Winfo606 1 Geschrieben 22. Mai 2021 Melden Teilen Geschrieben 22. Mai 2021 Hallo liebes Forum,es ist mal wieder soweit, lange (seit 2014) hat meiner alter "Windows 2008 R2 Server" für ca. 10 Mitarbeiter beste Arbeit gemacht und hat jetzt aber ausgedient =)Jetzt wurde eine neuer gekauft: Windows Server 2019 Standard.Jetzt habe ich nur zur Sicherheit noch einmal wenige Fragen. Vielleicht könnt ihr mir einmal sagen, ob mein Gedankengang richtig ist?1) Vorher hatte ich auf dem physischen Server alles installiert: AD/User-Verwaltung, RDS-Services (10 CALS), Buchhaltungssoftware, Antiviren, BackUp-System, etc. Das hat jetzt auch über 7 Jahre wunderbar geklappt.Folgende Bedingungen sind also aktuell erfüllt und müssen vor allem mit dem neuen Server auch erfüllt sein. Bis zu 10 Mitarbeiter müssen sich lokal über die Remotedesktopverbindung auf dem Server anmelden können Bis zu 10 Mitarbeiter müssen sich über VPN über die Remotedesktopverbindung auf dem Server anmelden können Offen und neu: 1-3 Mitarbeiter sollen jetzt nur auf bestimmte Programme zugreifen können.Da bin ich mir noch nicht ganz sicher, wie das zu lösen ist. Über eine Sub-Domain und Rechtevergaben im AD?2) Der physische Server (Power Edge T340) wurde bereits geliefert und ist mit dem "Windows Server 2019 Standard" vorinstalliert.3) Meine Vorstellung wäre jetzt z.B: Auf dem physischen Server nur die Rolle Hyper V installieren, sodass ich VMs einrichten kann Mit der Windows Basislizenz dürfte ich dann 2 freie VMs erstellen Die Idee wäre zunächst: VM --> DC/AD für die Userverwaltung VM --> für die Remote Desktop Services und einzelne Programme Ist das sinnvoll, auch in Hinblick der Erweiterbarkeit und Zukunft?Meine Idee ist, dass es dann für später einfach wäre, neue VMs zu erstellen, falls kritische Systeme dazu kommen.Danke für jede Meinung und Hilfe!Gruß! Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 22. Mai 2021 Melden Teilen Geschrieben 22. Mai 2021 vor 1 Stunde schrieb Winfo606: Ist das sinnvoll, auch in Hinblick der Erweiterbarkeit und Zukunft? Es ist auch ohne Erweiterungen sinnvoll. 1 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 22. Mai 2021 Melden Teilen Geschrieben 22. Mai 2021 (bearbeitet) Mon, Ich stimme zu. Bei so wenigen Usern sind zwei VMs völlig okay, die Aufteilung, die du nennst, auch. Was die drei User mit den speziellen Anforderungen angeht: das kannst du sehr wahrscheinlich über Berechtigungen in der vorhandenen Umgebung machen. Eine Subdomain oder sonstige Aufteilung wird nicht nötig sein. Für genauere Hinweise müsstest du genauer beschreiben, was die drei User denn nun können sollen. Vor allem: sollen nur die drei auf bestimmte Anwendungen zugreifen können (niemand sonst) - oder sollen die drei nur auf diese wenigen Programme zugreifen können (und auf keine anderen)? Gruß, Nils bearbeitet 22. Mai 2021 von NilsK 1 Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 22. Mai 2021 Melden Teilen Geschrieben 22. Mai 2021 (bearbeitet) vor 2 Stunden schrieb Winfo606: Bis zu 10 Mitarbeiter müssen sich über VPN über die Remotedesktopverbindung auf dem Server anmelden können Hast Du eine Hardware basierte UTM Firewall im Einsatz oder geplant? RRAS von Windows auf dem gleichen Server würde ich nicht empfehlen. Und gleich IPv6 mit einrichten. Sowohl für