Hallo,
ich habe hier einen Fragenkatalog zum SBS 2011 zusammengestellt der mir beim Testen aufgefallen ist und uns vorläufig daran hindert auf den SBS 2011 zu migrieren.
Ich hoffe, dass die Fragen nicht zu trivial sind, zumindest habe ich bisher noch keine Antworten gefunden.
Vielen Dank im Voraus und Grüße
Vokary
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Erfahrungsbericht und Supportanfrage zum SBS 2011
Wir haben den SBS 2011 Standard getestet ´, um ihn produktiv einsetzen zu können, dabei sind uns einige Punkte aufgefallen die den Produktiveisatz verhindern.
- Domainname
Im Domainnamen lässt sich, anders als beim SBS 2003, nicht die Interne Domäne von der Externen trennen. Wenn man z.B.: den internen Domainnamen als
ard.de vergibt, lautet der externe Name
remote.ard.de, was kontraproduktiv ist, weil der externe Name auf
…dyndns.org enden soll. Somit ergibt sich auch für den SSL-Zugriff das Problem, dass das Zertifikat nicht stimmt. Wir möchten weder die Domain die bei einem Hoster liegt und sowohl die Webseite,
als auch den MX-Eintrag für die Domain hat auf den SBS legen, noch möchten wir den SBS
direkt ins Internet stellen, sondern hinter einer(m) Firewall/VPN-Gateway betreiben, sodass nur über VPN auf den SBS zugegriffen werden kann. Wir haben also das Problem, das sich die Katze in den Schwanz beißt. Womit ich sagen will: Entweder
heißt die Domain ard.dyndns.org
und wir können das Richtige Zertifikat ausstellen und der FQDN für einen Rechner lautet nun
rechner01.ard.dyndns.org, was nicht das Gleiche ist wie
rechner01.ard.de.
- Zertifikat
Die Zertifikatsverwaltung ist nur eingeschränkt nutzbar. Das erste Problem ließe sich eventuell mit einer weniger eingeschränkten Zertifikatsverwaltung
lösen, doch dem sind durch nicht ausstellbare Zertifikate Grenzen gesetzt. Zwar liegen einige Zertifikatsvorlagen bereits auf dem SBS 2011, aber sie lassen sich weder als Adminuser, noch als Administrator installieren, weshalb ich mich frage warum
sie dann trotzdem da sind.
- Die externe Webseite
Der SBS 2011 bietet zwei Webseiten an, eine interne und eine externe, was auch an sich ein guter Gedanke ist, wenn es ActiveSync nicht gäbe. Beim Test haben wir festgestellt, dass ActiveSync nur funktioniert, wenn die externe Webseite erreichbar
ist. Das wollen wir aber nicht, weil wir so wenig Informationen über unser System nach draußen publizieren möchten wie möglich, um potentiellen Angreifern nicht in die Hände spielen wollen. Beim SBS 2003 konnte man mit den Firewall-Einstellungen
festlegen, dass zwar ActiveSync funktioniert, die Webseite aber nicht verfügbar war und man eine Fehlermeldung bekam, wenn man aus dem Internet darauf zugreifen wollte.
- L2TP/IPSec-VPN
Wenn man Routing und RAS einrichtet und dabei VPN auswählt, wird alles brav eingerichtet und sieht aus als wenn man es nutzen könnte, der Schein trügt aber. Es lässt sich eine PPTP-Verbindung uns eine SSTP-Verbindung aufbauen,
letztere scheitert aber an dem Punkt 2. der weiter oben angegeben ist am Zertifikat, genauso wieIKEv2. Um nun nicht die unsicherste VPN-Variante zu nehmen, dachten wir: „nehmen wir doch L2TP/IPSec“. Das entpuppte sich aber schnell als Flop, da
wir feststellen mussten, dass die Ports für diesen VPN-Typ gar nicht geöffnet sind, selbst bei ausgeschalteter Firewall konnten wir mit „Portqry“ keine geöffneten Ports für dieses Protokoll finden. Es kam schlichtweg keine Verbindung,
auch nicht mit ausgeschalteter Firewall, zustande.
- IPv6
Scheinbar läuft der DHCP-Server bei IPv6 im Modus statefull und nicht stateless wie es vernünftig wäre. In Verbindung mit einer Fritzbox 7390 die auch IPv6 unterstützt, stürzte der DHCP-Server ab sowie er ein IPv6-Advertisement
von der Fritzbox erhielt. Da die Router das Netzwerksuffix verteilen sollen und nicht der Server ist auch das kontraproduktiv. Der Server soll aus Sicherheitsaspekten nicht im Internet hängen und kann somit nicht als Router eingesetzt werden. Wenn man
den DHCP-Server wie beim Server 2008 (R2) in den Statelessmodus schalten könnte, wäre das hilfreich.
Insgesamt kann man sagen, dass der SBS 2011 für einen erfahrenen Administrator einen Schritt in die Steinzeit bedeutet, auch wenn Sie viele neue Features und Versionen integriert haben. Selbst wenn Sie es einfacher machen
wollten ist genau das Gegenteil eingetroffen. Sie haben dem Server die Möglichkeit genommen flexibel eingesetzt zu werden, da sie bei der Entwicklung nicht alle Einsatzszenarien berücksichtigt haben, sondern auf
einen Spezialfall ausgelegt haben. Der SBS 2003 war wesentlich besser durchdacht und flexibler und bot genug Möglichkeiten. Für einen gelegentlichen Administrator ist der SBS 2011 vielleicht durch seine Assistenten besser zu bedienen,
die Einrichtung führt aber nicht der Hobby-Administrator aus, sondern ein Fachmann und der wird regelrecht entmündigt.
Da wir den SBS 2011 gerne produktiv einsetzen möchten, würden wir gerne wissen wie wir die geschilderten 5 Probleme mit Ihrer Hilfe lösen können.
