Windows Domain en laptops - Serversoftware en clouddiensten

woensdag 3 september 2014 17:28

Acties:

Topicstarter

Op dit moment ben ik bij een bedrijf een nieuw netwerk opnieuw aan het opzetten. Ook moet ik daarbij alle software upgraden (bijv. SQL Server 2000 -> 2012, Oei!)

Huidige situatie:
1 server (1 netwerkshare + SQL Server 2000)
3 clients (5 medewerkers)
1 printer

Nieuwe situatie:
1 server (in domain)
5 clients (8 medewerkers)
4 printers
3 laptops

Niet zo lastig tot nog toe, een beetje spelen met de verschillende mappen en de gebruikersrechten. Het was een vaste eis dat medewerkers kunnen wisselen van computers, dus ook netjes de basismappen e.d. goed ingesteld. Alleen nu komt de vraag:

Kunnen de 3 medewerkers met een laptop thuis of bij klanten ook in het domein inloggen, waarbij ze bij alle netwerkmappen kunnen + de desktop die ze ook op de lokale computer hebben.

Een VPN verbinding is geen probleem, vanaf de laptop simpel een verbindinkje openen en je kan in het netwerk, maar je moet natuurlijk eerst inloggen voor je verbinding kan maken.

Wie kan mij hierin adviseren hoe ik dit het beste aan kan pakken?

woensdag 3 september 2014 17:29

Acties:

DennusB

Windows doet AD caching

Als je dus een keer bent ingelogd op het AD kan je vervolgens zonder verbinding met het AD gewoon nog een keer inloggen en dan kan je daarna dus de VPN connectie opbouwen

Dat had je met een beetje Googlen of Testen ook wel kunnen vinden toch?

Owner of DBIT Consultancy | DJ BassBrewer

woensdag 3 september 2014 17:37

Acties:

DannyvdM

Topicstarter

Waarschijnlijk verkeerd gegoogled, dat is ook een kunst op zich

Kon er werkelijk niks bruikbaars over vinden.

Ik ga er direct mee testen!

ben vooral benieuwd hoe dat met de basis directory gaat.

woensdag 3 september 2014 18:20

Acties:

Killah_Priest

Welk OS draait de nieuwe server en wat draait er op de laptops?
Ik denk dat met name wat er op de laptops draait (pro / Enterprise) zal bepalen hoe je dit inricht.
Bij enterprise kun je gebruik maken van directaccess, bij pro zul je het moeten doen met vpn (met offline files icm redirected folders kom je overigens ook een heel eind).

woensdag 3 september 2014 18:29

Acties:

DannyvdM

Topicstarter

De laptops moeten nog worden aangeschaft

Dus daar heb ik de vrijheid in.

De server draait Windows server 2012 Essentials, meer "leek" mij niet nodig, maar achteraf kwamen ze met dit idee.

woensdag 3 september 2014 18:44

Acties:

arjants

Rds servertje ernaast geen makkelijkere oplossing?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 3 september 2014 22:40

Acties:

Wim-Bart

Zie signature voor een baan.

Sowiso zorgen met GPO's dat documenten folders redirected worden naar home drive en zorgen dat men lokaal op de PC's niks kan opslaan. Verder met Roaming profiles werken.

Dan kan je op de Laptop werken met Offline-files (kan je instellen door ze in andere OU te hangen en separate GPO voor te maken). Dan kunnen ze werken met hun eigen documenten als ze off-line zijn.

Daarnaast kan je een VPN oplossing neerzetten (eventueel gebaseerd op Windows 2012) waarmee de laptops een connectie op kunnen zetten, hebben ze ook toegang tot hun gedeelde data,

Aanbeveling, neem laptop met TPM en implementeer Bitlocker op de laptop's. Omdat ze off-line files werken wil je niet dat ze onversleuteld zijn.

Tip. Bouw het eerst virtueel in VMWare, Windows 8.1 hyper-v of wat dan ook. Gewoon klein poc'je bouwen met:

1 x server;
1 x VM PC
1 x VM Laptop

Dan kan je lekker testen.

[ Voor 11% gewijzigd door Wim-Bart op 03-09-2014 22:42 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 4 september 2014 16:28

Acties:

Verwijderd

Wim-Bart schreef op woensdag 03 september 2014 @ 22:40:
Sowiso zorgen met GPO's dat documenten folders redirected worden naar home drive en zorgen dat men lokaal op de PC's niks kan opslaan. Verder met Roaming profiles werken.

