Zitat:
Fette Konfiguration, werden wir mal vorschlagen, oder hab ich da was falsch verstanden?
Nein. Alles richtig.
Du kannst die Branchoffices über VPN mit dem Hauptstandort verbinden und jede weitere Kommunikation mit extern verwähren. Den Internetzugriff kannst du dann z.B. über einen zentralen Proxy und/oder über eine Firewall mit gateway-basierten Virenscan machen.
Über die Routen / Encryption Rules in den Firewalls kannst du festlegen, ob eine Zweigstelle nur Verbindung zur Niederlassung bekommt, oder z.B. auch Ressourcen aus einem benachbarten Standort verwenden kann.
Jetzt kannst du dir noch überlegen, ob du wirklich ein zentrales Active Directory brauchst. Der Replikationsverkehr hält sich zwar im Rahmen, aber wenn man später ADS integrierte Features wie z.B. DFS nutzen möchte dann surrt der Traffic-Zähler beim ISP.
Wir haben das individuell gelöst.
Beispiel:
Die Niederlassungen Hamburg und Kiel wurden verwaltungstechnisch zusammengelegt. Diese haben wir aus Subdomänen in das ADS gehängt und entsprechende Vertrauensstellungen eingerichtet, so das die Benutzer Ressourcen aus beiden Standorten nutzen können. Über DFS werden die Profilordner der "mobilen" User zwischen den Standorten repliziert, so das diese überall ihren gewohnten Desktop haben.
Bei anderen Standorten, die weit vom Schuss sind (z.B. Leer) ist es eher unwarscheinlich, das ein User in einen anderen Standort fährt um sich dort anzumenden. Diese Standorte haben eine eigene ADS-Root.
IP basiere Dienste (Citrix, Lotus Notes usw.) funktionieren ja auch ohne Windows Anmeldung.
Wenn Leer irgendwann mal mit z.B. auf Ressorcen in Bremen zugreifen muss, dann wird das Active-Directory in Leer verworfen und als Subdomain im "großen ADS" neu aufgesetzt.
Diese Variante spart viel unnötigen Replikationsverkehr.
[PS]
Das einzige Problem, was wir bisher noch nicht immer im Griff haben, ist die Disziplin der Mitarbeiter.
Das VPN ist sicher. Leider können wir nicht bei allen User des PC restrktiv dicht machen. Wir Techniker müssen in der Lage sein, flink VPN oder DFÜ Verbindungen anzulegen. Laut interner IT-Richtlinie muss vor dem DFÜ-Verbindungsaufbau die LAN-Verbindung getrennt werden, damit nienamd über die unsichere Verbindung in unser Netz kommen kann. Schätzungsweise halten sich nur 20% der Techniker an diese Vorgabe.
Irgendwann wird sich jemand mit seinem Notebook einen Trojaner einfangen und in der Firma eine DFÜ Verbindung ins Internet aufbauen ... Dann bleibt nur noch zu hoffen, das unsere Antivirus-Lösung Stand hält ...
[/PS]
Schöne Grüße,
Jens
