Server und Clients in getrennten Subnetzen

[lcer]

Hallo,

betreibt jemand seinen Turbomed-Server und Clients in getrennten Subnetzen? Bei einem ordentlich aufgesetzten DNS und funktionierendem Routing sollte das ja eigentlich funktionieren. Hat da jemand Erfahrungen?

Grüße

lcer

[nmndoc]

Hallo,

nein. Bin mir auch nicht sicher, wie sinnvoll das ist. Ich nehme an es sind Sicherheitsbedenken?
Man sollte aber berücksichtigen, dass TM ja ohnehin relativ weitreichende Zugriffsrechte benötigt - zB alleine schon die TM-Freigabe... ob es da so viel bringt, den Server in ein anderes Segment zu stellen?
TM würde sicher auch ohne DNS funktionieren btw.
Anders könnte es evtl. aussehen, wenn man einen TS verwendet. Von der Performance her wäre TM auf dem TS vermutlich am besten - sicherheitstechnisch aber wohl eher nicht.

[Forti]

Welche Überlegung steckt dahinter?

Anderes Subnetz = Routing erforderlich.
Clients = x.2.0, Server = .x.1.0 als Beispiel:

a) NAT per Routing Switch: Wenn der NAT-Router mittels Firewall das Servernetz wie ein WAN behandelt, kann das für eine gewisse Sicherheit sorgen. Nur... warum?

b) Beide Netze verbunden, Clientnetz mit IP, DNS, Gateway = Konnektor in Reihe, Konnektor WAN am Internet = SIS/VPN (Windows-Updates - Traffic?), Konnektor LAN = Client-Subnetz und Redirect des Server-Subnetz auf das Gateway des Server-Subnetz... hmmm... albern.
Es sei denn, der Server soll unbedingt kein Internet haben - was bei einem Windows-Server schon grob fahrlässig wäre (IT-Sicherheit, DSGVO). Die Sicherheitsupdates beziehen sich ja auch auf lokale Angriffsvektoren.

c) Beide Netze jeweils mit VPN-Gateway, verbunden über eine Tunnel-Bridge. Kostet nur Performance, bringt keine Vorteile (außer bei Standortanbindung).

Ich habe irgendwo eine Konstellation in Betreuung, in der manche Clients eine IP aus einem anderen Subnetz haben. Der Server hat dieses Subnetz als zweite IP-Adresse ohne weiteres Routing oder Routing-Freigaben. Es handelt sich um Thin Clients, die keine Verbindung nach draußen oder auf andere Clients im Hause haben sollen/dürfen. Das ist aber lediglich eine Variante, DIESEN Clients konkret den Weg zum Gateway zu nehmen. DHCP an, und schwupps wären sie wieder online (setzt aber Adminrechte am Client voraus).

Also: Machbar ist alles. Bleibt nur die Überlegung, was damit bezweckt wird...

[hofeBY]

Hallo,

betreibt jemand seinen Turbomed-Server und Clients in getrennten Subnetzen? Bei einem ordentlich aufgesetzten DNS und funktionierendem Routing sollte das ja eigentlich funktionieren. Hat da jemand Erfahrungen?

Grüße

lcer

Ja, ich berteibe mehrere Subnetze über VPN abgesetzte NBST an Server mit HBST.

Allein mit DNS Mitteln wird das bei der Namensauflösung leider nicht klappen, da es noch zu viele Netzwerkkomponenten z.B. Netzwerkdrucker gibt, die das auch können.
Daher der Tipp auf dem Server den Dienst "WINS" zu installieren und dann dessen IP an allen Netzwerkkomponenten diese einzutragen.
Und schon klappt´s innerhalb der Internen Netze mit der Namensauflösung.

HofeBY

[lcer]

Hallo zusammen,

Sinn der Sache ist tatsächlich das Absichern des TM Servers. In meinem Szenario halte ich das aus verschiedenen Gründen, die hier aber keine Rolle spielen, für sinnvoll.

Routing, NAT (spielt hier aber auch keine Rolle) und DNS beherrsche ich. Mit veralteten WINS oder NetBIOS Clients wird nicht gearbeitet.

Mir ging es ausschließlich um den TM Server und seine TM Arbeitsstationen. ohne Terminalbetrieb. Aber das scheint ja zu laufen.

Danke und Grüße

lcer