Niederlassung - Wie am besten umsetzen?

Guten Morgen Forum,

ich weiß es passt vielleicht nicht ganz in die Heimnetzwerk Kategorie, trotzdem würde ich gerne diese Frage stellen.

Wir haben momentan unsere Hauptniederlassung in Dreieich. Internetleitung ist die 400 Mbit von Unitymedia Business.
400 Down 20 Up

Haben einen SBS 2011 der als Exchange, Fileserver und AD dient.
Hier die Auflistung der Hardware:
Intel Xeon E3-1225 v3
32 GB RAM
2x 1 TB HDDs Raid 1
(Ich weiß grade nicht welches Mainboards aber es halt jedenfalls 2x 1Gbit Anschlüsse)

Dann haben wir noch ein Windows Server 2016 der als App Server dient.
Intel Xeon E3-1275 v6
64 GB RAM
2x 1 TB SSDs Raid 1
(auch hier ein Mainboard welches 2x 1 Gbit Anschlüsse hat)

Jetzt möchten wir eine Niederlassung in Bayern eröffnen welche aber auch auf unsere Server zugreifen kann. Und das möglichst ohne große Probleme.
Wie können wir das am besten umsetzen? Geld spielt erstmal keine Rolle.

Danke für eure Hilfe und wenn ihr mehr Informationen braucht, entschuldigt mich, bitte nicht blamen sondern fragen.

Lieben Gruß
Marsel

Am besten solltet ihr das mit einem Site to Site VPN regeln...da wird allerdings der upstream knapp...grade für den Fileserver könnte es eng werden

Bei solchen Angelegenheiten wendet man sich am besten an einen entsprechenden Dienstleister der auf sowas spezialisiert ist.

Im Großen und ganzen kann man aber sagen, du brauchst eine separate Standleitung zwischen den Standorten, einen lokalen Internet Breakout sowie einsprechende Hardware die deine Netze routet.

direkt danach solltest du dir Ersatz für den SBS2011 suchen. Ich hab leider auch noch so ne alte Schleuder hier, aber endlich grünes Licht für die Ablösung.

Viel wichtiger als die Server die zur Verfügung stehen wäre die Firewall/Router am Hauptstandort.
ist die Unitymedia Leitung eine "Office Internet & Phone" oder eine "Company Internet" Leitung?
Oder anders gefragt: Cisco Modem oder Fritzbox?

Wie sieht denn das Mitarbeiterverhältnis zwischen den Standorten aus? Also wie viele Leute in Dreieich und wieviele sind in Bayern geplant?

Und auf was brauchen die Leute aus Bayern Zugang? Mails und ?

Hi,

ich würde auch zu einem IT- oder Systemhaus gehen und das machen lassen. Site2Site VPN klingt schon mal gut, sowas sollte aber gut geplant und umgesetzt sein, damit steht und fällt alles. Lieber ein paar Euro ausgeben und dafür eine professionelle Lösung bekommen!

VG,
Mad

Und nur weil er hier Beratung sucht heißt das ja nicht zwingend dass er es selbst umsetzen will.
Die Lösung muss schon brauchbar und von ihm selbst wartbar sein.
Zudem kommt, dass er ja ggf. auch noch eine Terminalserverlösung braucht, je nachdem auf was die Kollegen aus Bayern zugreifen wollen.

Ganz vergessen zu fragen: Wird in der Niederlassung ne halbwegs kompetente IT-Stelle sitzen?

Hi,

@h00bi

und deswegen ist die Empfehlung, zu einem Systemhaus zu gehen, schlecht? Weil? Was das mit "schon brauchbar und von ihm selbst wartbar sein" zu tun hat erschließt sich mir auch absolut nicht.

VG,
Mad

Ähnlich wie meine Vorredner würde ich ebenfalls zu einem IT-Dienstleister bzw. Systemhaus raten.

