Hallo, ich wollte mal in diesem Forum fragen, ob es ohne weiteres möglich ist, 2 Windows 2003 Smallbusiness Server in einem Netzwerk zu betreiben ohne "Ärger" damit zu haben?
Danke für jede Antwort.
Andreas
Heimnetzwerke - WIFI, LAN, Router und Co 16.505 Themen, 80.984 Beiträge
>es ist so, dass es 2 Firmen gibt die (momentan) im selben phys. Netzwerk hängen (jeder hat seinen SBS 2003 und seinen eigenen log. IP-Adressbereich) -
>Wahrscheinlich keine sehr glückliche Lösung...?
nein, nicht wirklich, aber manche Konstrukte sind einfach so gewachsen. :-)
>Jeder Fa. arbeitet auf Ihrem Server, manchmal müssen 2 Benutzer von der 2ten Fa. auf den SBS der 1ten Fa. zugreifen und Dateien dort speichern bzw. öffnen (Filesharing).
>Bei den beiden Usern (die manchmal auf den Server der anderen Fa. müssen) sind im Moment 2 IP-Adressen, also jew. 1 aus jedem IP-Bereich auf die NIC gebunden, damit
>sie in beide Netzwerke kommen.
d.h. es gibt keinen DHCP Server? bei einem kleinen Netz mit 5 Mitarbeitern ist das noch OK, sobald es aber mehr werden, wird DHCP schon sehr angenehm und ist IMHO auch im SBS 2003 enthalten.
Aufgrund dessen würde ich schon eine Trennung der beiden Netze vorschlagen.
>Jede Firma hat ihren eig. Switch und ihren eig. Internetanschluss, sie sind nur über 1 Patchkabel verbunden (Switch-Switch)
schon mal eine gute Grundvoraussetzung. dann sollte man die Netze auf jeden Fall trennen.
Alleine aufgrund von Sicherheit und DHCP.
>Wäre da eine Routerlösung evtl. zu bevorzugen, die beide Netze phys. trennt?
>Falls ja, welchen Router könnte man dafür einsetzen? (evtl. einen der SBS Server mit RRAS oder besser einen eigenen phys. Router (Box))?
Ich schlage 2 Dinge vor. (eigentlich 3)
Trennung mit Hilfe von Routern:
1. du besorgst 2x DSL Router (mit 100 MbitEthernet als WAN Anschluss) Kosten, ca. 30-50 pro Stück. (kein Wlan etc, nur 1x Wan 100 Mbit und vielleicht 4 Swichtports)
Warum 2 Stück -> mit einem funktioniert es nicht wirklich, weil dann die Sicherheit in nur eine richtung geht. Diese Router können nur NAT bzw. PAT
Du verbindest beide über Ihre WAN Anschlüsse (Crossover Kabel möglicherweise notwendig)
Für das WAN verwendest du IP Adressen, die keine von beiden Fa. verwendet, z.b. 10.10.10.0 / 24 (255.255.255.0) oder kleinere Subnetze, du benötigst nur 2 IP Adressen.
Als Default Gateway trägst du auf beiden Routern jeweils seinen gegenüber ein.
Jetzt kommt der Nachteil:
Da diese Router nur PAT (Port Address Translation) können, musst du PAT Weiterleitungen einrichten.
d.h. Fa. 1 will auf Fa.2 zugreifen, muss der Port (z.b. 445 für MS Filesharing) auf dem Router Fa.2 geöffnet werden. du richtest damit den Port auf die IP Adresse des SBS 2003.
Nachteil, alle Rechner von Fa.1 können dies dann nutzen. Der Router von Fa. 2 kann nicht unterscheiden ob dies OK ist oder nicht, weil er nur die IP Adresse des WAN Interfaces von Router 1 sieht.
Damit kann man aber zumindest unterbinden, das die Mitarbeiter von Fa.1 über Fa.2 surfen. etc.
2. Trennung mit Hilfe von z.b. Cisco Routern. (1x Router notwendig)
Mit Hilfe von erweiterten Access Listen (extended access list) auf dem router kann man beide Seiten filtern, aber nur auf Port Ebene. (TCP/UPD)
D.h. der Router hat 2 Ethernet Ports, jeweils eines im Netz der beiden Firmen und deren IP Adressen.
Jetzt kann man über die Access Listen z.b. erlauben, das 192.168.1.15 (PC Fa.1) auf 192.168.2.10 (SBS Fa.2) zugreifen darf und nur auf Port 445 oder jeder beliebige andere Port den man konfiguriert.
Kosten: unterschiedlich, auf jeden Fall sollte Router 2x 100 Mbit haben. mal bei ebay schauen.
Trennung mit Hilfe von Firewalls:
Ich bevorzuge einen sogenannten WRAP (Wireless Router Application Platform) von Pc Engines. (z.b. 3x 100 Mbit Ports) (benutze ich selber)
je nach verwendetem OS (m0n0wall, pfsense) kann man dort auch die einzelnen Ports (TCP/UDP) freischalten.
Kosten: ca. 120 für das Board, zzgl. Gehäuse, Netzteil und CompactFlash Karte