Dan kan je op de Laptop werken met Offline-files (kan je instellen door ze in andere OU te hangen en separate GPO voor te maken). Dan kunnen ze werken met hun eigen documenten als ze off-line zijn.

Daarnaast kan je een VPN oplossing neerzetten (eventueel gebaseerd op Windows 2012) waarmee de laptops een connectie op kunnen zetten, hebben ze ook toegang tot hun gedeelde data,

Aanbeveling, neem laptop met TPM en implementeer Bitlocker op de laptop's. Omdat ze off-line files werken wil je niet dat ze onversleuteld zijn.

Tip. Bouw het eerst virtueel in VMWare, Windows 8.1 hyper-v of wat dan ook. Gewoon klein poc'je bouwen met:

1 x server;
1 x VM PC
1 x VM Laptop

Dan kan je lekker testen.

Echt, roaming profiles... hoe vaak werken mensen nu nog langere tijd zonder internetverbinding? Ik vind het ouderwets eerlijk gezegd.

Vrijwel elke locatie biedt tegenwoordig wel wifi aan. En als je thuiswerkt, zoals TS aangeeft, heb je neem ik aan ook wel een internetverbinding.

En je adviseert Bitlocker, is een optie maar dan zou ik gewoon DirectAcces inplementeren.

donderdag 4 september 2014 18:03

Acties:

Killah_Priest

Verwijderd schreef op donderdag 04 september 2014 @ 16:28:
[...]
Echt, roaming profiles... hoe vaak werken mensen nu nog langere tijd zonder internetverbinding? Ik vind het ouderwets eerlijk gezegd.

Vrijwel elke locatie biedt tegenwoordig wel wifi aan. En als je thuiswerkt, zoals TS aangeeft, heb je neem ik aan ook wel een internetverbinding.

En je adviseert Bitlocker, is een optie maar dan zou ik gewoon DirectAcces inplementeren.

Inderdaad, mijn ervaring met roaming profiles is ook slecht, redirected folders (icm offline files waarbij in ieder geval je desktop en documents folder staat is meestal voldoende).

Bitlocker is helaas ook niet altijd mogelijk : ik kom regelmatig nieuwe laptops tegen zonder TPM (te beroerd voor woorden, nieuwe HP probooks zonder TPM erin, ze dwingen je om voor de elitebooks te gaan. Bitlocker zonder TPM is weer erg omslachtig).

Directaccess (ik adviseerde het zelf ook) heeft wel 1 nadeel wat voor veel MKB organisaties een probleem kan zijn, je moet blijkbaar perse 2 opeenvolgende IP adressen hebben hiervoor (publieke).

VPN verbinding opbouwen vanaf het inlogscherm van windows is dan een goed alternatief : je stelt op de laptop met een admin account de VPN verbinding in voor "all users" en vervolgens kun je via het inlogscherm van windows kiezen voor het aanmelden via VPN.

donderdag 4 september 2014 19:31

Acties:

T0ny

Directaccess heeft vanaf Windows 2012 geen twee opvolgende IP adressen meer nodig, dat scheelt dus weer als je maar 1 publiek IP heb.
Zie ook: http://www.windowsecurity...izard-overview-Part1.html

Ik denk dat een RDS server inrichten misschien wel de beste optie is voor je omgeving.
Je zou er ook aan kunnen denken om over te gaan op Office 365, op die manier kan je je bestanden en mail overal vandaan benaderen.

donderdag 4 september 2014 21:07

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Voor Teredo support zijn ook in Windows 2012R2 nog steeds twee opvolgende public ipv4 adresesen nodig.

Het werkt overigens wel zonder hoor, maar dan zal gebruik gemaakt worden van IP-HTTPS wat een iets lagere performance biedt bij gebruik van Windows 7 clients. Windows 8 clients maken gebruik van Null-encryption bij de SSL-sessie waardoor deze performance-hit in mindere mate optreed.

toevallig net bezig met een Direct Access upgrade van 2008R2 met UAG naar 2012 R2 zonder UAG

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 5 september 2014 10:22

Acties:

Rolfie

Verwijderd schreef op donderdag 04 september 2014 @ 16:28:
DirectAcces .

Direct access heeft ook Windows "Enterprise" nodig. En dat is nu net niet de versie die standaard bij OEM wordt geleverd. Dus meestal ook geen oplossing voor het MKB.

zondag 7 september 2014 14:17

Acties:

kaopadkai

Kunnen de 3 medewerkers met een laptop thuis of bij klanten ook in het domein inloggen, waarbij ze bij alle netwerkmappen kunnen + de desktop die ze ook op de lokale computer hebben?