Als Beispiel für eine Standortverbindung würde ich zB FortiGate-VPN-Firewalls nennen - ohne Wertung, nur Beispiel. Ein FortiGate steht im HQ und eins in der Niederlassung, via IPsec (oder OpenVPN, etc) per VPN als Site2Site verbunden. Statt FortiGate kann man beliebige andere VPN-Firewalls verwenden, bis hin zu günstigen EdgeRoutern, die bei 20 Mbit/s Upload prinzipiell auch schnell genug sein sollten.

Wie dem auch sei, das Systemhaus wird eine bevorzugte Lösung anbieten, mit der sie bei etlichen Kunden ausreichend Erfahrung gesammelt haben. Einfach mal in die Gelben Seiten gucken, anrufen, Angebot einholen oder ggfs einen Beratungstermin vereinbaren.

Danke für all die Antworten.

In Dreieich arbeiten rund 30 Personen über die Server.
In Bayern soll es sich wohl maximal um 10 Personen handeln.

Ich habe nur grade erfahren das die Mitarbeiter dort keinen Zugriff auf unsere Server brauchen, sondern nur zu unserem Exchange.
D.h. ich würde in Bayern einen Windows Server 2016 hinstellen. Jetzt geht es wohl nur noch darum diesen dort ordentlich Sichern zu können. Also Backups etc.

Wie würdet ihr das am besten machen? Ich werde wohl auch dort die Server "verwalten" aber halt so gut wie es geht von Dreieich aus.

Die Geschäftsleitung in Dreieich möchte nur auch Zugriff auf die Daten die in Bayern sind. Das werde ich wohl mit einem VPN regeln.


PS: Der SBS2011 ist auch bald Geschichte

Eine Standortverbindung via VPN ist so oder so sinnvoll. Den gegenseitigen Zugriff regelt man über die VPN-Firewall, die zB Ports, IPs, etc. durchlässt bzw. blockiert.

masoe schrieb:

D.h. ich würde in Bayern einen Windows Server 2016

Zum Vergrößern anklicken....

Exchange Sync oder Hybrid geht mit dem SBS nicht falls du das vorhast.

Den Exchange am Hauptstandort (HS) kannst du per OWA (Outlook Web Access) erreichbar machen. Dann geht je nach Konfig auch auch normales Outlook über Active Sync Online.
Das ist quasi das gleiche wie wenn die Mitarbeiter die Exchange Konten aufm Handy wollen.
Sogar der alte Exchange2010 im SBS 2011 kann das.

Du brauchst dafür ein öffentliches Zertifikat und ein bisschen Firewall-/Gateway-Config.
Der Server ist dann ganz normal als remote.domain.xy erreichbar (remote ist glaube ich die standard subdomain dafür, es kann aber auch jede beliebige andere sein.. ich würde aber bei der Standard-Subdomain bleiben).

Wenn du das nicht selbst kannst, ein Angebot sollte max. irgendwo zwischen 1000 und 1500€ liegen incl. Zertifikat für 3 Jahre.

Was nutzt du zur Fernwartung?
wenn ihr Firmenhandys habt würde ich Teamviewer 12/13 empfehlen, ansonsten tuts auch Anydesk.

EDIT: VPN brauchst du für das alles nicht. Kannst du natürlich zusätzlich machen, aber du brauchst es nicht.

Wenn der TE weiß was IT-Security bedeutet und seine Systeme entsprechend härten und absichern kann dann kann er ruhigen Gewissens seinen Exchange ins Internet hängen. Kann man machen, muss man aber nicht...


Anbindung zwischen HQ und Niederlassung per Site-to-Site-VPN, dadurch dann Zugriff auf Exchange. Einen lokalen Server in der Niederlassung brauchst daher nicht zwingend wenn keine Dienste lokal genutzt werden sollen aber ein lokaler Server hat auch Vorteile, z.B.
- Domaincontroller: Anmeldung geht schneller und funktioniert so auch gut wenn mal Internet ausgefallen sein sollte
- Fileserver: schnellerer Zugriff als über WAN und arbeitsfähig bei Internet Ausfall
Liste ist ggf. bestimmt noch erweiterbar und mit Hyper-V und/oder VMware

Backup: Welche Lösung nutzt ihr bisher und ist diese nicht skalierbar bzw weiterhin anwendbar? Grundsätzlich: 3-2-1 Regel befolgen und auch regelmäßig Restore testen und zwar sowohl einzelner Files als auch Disaster Recovery eines kompletten Servers.

