TobiasNYSE 10 Geschrieben 6. März 2014 Melden Teilen Geschrieben 6. März 2014 (bearbeitet) Entschuldigung für die deutlichen Worte, aber Deine Aussagen sind absoluter BS. NPS ist ein Richtlinien Dienst und hat nichts mit dem genutzen VPN Protokoll zu tun Jedes System mit Internet-Anbindung ist ein potentielles Ziel - unabhängig von der Unternehmensgröße. Bei einem schlecht konfigurierten Hosterserver, wie ihn der TO betreibt oder betreiben will, ist es keine Frage ob, sondern nur wann er kompromittiert wird und fortan als C&C, Contenthost für fragwürdige Inhalte, Jumpbox etc. dient. Alter, ich falle ja hier gleich von Hocker... da ja hier vielleicht noch andere mitlesen und nicht komplett verbl0edet werden sollten: zu 1. Eine PPTP VPN Verbindung richtet man seit SRV 2k8 natürlich über NPS ein: http://technet.microsoft.com/de-de/library/ff687676(v=ws.10).aspx zu 2. Dieser Binsenweisheit stimme ich natürlich zu, aber wo liegt hier das Argument pro/contra ob MS-CHAPv2/PPTP nun ausreichent Sicherheit bietet? zu 3. Einen dritten punkt sehe ich eigentlich nicht höchstens 2.1. Richtig, das währen u.a. die folgen wenn die hiesige Sicherheitslösung überwunden wird, aber auch hier, was hat das mit dem spezifischen Sicherheitsprofil von PPTP zu tun? Ich würde ja hier gerne noch etwas schreiben um meiner Fassungslosigkeit Ausdruck zu verleihen... in der Tat, deutliche Worte bzgl. seiner selbst :jau: bearbeitet 6. März 2014 von TobiasNYSE Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 6. März 2014 Melden Teilen Geschrieben 6. März 2014 Du empfielst oder implementierst tatsächlich noch Lösungen, die seit Jahren als unsicher gelten? NPS mag Teil des Setups sein. Die Schwachstelle liegt aber beim DES und damit hat der NPS herzlich wenig zu tun. Zitieren Link zu diesem Kommentar
EUNES 0 Geschrieben 5. April 2014 Autor Melden Teilen Geschrieben 5. April 2014 Hallo zusammen, sorry, dass ich mich erst jetzt wieder melde. Habe Eure Threads erstmal verdauen müssen und war dann erstmal weg vom Fenster. ;-) Spass beiseite. Die Vorschläge mit der Firewall leuchten mir absolut ein. Also würde ich ne Firewall bestellen. Allerdings hab ich davon noch herzlich weniger Ahnung, als von der anderen Geschichte. Ich denk mal, dass die Einstellungen in der Firewall erklärend sind und ich damit dann auch schon zurecht kommen werde, aber habt Ihr hier vielleicht ein paar Modelle, die jetzt nicht gleich n Budget von max. 300 Euro sprengen und trotzdem noch per VPN nen guten Datendurchsatz liefern? @Docdata: Ich schau mir grad mal die Geschichte mit dem DirectAccess an. Find ich gar net verkehrt. Wie sind denn hier Eure Erfahrungswerte? Einrichten, verwalten, etc.?? Hab Ihr hier vielleicht n paar gute Tutorials?? Muss gestehen, bin grad erst am suche und hab einen auf tecchannel.de gefunden. Der klingt schon mal einleuchtend: http://www.tecchannel.de/server/windows/2024296/microsoft_vpn_directaccess_mit_windows_server_2008_r2/ Hierzu noch die Frage? Ist es prinzipiell machbar, alles auf einer Kiste laufen zu lassen, also DC mit allen Komponenten für DirectAccess und der Software, oder ist davon eher abzuraten? Mit der Verteilung der einzelnen Rollen kenn ich mich leider noch nicht aus, arbeite aber grad das Buch hier durch: http://openbook.galileocomputing.de/windows_server_2008/index.htm#_top MfG Dominik Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. April 2014 Melden Teilen Geschrieben 5. April 2014 Direct Access dürfte wohl ausfallen, da du dafür entweder windows 7 Ultimate oder Enterprise oder windows 8 Enterprise mit Sa benötigst. Das dürfte den Rahmen von 300€ problemlos sprengen. Erfahrungsgemäß ist das arbeiten mit Direct Access aber sehr angenehm und problemfrei. Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 5. April 2014 Melden Teilen Geschrieben 5. April 2014 bei 2 identischen Hardwaren wäre es eine Überlegung wert ob man nicht eine Virtualisierung und darauf aufbauend eine Hochverfügbarkeitslösung aufsetzt. 300 Euro sind dann allerdings bestenfalls die Planungskosten für das Systemhaus, das dir die Lösung aufsetzt. bei der Verbindung der Clients ist mir nicht klar, ob sich alle Clients am selben Standort befinden ? Wenn ja würde ich eine Site-to-Site VPN aufsetzen, allerdings nicht mit PPTP sondern IPSEC Wenn nein dann Client-to-Site VPN ebenfalls in IPSEC Bei IPSEC kannst du dir dann noch Aussuchen ob Preshard-Key oder Zertifikat Zitieren Link zu diesem Kommentar
EUNES 0 Geschrieben 5. April 2014 Autor Melden Teilen Geschrieben 5. April 2014 (bearbeitet) Super. Schonmal danke für die Antworten. Also Aufrüsten auf Windows Ultimate, bzw. eine Version, die DA unterstützt sollte nicht das Problem sein, da es sich hierbei um max. 4 Rechner handelt. (wg. der Kosten) @h-d.neuenfeldt: Die Clients befinden sich nicht am selben Standort. Diese sind über Deutschland verteilt, die Server stehen im RZ mit 11 IP-Adressen. Client-to-Site-VPN mit IPSEC und Preshard-Key klingt perfekt. Evtl. ein Tutorial zur Hand, oder entsprechende Hardware?? ;-) Um die Fragen nach 2-mal Server aus der Welt zu schaffen. Einer soll in Zukunft als vollwertiger Backup-Server fungieren. LG :edit: Eine andere Alternative, die mir einfällt, wäre RDP, dann müssen die User halt direkt aufm Server arbeiten. Meinungen hierzu? bearbeitet 5. April 2014 von EUNES Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 5. April 2014 Melden Teilen Geschrieben 5. April 2014 Bei Win7-Clients geht das recht einfach mit den üblichen Boardmitteln .... neue Netzwerkverbindung --> Verbindung mit Arbeitsplatz --> usw. da du in deinem System zwingend eine Firewall vorschalten solltest, kann es aber einfacher sein den zur Firewall gehörenden Client zu nehmen ... Zitieren Link zu diesem Kommentar
EUNES 0 Geschrieben 9. April 2014 Autor Melden Teilen Geschrieben 9. April 2014 OK. Klingt soweit einleuchtend. Ich verbinde mich dann hier praktisch mit der Firewall, die den Traffic dann durchschleust.. Seh ich das richtig? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. April 2014 Melden Teilen Geschrieben 10. April 2014 Moin, Also Aufrüsten auf Windows Ultimate, bzw. eine Version, die DA unterstützt sollte nicht das Problem sein, da es sich hierbei um max. 4 Rechner handelt. (wg. der Kosten) Das ist gut. Dann würde ich ersthaft über Direct Access nachdenken.In den Test Lab Guides findet sich ein kleines Demo-Szenario: http://social.technet.microsoft.com/wiki/contents/articles/1262.test-lab-guides.aspx :edit: Eine andere Alternative, die mir einfällt, wäre RDP, dann müssen die User halt direkt aufm Server arbeiten. Meinungen hierzu? RDS ist mein bevorzugter Weg. Da müssen keine Daten das Netzwerkwerk verlassen und die Clients sind im Prinzip beliebig. Von Thin Client bis Home Office ist nahezu alles mit überschaubarem Aufwand realisierbar, wenn die zentrale Infrastruktur steht. RDS Labs gibt es auch in den TLG Client-to-Site-VPN mit IPSEC und Preshard-Key klingt perfekt. PSK ist nicht 'perfekt' sondern nur einfach. Viele PSK können ohne großen Aufwand am Client ausgelesen werden. Ein durchgesickerter PSK bedeutet, dass alle Teilnehmer einen neuen Schlüssel bekommen müssen. Zertifikate verlangen mehr Aufwand bei der Planung und Implementierung, bieten dafür mehr Sicherheit und sind im Betrieb deutlich einfacher zu handhaben. Zitieren Link zu diesem Kommentar
EUNES 0 Geschrieben 11. April 2014 Autor Melden Teilen Geschrieben 11. April 2014 Servus, und fettes Danke! Ich werd vorerst mal bei der Lösung mit RDS bleiben. Dann kann ich mir das gleich mal aneignen.. ;-) Mit zentraler Infrastruktur meinst Du nen laufenden DC, oder? LG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.