Hallo Netzwerk-Gurus (ich bin nämlich keiner),

Wir haben unser schönes System zur Erfassung von Produktionsdaten jeglicher Art:
-manuelle Eingaben an PC in der Fertigung
-Datenübertragung von Maschinenwerten per LAN
-Accesspoints für PDA Eingabe
etc.


Alles läuft in einer eigenen Domäne, hübsch abgeschottet von der Außenwelt: Nur ein Gateway mit Firewall und 2 offenen Ports. Einer für Remote Control, einer für den Borland Socket-Server, damit man auch von außen an die Daten (per Middle Tier) rankommt. Keine der Workstations benötigt Email, Internet, Zugriff auf andere PC (außerhalb der Domäne).

Die Welt kann untergehen, aber unser Netz bleibt (oder?)

Aus. Vorbei. Die großen Zampanos wollen nun Alles in eine einzige weltumspannende Domäne pflanzen. Das würde (so sehe ich das) die 24/7 Ausfallsicherheit doch stark beeinträchtigen, oder? Was passiert, wenn buchstäblich einmal der Wurm im Netz ist? Oder ein Virus? Oder einfach nur die K***e am dampfen? Was ist, wenn das Netz mal hängt? Dann kann man doch u.U. keine Daten mehr sammeln, oder?

Mein ernst gemeinte Frage:
Wie würdet ihr ein Subsystem aufsetzen, das einerseits dem Bestreben nach einheitlicher Domäne möglichst nahe kommt, und andererseits eine größtmögliche Sicherheit gegenüber Angriffen, Murphy etc. bietet? Rechen gut konfigurierte Router? Oder doch ein V-LAN?

Ich wäre sehr dankbar über Korrekturen meiner vielleicht falschen Annahmen, oder einfach Ideen, wie man das sauber und sicher aufsetzt.

Danke schon mal!

VPN's wären vielleicht eine Möglichkeit.

Auch meine Meinung.
Eine ordentliche Firewall mit IPSec basierten VPN Clients / IPSec basierten Site2Site Verbindungen ggf. in Kombination mit einem Terminalserver (Citrix).




Schöne Grüße,
Jens

Moin Moin

Erstmal Danke für die frühen Antworten.

Ihr meint also, das alle Workstations ein VPN zur Mittelschicht einrichten sollen? Wie kommt man dann per Remote Control auf die Workstations? Oder soll man auf dem Application auch ein Remote Control Gateway einrichten?

Hai alzaimar,

was für ein Betriebssystem habt ihr denn auf den Servern?
NT oder W200x (ActiveDirectory)?

Wenn es noch ein NT ist und es nur diese eine Domain gibt muss ja irgendwo auf der Welt der PDC stehen.
Ihr würdet dann bei euch einen BDC haben. Selbst wenn der PDC nicht da ist könnten sich eure Anwender in der Domain anmelden.

Aber ich denke mal das ihr ein W200x habt.

In diesem Fall würde ich die Unternehmensstruktur (Geographie) abbilden.

Die Domain wäre z.B. firma.com
Dann gibt es im Standortmünchen zum Beispiel: mue.de.firma.com.

Leider bin ich im AD auch nicht so richtig fit. Aber so sollte das eigentlich gehen.

Das hängt viel von der Größe der Zweigstellen ab.

Größere Standorte würde ich über ein IPSec Gateway verbinden. Diese brauchen nicht einmal zwingend eine statische extere IP. Du kannst die BranchOffice Firewalls so konfigurieren, das sie sich über den Agessive-Mode aktiv mit der "Hauptfirewall" verbinden und einen Tunnel aufbauen.

Eine Site2Site Verbindung (also an jedem Standort eine Firewall) stellt sich für dich dar, wie ein geroutetes Netzwerk. Du kannst vom Hauptstandort problemlos über interne IP-Adressen auf die Hosts in den Subnetzen zugreifen. Andersrum natürlich genauso. Bei soliden Firewalls kann man natürlich auch Filterregeln für den Verkehr im VPN definieren.

Zweigstellen bis 5 oder 6 Clients kann man bequem über IPSec Clients anbinden. Die Fernwartung kann u.a. vom Client über Remotedesktop angefordert werden ("Einen Bekannten auffordern, eine Verbindung über Remoteunterstützung mit Ihrem Computer herzustellen").