Ja, dat kan.
De vraag is alleen; op welke manier wil je dat gaan doen?

Ik weet even niet om wat voor data het gaat, maar wat je in dit geval ook zou kunnen doen is een gedeelte van de server - de data benodigd bij klanten - beschikbaar maken via een webportal login.

Dan hoef je ook niet aan de haal met VPN verbindingen; je hebt alleen internet nodig om naar de webportal te gaan en in te loggen.

Misschien is het ook de moeite om de afwegingen te maken dit beheer gewoon uit te besteden aan een hostingpartij...

Maar dat alles is natuurlijk helemaal afhankelijk van je situatie en (veiligheids-)wensen.

OSCE | OSCP | CISSP

maandag 8 september 2014 11:57

Acties:

rookie no. 1

@chuai; en wat bedoel je dan met een webportal? Bedoel je iets van een Sharepoint oplossing?

dinsdag 9 september 2014 10:05

Acties:

Psycho_Mantis

Wow. So Amaze.

chuai schreef op zondag 07 september 2014 @ 14:17:
Kunnen de 3 medewerkers met een laptop thuis of bij klanten ook in het domein inloggen, waarbij ze bij alle netwerkmappen kunnen + de desktop die ze ook op de lokale computer hebben?

Ja, dat kan.
De vraag is alleen; op welke manier wil je dat gaan doen?

Ik weet even niet om wat voor data het gaat, maar wat je in dit geval ook zou kunnen doen is een gedeelte van de server - de data benodigd bij klanten - beschikbaar maken via een webportal login.

Dan hoef je ook niet aan de haal met VPN verbindingen; je hebt alleen internet nodig om naar de webportal te gaan en in te loggen.

Misschien is het ook de moeite om de afwegingen te maken dit beheer gewoon uit te besteden aan een hostingpartij...

Maar dat alles is natuurlijk helemaal afhankelijk van je situatie en (veiligheids-)wensen.

Klinkt wel omslachtig.
Een webportal heeft ook weer onderhoud nodig enzo, VPN lijkt mij minder moeite.

Het makkelijkste is om een hidden netwerk share aan te maken en maak daar voor elke gebruiker een map aan.
Zorg er voor dat elke gebruiker owner is van de map.

D.m.v. AD zorg je er voor dat dit de standaard netwerkschijf word. En dan zorg je ervoor dat je met group policy standaard de my documents, pictures, favorites naar deze map geredirect worden.
Ook moet je zorgen dat deze map offline beschikbaar is. Ook dit is een group policy.

Je kan dan weer met een VPN verbinding zorgen dat ze ook de globale netwerk schijven beschikbaar worden. (Tip: Gebruik SSTP, dit gebruikt gewoon port 443. Deze staat vrijwel altijd open bij iedereen, dus ook bij klanten.)
VPN kan je opzetten met Routing & Remote Access en de instellingen kan je met CMAK.exe (Connection Manager Administration Kit) uitrollen naar je clients

Roaming profiles is overigens gewoon een heel slecht idee, het inlog process word al belachelijk traag bij profielen groter dan 30 MB.

donderdag 11 september 2014 13:09

Acties:

alt-92

ye olde farte

Wim-Bart schreef op woensdag 03 september 2014 @ 22:40:
Sowiso zorgen met GPO's dat documenten folders redirected worden naar home drive en zorgen dat men lokaal op de PC's niks kan opslaan.

Of je zorgt vooor Onedrive pro, dan is het ook een poor man's cloudbackup voor lokale files.

Verder met Roaming profiles werken.

Roaming Profiles werken echt alleen maar goed als je binnenshuis blijft en overal draad hebt, en regelmatig van werkplek wisselt.
Laptops zijn over het algemeen personalized, en heb je altijd bij de hand als vaste werkplek.

Om maar eens een populaire meme aan te halen:
The amount of corrupt profiles on wifi and 3G networks are too damn high!

Daarnaast is het funest voor User Experience.
Ik heb net een project opgestart om juist RP van laptops te slopen, enkel Desktop en Document redirection (en van die eerste wil ik ook nog graag af).
Startup tijden zijn gereduceerd van 5-6 minuten mét RP over Wifi naar anderhalve minuut gemiddeld, waarbij het meerendeel van de vertraging nog door de shitload aan verplichte GPO settings komt.