das LAN / Server / Clients als auch für die VPN Verbindung. Wir hatten Probleme mit IPv4 VPN (IKEv2) Verbindungen über Dual Stack Lite Anschlüsse - ständige Verbindungsabbrüche. Seitdem wir neben IPv4 auch eine IPv6 VPN Verbindung eingerichtet haben funktionieren die VPN Verbindungen ohne Probleme - unabhängig vom Internet Provider. bearbeitet 22. Mai 2021 von winmadness Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 23. Mai 2021 Melden Teilen Geschrieben 23. Mai 2021 Nur am Rand . . . welche HW hast Du genau und wie sieht das Backup und die USV aus? Zitieren Link zu diesem Kommentar
Winfo606 1 Geschrieben 25. Mai 2021 Autor Melden Teilen Geschrieben 25. Mai 2021 (bearbeitet) Vielen Dank für die ganzen Antworten! Ich werde mich da die Woche jetzt Stück für Stück daran machen und auf die jeweiligen Anmerkungen eingehen. EDIT: HW: PowerEdge T340 Server, MLK Motherboard, Intel Xeon E-2236 4.4GhZ, 12M cache 6C/12T, turbo (80W) 2 * 16GB 2666MT/s DDR4 ECC UDIMM 2 * 480GB SSD SATA Read Intensive 6Gbps 512 2.5in Hot-plug AG Drive,3.5in HYB CARR AG 2 * 1TB 7,2K 1/min SATA 6Gbit/s 512n 3,5 Zoll Hot-Plug Festplatte Windows Server 2019 Standard, 16 Kerne, Digital umgesetztes Datenträger-Kit, Mehrsprachig USV und BackUp-Lösung ist noch nicht fix. bearbeitet 25. Mai 2021 von Winfo606 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 25. Mai 2021 Melden Teilen Geschrieben 25. Mai 2021 Moin, mit der Maschine kann man sicher anfangen, aber viel zusätzliche Last wird da nicht draufpassen. Wenn kein großes Wachstum geplant ist, sollte das aber erst mal gehen. Die SSDs sind Server-SSDs? Oder lässt "read intensive" auf Consumerware schließen? Gruß, Nils Zitieren Link zu diesem Kommentar
Winfo606 1 Geschrieben 25. Mai 2021 Autor Melden Teilen Geschrieben 25. Mai 2021 Moin, Danke! Ja, das sind SSDs für Server, die von Dell für den Anwendungszweck zusammengestellt wurden. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 25. Mai 2021 Melden Teilen Geschrieben 25. Mai 2021 vor 11 Stunden schrieb NilsK: Moin, mit der Maschine kann man sicher anfangen, aber viel zusätzliche Last wird da nicht draufpassen. Wenn kein großes Wachstum geplant ist, sollte das aber erst mal gehen. Die SSDs sind Server-SSDs? Oder lässt "read intensive" auf Consumerware schließen? Gruß, Nils Bei Server-SSDs wird in read intensive, mixed use und write intensive unterschieden. Der Unterschied liegt meist bei der Anbindung (6 Gbit - 12 Gbit) und der garantierten Haltbarkeit (Schreibrate / Tag). https://helpdesk.managedhosting.de/index.php?/Knowledgebase/Article/View/138/10/ssd-typen 1 Zitieren Link zu diesem Kommentar
Winfo606 1 Geschrieben 3. Juni 2021 Autor Melden Teilen Geschrieben 3. Juni 2021 Am 22.5.2021 um 14:23 schrieb winmadness: Hast Du eine Hardware basierte UTM Firewall im Einsatz oder geplant? RRAS von Windows auf dem gleichen Server würde ich nicht empfehlen. Und gleich IPv6 mit einrichten. Sowohl für das LAN / Server / Clients als auch für die VPN Verbindung. Wir hatten Probleme mit IPv4 VPN (IKEv2) Verbindungen über Dual Stack Lite Anschlüsse - ständige Verbindungsabbrüche. Seitdem wir neben IPv4 auch eine IPv6 VPN Verbindung eingerichtet haben funktionieren die VPN Verbindungen ohne Probleme - unabhängig vom Internet Provider. Hallo winmadness, jetzt bin ich