch noch VLAN möglich sein, sehr schön, eine Funktion auf dem Swtch, die internen Interfaces zwischen Router und Switch natürlich auch zu taggen.

[skyacer 10]

Also derzeit sieht unsere Netzstruktur halt so aus das Router-Server-Switch und da dann alle Endgeräte dran.

 

Auf dem Server laufen derzeit DHCP, DNS, AD, Druckserver, RRAS und VPN und unser WaWi.

 

Angedacht war es halt das wir uns jetzt einen zweiten Server holen um Redudanz zu schaffen.

Nachteil bei der jetzigen Konfiguration ist es halt das sollte der erste Server nicht laufen das kein Client mehr aufs Internet zugreifen kann.

 

DNS und DHCP sollen auf jedenfall die Server bereistellen.

[lefg 276]

Nun, der von dir beschriebene Aufbau scheint weit verbreitet, ist ja grundsätzlich nicht schlecht, -auch nicht gut. Und falls der Server ausgefallen, was sollen die Clients denn noch im Internet? Ich frage das mal provokativ, es gibt natürlich Antworten darauf, jedem die seine.

 

Grundsätzlich ziehe ich den von mir in meinem ersten Post beschriebenen Aufbau vor, das ist möglicherweise Gewohnheit aus den Zeiten ohne Internet(router), das/der kam später dann dazu als Einzelgerät, ein PC mit Linux drauf an ISDN, DSL gab es in der Pampa damals nicht. Auch hatten die Server früher nur ein Interface OB oder keines, musste sogar dies extra einbauen.

 

Ich habe auf einigen Servern Bridges konfiguriert für die Benutzung des Wireshark, bei Bedarf schleife den Server ein zwischen den Router und dem Rest des Netzes.

[skyacer 10]

Hmm also würdest du eher dazu raten alle Geräte an den Internetrouter zu hängen aber die Verwaltung den Servern überlassen?

 

Wie sieht es da eigentlich mit der Sicherheit aus?

[lefg 276]

Ich rate grundsätzlich zu nichts.

 

Falls jemand meint, in dem jetzt von dir benutzten Aufbau sei mehr Sicherheit als bei einer anderen, dann möge er das mal glaubhaft erklären. :)

 

Sicherheit für die Rechner des Netzwerkes beginnt mit der Firewall des Internetrouters, manche hängen da eine eine extra Firewall dran, zwischen (SonicWall, IpCop), was taugen muss das und richtig konfiguriert sein, die Firewall auch tatsächlich aktiviert, Achtung falls man Ports aufmacht, Ausnahmen konfiguriert.

 

Dann gibt es die Firewalls auf dem Server und den Clients, man kann die einzeln konfigurieren oder per Gruppenrichtlinie der Domäne, auch hier gilt Achtung bei Öffnungen, bei Ausnahmen.

 

So mancher hat zu später Stunde alle Gatter aufgemacht, die Scheunentore, die Outlaws kamen vorbei.

[Dukel 454]

Werden Daten nur aus dem Internet angefordert oder gibt es z.B. VPN / Remote Zugänge, Portweiterleitungen (Http, Mail,...)?

 

Wenn nein, dann sollte ein Router ausreichen.

 

Wenn ja sollte eine richtige Firewall dazwischen. Ich würde ungern einen DC Firewall und Proxy spielen lassen.

[skyacer 10]

Also Firewall auf dem Router ist aktiviert. Vpn läuft derzeit über den Server soll aber wenn ich umbaue auf dem Router laufen.

 

Remotezugang über VPN ist nur für die Administration des Servers gedacht.

Ansonsten ist halt nur normale Nutzung des Internets für surfen, Email und das Wawi in Verbindung mit einem Onlineshop.

 

Ihr redet immer von einer guten Firewall. Wo fängt gut den an. Würde die Firewall eines Draytek-Routers ausreichen? Wollen uns demnächst einen anschaffen wegen Dual-Wan.

 

Grüße

[lefg 276]

....Wenn ja sollte eine richtige Firewall dazwischen. Ich würde ungern einen DC Firewall und Proxy spielen lassen.

 

Sowas lese ich immer wieder.

 

Warum nicht, was ist gegen eine Firewall auf einem DC einzuwenden? Wo ist das logische Argument dagegen, nachvollziehbar?