Über ein Site2Site VPN kannst du natürlich auch eine Windows-Domain betreiben.
Wir betreiben ein Active Directoty über VPN und 21 Standorte. Die Homeoffices verbinden sich per IPSec Client mit der Niederlassung, die ihnen am nächsten ist. Große Anwendungen laufen auf Terminalservern, bzw. können ihre Daten per Replikation auf dem Stand halten.

Schöne Grüße,
Jens

Leider kann man die Infrastruktur des Office-Netzwerkes (ca. 2000 Clients und zunehmend) nicht beeinflussen. Nur wollen wir die Stationen in der Fertigung (pro Installation 5-20 WS, 2xApp-Server, 1xDB-Server) so dicht und so ausfallsicher wie nur möglich machen.

Wenn sich die WS über ein VPN mit dem App-Server verbinden, und der sich mit dem DB-Server auch, dann hätte man eine verdammt sichere Lösung, oder?

Wenn man dann noch die Router so konfiguriert, das die PC in diesem VPN-Verbund (mit Ausnahme des App-Servers) völlig von der Welt abgeschnitten sind. Remote-Control (via Netop oder pcAnywhere) würde über ein RC-Gateway laufen, das auf den App-Servern installiert ist. Somit wird ein Remote-Control über Host->App-Server->Client abgebildet...

Fette Konfiguration, werden wir mal vorschlagen, oder hab ich da was falsch verstanden?


Danke an Alle!

Nein. Alles richtig.
Du kannst die Branchoffices über VPN mit dem Hauptstandort verbinden und jede weitere Kommunikation mit extern verwähren. Den Internetzugriff kannst du dann z.B. über einen zentralen Proxy und/oder über eine Firewall mit gateway-basierten Virenscan machen.

Über die Routen / Encryption Rules in den Firewalls kannst du festlegen, ob eine Zweigstelle nur Verbindung zur Niederlassung bekommt, oder z.B. auch Ressourcen aus einem benachbarten Standort verwenden kann.

Jetzt kannst du dir noch überlegen, ob du wirklich ein zentrales Active Directory brauchst. Der Replikationsverkehr hält sich zwar im Rahmen, aber wenn man später ADS integrierte Features wie z.B. DFS nutzen möchte dann surrt der Traffic-Zähler beim ISP.

Wir haben das individuell gelöst.
Beispiel:
Die Niederlassungen Hamburg und Kiel wurden verwaltungstechnisch zusammengelegt. Diese haben wir aus Subdomänen in das ADS gehängt und entsprechende Vertrauensstellungen eingerichtet, so das die Benutzer Ressourcen aus beiden Standorten nutzen können. Über DFS werden die Profilordner der "mobilen" User zwischen den Standorten repliziert, so das diese überall ihren gewohnten Desktop haben.

Bei anderen Standorten, die weit vom Schuss sind (z.B. Leer) ist es eher unwarscheinlich, das ein User in einen anderen Standort fährt um sich dort anzumenden. Diese Standorte haben eine eigene ADS-Root. IP basiere Dienste (Citrix, Lotus Notes usw.) funktionieren ja auch ohne Windows Anmeldung.
Wenn Leer irgendwann mal mit z.B. auf Ressorcen in Bremen zugreifen muss, dann wird das Active-Directory in Leer verworfen und als Subdomain im "großen ADS" neu aufgesetzt.

Diese Variante spart viel unnötigen Replikationsverkehr.


[PS]
Das einzige Problem, was wir bisher noch nicht immer im Griff haben, ist die Disziplin der Mitarbeiter.
Das VPN ist sicher. Leider können wir nicht bei allen User des PC restrktiv dicht machen. Wir Techniker müssen in der Lage sein, flink VPN oder DFÜ Verbindungen anzulegen. Laut interner IT-Richtlinie muss vor dem DFÜ-Verbindungsaufbau die LAN-Verbindung getrennt werden, damit nienamd über die unsichere Verbindung in unser Netz kommen kann. Schätzungsweise halten sich nur 20% der Techniker an diese Vorgabe.
Irgendwann wird sich jemand mit seinem Notebook einen Trojaner einfangen und in der Firma eine DFÜ Verbindung ins Internet aufbauen ... Dann bleibt nur noch zu hoffen, das unsere Antivirus-Lösung Stand hält ...
[/PS]


Schöne Grüße,
Jens

Jens,

Danke für die "Einführung in Netzwerkdesign". Mal sehen, was die Leute davon halten

Gruß aus Berlin, auch an alle Mitleser!