Het aantal users met een profiel corruptie probleem is met 80% gedaald, dataverkeer 40% minder gedurend gebruik (want minder background sync verkeer) en de storage behoefte met zo'n 20%.
En we hebben het dan bij ons over een slordige 60TB waar je wat van af kan halen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 17 september 2014 16:08

Acties:

Kobject

Windows Server 2012 bied een hele mooie functie "Workplace". Het is een prive cloud omgeving die direct gekoppeld is aan je AD. Als je Windows 8 op de laptops en dekstop installeert kan men deze direct integreren. De gebruiker hoeft hierna nooit naar om te kijken.

Andere optie is een internet website. Deze kan zowel deployen naar het WAN of via VPN een connectie maken. Als je dit geen optie vind kan je altijd nog kiezen voor een standaard VPN file sharing idee zoals dat bij server 2008 veel gebeurd nog.

woensdag 17 september 2014 21:30

Acties:

rookie no. 1

Workplace met Workfolders kan leuk zijn, maar voor zijn kleine omgeving? Je hebt formeel 3 Windows Server 2012R2 servers nodig om het werkend te maken, al is dat misschien best practice.

donderdag 18 september 2014 09:38

Acties:

Kobject

Ik heb zelf een presentatie van Microsoft bijgewoont waar ze het met 2 deden. Dit meer omdat de AD / DNS / DHCP apart stonden en eentje voor Workfolders.

Je kan ook via Unbuntu Server een eigen Owncloud opzetten. Zeker een leuke applicatie om eens naar te kijken. Het kan ook je calender en contacten sharen. Ook zit er een LDAP mogelijkheid in. Dus vele voordelen met betrekking tot resource besparing.

https://owncloud.org

donderdag 18 september 2014 16:58

Acties:

kroegtijger

Ideaal is naar mijn mening als je een VPN laat opbouwen voordat je inlogt, zodat al je settings netjes applied worden, of je nu op het LAN of in de buitenwereld connect. Of dat gaat, is afhankelijk van hoe je de VPN-verbinding opbouwt en welke software je daarvoor gebruikt. In het geval van een windows-eigen VPN-server kan je die zonder additionele toevoegingen laten toepassen. In het geval van additionele VPN-software is het afhankelijk van de software of het mogelijk is. Vaak is het niet zo'n probleem.

Een groter probleem zit over het algemeen in de snelheid van de verbinding en de manier van aanmelden. Een roaming profile is leuk, maar niet zonder dat je daar alle redirects ook in toepast, want de grap gaat er snel vanaf als 1 van de users het een goed plan leek om een DVD op het bureaublad te plaatsen, waarna je bureaublad van 4,5GB elke keer over een lijntje met weinig bandbreedte moet worden verzonden of ontvangen. Redirects kunnen prima werken, mits je dan uiteraard ook rekening houdt met offline files & folders instellen, zodat ook offline werken nog steeds mogelijk is.

In de praktijk blijkt daarom steeds vaker dat laptops niet van een roaming profile worden voorzien, maar gewoon een local profile gebruiken, en alleen authentication via het domein doen. Je kan de boel dan uiteraard nog steeds gewoon redirecten, offline files/folders toepassen of drivemappings over webdav (zoals owncloud, cloudstation etc of gewoon vanuit de native optie in IIS) aanbieden. Er is dus wel het een en ander mogelijk, maar eerst even goed inventariseren wat precies de wensen zijn, en users beperken in zaken waarvan je niet wilt dat ze dat kunnen (dus limiteren van desktops e.d ) kan een hele hoop problemen voorkomen.

iRacing Profiel

donderdag 18 september 2014 17:00

Acties:

kroegtijger

rookie no. 1 schreef op woensdag 17 september 2014 @ 21:30:
Workplace met Workfolders kan leuk zijn, maar voor zijn kleine omgeving? Je hebt formeel 3 Windows Server 2012R2 servers nodig om het werkend te maken, al is dat misschien best practice.

Op basis van de grootte van de organisatie zou ik er überhaupt al niet aan beginnen om zelf te proberen goedkoper/efficienter te zijn dan wanneer je gewoon een hosted omgeving afneemt bij een aanbieder van dergelijke omgevingen. Die kunnen de overhead veel lager houden, betrouwbaarheid vele malen hoger krijgen en bieden support, en waarschijnlijk ben je op basis van 4 jaar investeringskosten nog goedkoper uit ook dan wanneer je zelf alle hardware, software en uren moet gaan betalen die ervoor nodig zijn.

iRacing Profiel

Pagina: 1

Reageer