Das Problem bei einer Exchange-ohne-VPN-Lösung ist die Zukunft. Ich gehe (fast) jede Wette ein, dass es binnen kürzester Zeit eben doch zur Anforderung wird, dass auch der Fileserver oder sonstige Dienste vom HQ genutzt werden sollen... Dann wird das VPN doch wieder aktuell und man hat doppelte Arbeit...

Site-2-Site VPN zwischen allen Standorten, mit brauchbaren Firewalls/Gateways (Fortigate, Sophos UTM etc.).

Exchange über VPN "intra"fähig zu machen - kann man machen, zusätzlich einfacher/sinnvoller wäre es aber den Exchange Client Access gescheit(!) ins Netz zu stellen mit korrekten externen/internen Autodiscover-Einträgen, Reverse-Proxy an der UTM (+ kommerziellem Zertifikat), Begrenzung der zugreifenden IP-Räume auf möglichst nur die Länder/Regionen in denen die Mitarbeiter auch unterwegs sind (lies: Client Access; nicht eingehende Mails!).
Dann haben auch die Smartphones was davon, weil die Anforderung wird 100% aus der Management-Ebene kommen, wenn die nicht eh schon ihre dienstlichen Mails auf ihr web.de-Konto am iPhone forwarden...

In Bayern ein Blech mit Server 2016 Standard + Hyper-V + USV hingestellt. Eine VM als lokaler (RO)DC & eine VM als Fileserver/Gedöns. (2 VMs abgedeckt durch eine Standard-Lizenz).
Darf Bayern auf keinen Fall Down gehen: Zweiten Server mit zwei weiteren VMs (RO)DC02 + FS02 (im DFS-R mit FS01) hinstellen. Dann habt Ihr's gleich HA.
Als Backup in Bayern 1x Veeam Essentials Standard, auf ein NAS + rotierende ext. HDDs. Brennt der Server ab, langt übergangsweise ein Windows 10 Pro-Rechner mit Hyper-V auf den die gesicherten VMs wiederhergestellt werden können.
Auch cool: Die Veeam-Backups von Bayern nach Dreieich schicken (WAN Accelerator; teureres Produkt). Brennt der Server in Bayern ab aber steht die VPN-Verbindung noch, können in Dreieich die gesicherten Server als DR hochgefahren werden.

Komm nicht auf die Idee nicht zu virtualisieren.

Die Fileserver machen hübsch DFS-R untereinander. Sofern eine halbwegs klare Abgrenzung zwischen den genutzten Shares der Standorte gemacht werden kann.

Analysiert am besten gestern ob die lokalen Subnetze in Bayern & Dreieich sich ja nicht überkreuzen. Der Klassiker: 192.168.178.0/24 oder 192.168.2.0/24 jeweils in beiden Standorten weil Fritzbox/Speedport.
In diesem Fall wird Site2Site-VPN ganz ganz eklig, also am besten beide Standorte direkt auf etwas nicht-standardmäßiges Re-IPen. Inklusive Herzschmerz weil die Scheissdrucker statisch eingerichtet waren, aber da muss man durch.

Haben einen SBS 2011 der als Exchange, Fileserver und AD dient.
Hier die Auflistung der Hardware:
Intel Xeon E3-1225 v3
32 GB RAM
2x 1 TB HDDs Raid 1
(Ich weiß grade nicht welches Mainboards aber es halt jedenfalls 2x 1Gbit Anschlüsse)

Dann haben wir noch ein Windows Server 2016 der als App Server dient.
Intel Xeon E3-1275 v6
64 GB RAM
2x 1 TB SSDs Raid 1
(auch hier ein Mainboard welches 2x 1 Gbit Anschlüsse hat)

Zum Vergrößern anklicken....

Spätestens beim 2016: Noch nichts virtualisiert?