blackserver 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Hallo, folgendes Szenario: Standort 1 (10.0.0.0/8): Windows Small Business Server 2003 Premium Edition (AD,DNS,DHCP,ISA,WINS,Exchange) 3 x Windows 2000 Clients 1 x Windows Xp Client Standort 2 (192.168.0.0/24): 1 x Cisco PIX 501 als Firewall/Router 1 x Windows 2000 Client 2 x Windows XP Client ------------------------------------------------------------------------------------------------------ Der SBS 2003 Server hat 2 Netzwerkkarten, 1. Netzerkkarte: 85.x.x.x/255.255.255.240 - 2. Netzwerkkarte: 10.x.x.x/255.0.0.0, Die Clients von Standort 1 sollen die Freigaben der Clients in Standort 2 erreichen können, die Clients von Standort 2 sollen die Serverfreigaben und die Freigaben auf den Clients in Standort 1 erreichen können. Realisieren möchte ich dies über den VPN Server von SBS 2003. Der VPN Server von SBS 2003 sollte eine ständige Verbindung zur PIX in Standort 2 halten und den Clients per DHCP IP Adresse aus dem Bereich 192.168.0.0/24 zuteilen. Wäre dieses Szenario möglich, läuft es stabil? Gibt es bessere Möglichkeiten der Standortvernetzung, ohne einen eigenen Server in Standort 2 einzusetzen. Vielen Dank für euere Hilfe, blackserver Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Zunächst mal: Möchtest du wirklich das 10.x/8 Netzwerk für die zentrale verbraten? Teile doch das Netz in der Hauptniederlassung auf wenigestens 16 bit und tu dir selbst den Gefallen dem 2. Standort auch mit einer 10.x Adresse zu versehen. Vorschlag: Zentrale 10.1.0.0/16 Niederlassung 10.2.0.0/16 Ob und wie du zwischen dem Windows Rechner und der Cisco FW ein VPN basteln kannst weis ich nicht, aber ich würde dringend davon abraten. Damit würde dein Windows Server der noch dazu DC ist direkt im Internet stehen. Für so kleine Umgebungen gibt es sehr kostengünste Workgroup DSL fähige VPN Router wie z.B. der Cisco 800. Mit der entsprechenden FW Software (Gesamtkosten Router und FW / VPN Software ca. 500 Euro pro Gerät) kannst du ein sicheres kostengünstiges VPN aufbauen. Es gibt sogar noch billigere Router wie z.B. den Netgear FVS 318 oder FVL 328. Denkbar wäre du bringst die PIX FW in die Zentrale und den Cisco 800 oder was auch immer in die Niederlassung. Im Windows AD ist das gewünschte Design gar kein Problem. Du erzeugst 2 sites mit den entsprechenden Subnetzen. DHCP kannst du dann entweder am Cisco mitlaufen lassen oder aber du musst den Cisco als DHCP Helper, in der Windows Sprache DHCP Proxy, laufen lassen. Man kann am Cisco die IP Adresse des "echten" DHCP eintragen. Der Cisco leitet dann die DHCP broadcasts an den DHCP Server weiter und Windows teilt dann, sofern der Scope für das zweite Netzwerk vorhanden ist, dem DHCP Helper die IP Adresse mit die dann wiederrum an den DHCP Client weitergereicht wird. Ich würde den "echten" DHCP auf dem Cisco anschalten. DNS usw. ist gar kein Thema über VPN. WINS brauchst du eigentlich nicht weil du keine prä W2K Clients hast. ISA kannst du dir dann im vorgeschlagenen Design komplett sparen, kostet ja auch, weil es von den Hardware FW's erledigt werden würde. Zitieren Link zu diesem Kommentar
blackserver 10 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Hallo Hirgelzwift, danke für die schnelle Antwort, ISA ist in der Premiumversionen von SBS2003 schon enthalten und die PIX ist auch schon vor Ort, würde es also gerne mit diesen Produkten versuchen wenn es möglich ist. IP Adressen werde ich ändern, danke (Zentrale 10.1.0.0/16 - Niederlassung 10.2.0.0/16), ich hatte 192.168.0.0/24 und 10.0.0.0/8 gewählt, da ich dachte das die VPN nur mit den unterschiedlichen Subnetzen funktioniert. Wie ist das mit den 2 sites mit entsprechenden Subnetzen gemeint? Wo kann ich das einstellen? