Noen ranter knyttet til avdelingskontorer og SBS Server

Til slutt i denne artikkelserien får vi tar oss tid til noen ranter om avdelingskontorer. I denne sammenheng understreker jeg at emnet ikke vil bli behandlet uttømmende. Men det er så absolutt relevant fordi en terminalserver nettopp innføres med tanke på avdelingskontorer og medarbeidere på farten. Vi vil her kort titt på tre alternative modeller som kan være aktuelle.

I det første tilfellet får vi ta for oss en SBS Server og to avdelingskontorer med ruter til ruter VPN. Vi merker oss at SBS Serveren kun er utstyrt med 1 nettverskort. Ruter til ruter VPN vil derfor bringe oss til Lan i alle ender likegyldig hvor hen vi måtte befinne oss. Alle Servere og PCer kan kommunisere med hverandre I det vi kan konfigurere routing alle veier. I så måte er vi kun begrenset av hastigheten på våre internettlinjer. I vår sammenheng vil terminalserveren være tilgjengelig på alle avdelinger og vi har full routing med tanke på skrivere som måtte være installert i de ulike delene av nettverket. Det vi imidlertid ikke har kontroll over er hvilken kommunikasjon som egentlig foregår i nettverket hvis ruterne ikke tillater oss en finere kontroll med tanke på hvilke porter som er tillatt for kommunikasjon. I dette tilfelle vil det være kurant og innføre en Backup Domain Controller (BDC) for autentisering av brukere på avdelingskontorene fordi BDC kan ha full kommunikasjon med SBS Serveren. I det tilfelle at internett er nede vil BDC kunne autentisere brukere for pålogging til SBS Server domenet. Vi merker oss videre at SBS Server brukere ikke trenger særskilte rettigheter som medlemskap av Remote Users eller være konfigurert med andre sikkerhets templates på SBS Serveren. Det holder med brukere som er konfigurert med User Template. Internett tilgang vil her kunne gå via hovedkontoret eller konfigureres slik at det går direkte fra avdelingskontorene.

Figur 45 – Figuren illustrerer ruter til ruter VPN med avdelingskontorer og et nettverkskort på SBS Serveren.

I det neste tilfellet har vi samme konfigurasjonen med ruter til ruter VPN men denne ganen er SBS Serveren utstyrt med to nettverskort og en ruter / brannmur i front. Dette gir oss både fordeler og ulemper. Fordelen er at vi nå har fått en sikkerhetssone foran SBS Serveren. I denne sonen opphører all routing dersom vi ikke portforwarder kommunikasjon til SBS Serverens eksterne nettverskort. Dette kan utnyttes i den forstand at kommunikasjon kun er tillat til hovedkontoret på gitte porter i sikkerhetssonen foran SBS Serverens eksterne nettverskort. Vi kan stenge kommunikasjon fra internett og kreve Ruter til Ruter VPN for å slippe til RDP porten som er publisert på SBS Serverens eksterne nettverskort.

Figur 46 – Figuren illustrerer ruter til ruter VPN med avdelingskontorer og det tilfellet av vi har to nettverskort på SBS Serveren.

På denne måten vil ikke RDP være eksponert for internett. På den annen side må man være klar over at routing opphører i sonen mellom ruteren og det eksterne nettverskortet til SBS Serveren. Dette innebærer for eks at vi ikke kan skrive ut en rapport fra hovedkontoret til en skriver på avdelingskontoret. Det innebærer også at for å få utskrift via RDP så må klientene på avdelingskontorene har en printerdriver installert som besørger routing til en lokal eller nettverstilkoblet skriver. I dette tilfellet er det slets ikke så lett å innføre en Backup Domain Controller fordi vi ikke har routing helt frem til SBS Serveren. Dette i motsetning til det første alternativet. På den annen side er kan hende nettopp dette ikke ønskelig i det avdelingskontorene skal benytte tynne klienter. I så fall har vi etablert soner eller punkter hvorfra kommunikasjon er tillat men vi må passe på at printerdrivere lar seg installere på de tynne klientene slik at nettversutskrifter og printer mapping er mulig. Internett tilgang fra klientene på avdelingskontoret vil her kunne gå via terminalserveren på hodekontoret.

Figur 47 – Figuren VPN direkte gjennom to brannmurer til SBS Serverens VPN server.

I det siste tilfellet benytter vi ikke ruter til ruter VPN. Med MS PPTP eller MS IPsec enten fra en Server eller fra en PC. I dette tilfellet er SBS Serveren utstyrt med to NICs. Vi forstår intuitivt at denne VPN tunnelen vil bringe oss på innsiden av nettverket slik dette har hvert beskrevet tidligere i artikkelen. Til dette er det å anmerke at når VPN tunnelen skal etableres fra en W2K3 server til SBS Serveren vil dette kunne ta tid ved en restart slik at Serveren på avdelingskontoret automatisk gjenoppretter VPN forbindelsen til hovedkontoret, men det går så absolutt an.

Dette avslutter denne artikkelserien på del 1, 2 og 3. Jeg håper virkelig at det er til inspirasjon og hjelp for noen. Jeg finner grunn til å understreke at den ene fremgangsmåten ikke ekskluderer den andre med hensyn på VPN ruter til ruter og VPN direkte til SBS Serveren, og at vi slets ikke har behandlet VPN til ISA Serveren som kan være installert på SBS Serveren. Mange alternativer her. Dette får vi komme tilbake til en annen gang.

Jeg er sikker på at du har noe å anføre til dette. ”Feel free to add comment!”

Lykke til!

Dag Staale Jenssen

04.05.2007

ArtDSJ043