quasi an deinen Punkt angekommen =) Kleiner Zwischenstatus, wie es jetzt bei mir aussieht: Mein physischer Server hat jetzt nur Hyper V. Dort sind 2 VMs angelegt, eine mit dem AD und eine mit RDS. Die beiden VMs sind jetzt in einer Domäne und sind über einen konfigurierten DNS auch internetfähig. Außerdem habe ich zum Test schon mal 4 User angelegt, die sich dann im internen Netz auch via Remotedesktopverbindung anmelden können. Jetzt möchte ich zunächst die einfachste Lösung mit dem RAS von Windows einrichten, bevor ggf. professionellere VPN-Lösung zum Einsatz kommen. Konfiguriere ich die RAS-Verbindung jetzt zum physischen Server oder dann direkt zur VM mit dem RDS, da diese ja nur in einer Domäne sind? Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 3. Juni 2021 Melden Teilen Geschrieben 3. Juni 2021 Hi, aus deinem anderen Thread https://www.mcseboard.de/topic/220119-probleme-bei-konfiguration-server-mit-hyper-v-2-vms könnte man davon ausgehen, das dein Gateway eine Fritzbox ist. Wenn das so ist, würde ich das FritzVPN vorziehen, bevor ich RAS auf einem DC oder RDS einrichte. Gruß chrismue Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 3. Juni 2021 Melden Teilen Geschrieben 3. Juni 2021 vor 29 Minuten schrieb Winfo606: Jetzt möchte ich zunächst die einfachste Lösung mit dem RAS von Windows einrichten, bevor ggf. professionellere VPN-Lösung zum Einsatz kommen Schlecht, schlecht schlecht. Dann nimm lieber die fritzbox davor. Am sinnvollsten aber eine vernünftige Lösung für VPN. Rras ist in deinem Fall in jedem Fall (dc schlecht, rds schlecht hyper-v schlecht) schlecht. ;) Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 3. Juni 2021 Melden Teilen Geschrieben 3. Juni 2021 (bearbeitet) vor 41 Minuten schrieb Winfo606: Konfiguriere ich die RAS-Verbindung jetzt zum physischen Server oder dann direkt zur VM mit dem RDS, da diese ja nur in einer Domäne sind? Je nachdem wie experimentierfreudig Du bist kannst Du auch gleich die Open Source UTM OPNSense als VM installieren (besser und sichrerer natürlich als Hardware UTM). Diese bietet eine Stateful Firewall und mehrere Optionen als VPN Server (IPsec mit IKEv2 und Windows 10 eigener VPN Client, OpenVPN, Wireguard). Ausserdem eine gute Unterstützung durch das eigene Forum (auch deutschsprachig). bearbeitet 3. Juni 2021 von winmadness Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 3. Juni 2021 Melden Teilen Geschrieben 3. Juni 2021 (bearbeitet) Dann kann er auch Sophos utm nehmen, die gibts auch gratis und kann das afaik auch. https://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-firewall.aspx und da muss man auch weniger experimentieren. ;) bearbeitet 3. Juni 2021 von NorbertFe Zitieren Link zu diesem Kommentar
Winfo606 1 Geschrieben 3. Juni 2021 Autor Melden Teilen Geschrieben 3. Juni 2021 vor 2 Stunden schrieb NorbertFe: Schlecht, schlecht schlecht. Dann nimm lieber die fritzbox davor. Am sinnvollsten aber eine vernünftige Lösung für VPN. Rras ist in deinem Fall in jedem Fall (dc schlecht, rds schlecht hyper-v schlecht) schlecht. ;) Nicht nur du, auch die anderen schreiben, dass die Fritzbox ggü RAS zu bevorzugen ist. Aber nochmal zum Verständnis, wieso ist RAS auf allen drei Ebenen (Ad, rds, etc.) schlecht? :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.