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 AD Standorte und Dienste, ein bisschen musst du schon selber machen :D ;) Dennoch würde ich das VPN vom Server loslösen, sonst könnte es passieren das wenn jemand es schaffen sollte den ISA zu umgehen das er dann gleich auf dem Server ist auf dem alles liegt. Die FVS318, die reicht dicke für 2 Standorte, hab ich gerade für 85 € neu im e-bay gesehen. Das sollte die zusätzliche Sicherheit wert sein. Die müsste sogar mit der PIX zusammen ein VPN aufbauen können. PIX wäre dann meiner Meinung nach Zentrale, Netgear Niederlassung. Die können dann auch über die Box gleich ins Internet. Ein Subnetz ist übrigens immer so groß wie die Subnetzmaske. Ich will jetzt hier nicht anfangen 0 und 1 zu malen um das auszuführen aber grob gesagt 10.1.0.0/16 und 10.2.0.0/16 sind zwei Subnetzte. /8 vergleicht ob das 1. Oktet übereinstimmt /16 ob das 2. Oktet übereinstimmt. Da also /16 bis zum 2. Oktet vergleicht und diese dann nicht übereinstimmen 1 ist ja nicht 2 sind es also verschiedene Subnetze! Klar? Oder muss ich jetzt wirklich noch 0 und 1 malen und erklären was die Netzwerk und was die Hostadressen sind? :D :suspect: edit: leider habe ich mit ISA noch keine Erfahrung aber evtl. kannst du sie ja als 2. Stufe mitlaufen lassen. Dann halt mit privater Adresse, das müsste gehen. Dann kannst du meiner Meinung nach alle Ports die nicht über das VPN kommen zumachen und nur outbound erlauben. Zitieren Link zu diesem Kommentar
blackserver 10 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 AD Standorte und Dienste Neue Site (Niederlassung) angelegt, 2 Subnetze angelegt - 10.1.0.0/16 Zentrale zugeordnet, 10.2.0.0/16 Niederlassung zugeordnet. Site Niederlassung: Servercontainer - leer Licensing Site Settings - nicht ausgefüllt NTDS Site Settings - nicht ausgefüllt. Muss ich am DNS oder WINS Server noch etwas ändern? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Kommt darauf an. DNS muss am Server installiert sein. Server zeigt auf sich selbst in Bezug auf DNS Server. WINS kannst du wie gesagt weglassen, brauchst du nicht. Hast du DCPROMO schon gemacht? Anmerkung: Ich kenn mich leider am SBS nicht so gut aus ob evtl. bestimmte Dinge wie Exchange usw. vor dcpromo installiert werden müssen. Das war aber nicht die urprüngliche Frage. Zitieren Link zu diesem Kommentar
blackserver 10 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Server ist bereits PDC, DNS läuft auch bereits, es waren also ledichlich folgende Einstellungen zu ändern: Neue Site (Niederlassung) angelegt, 2 Subnetze angelegt - 10.1.0.0/16 Zentrale zugeordnet, 10.2.0.0/16 Niederlassung zugeordnet. Site Niederlassung: Servercontainer - leer Licensing Site Settings - nicht ausgefüllt NTDS Site Settings - nicht ausgefüllt. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 und nun deine frage? Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 nochwas zu wins (ich weiß es ist ein umstrittenes thema *g*) Kein WINS-ServerSowohl Exchange 2000 als auch Exchange 2003 benötigen beide eine funktionierende NetBIOS-Namensauflösung. Wenn Sie daher im Vertrauten auf die Werbung und irreführende Versprechen auf die Installation und die Konfiguration eines WINS-Servers verzichtet haben, dann kann dies die Funktion von Exchange beeinflussen. Ohne WINS werden kurze Namen per Broadcast aufgelöst, was zum einen für eine höhere Netzwerklast und langsamere Namensauflösung sorgt und speziell bei Weitverkehrsnetzwerken mit Routern meist nicht funktioniert. Sie auch Namensauflösung im LAN und Internet. 837391 Exchange Server 2003 and Exchange 2000 Server require NetBIOS name resolution for full functionality 294222 Recipient Update Service does not process users in remote Windows 2000 Domains Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.