ComputerBase Menü
Aktuelles

Terminalserver + Datenbank + Bankingsoftware - welches Setup?

S

sugar76

Cadet 4th Year
Registriert
Nov. 2017
Beiträge
102
Hallo allerseits,

ich plane für einen Kunden die Entwicklung einer Desktop-Software XYZ (hat noch keinen Namen), die vorzugsweise im Intranet des Kunden laufen soll.

Folgendes Szenario:
* Im Intranet läuft eine MS SQL Server Datenbank.
* Im Intranet läuft eine Bankingsoftware, welche eine Exportschnittstelle besitzt und über diese XYZ Zugriff auf die Umsätze diverser Bankkonten ermöglicht.
* Auf den Arbeitsplatz-PCs (alle Windows 7-10 Home) ist XYZ installiert und greift auf die Datenbank zu.
* über VPN kann man sich von außen ins Intranet einwählen und per RDP XYZ nutzen.

Das einfachste + billigste wäre, alle Serverkomponenten (VPN + Terminalserver + Datenbank + Bankingsoftware) auf einer Server-Hardware zu installieren, wg. RDP + MS SQL Server würde ich auf Windows Server setzen.

Etwas Bauchschmerzen habe ich wg. dem Terminalserver. Dieser ist ja von außen per VPN erreichbar und wer auf den Server kommt, hat auch Zugriff auf die Datenbank und die Bankingsoftware (letztere hat allerdings einen zusätzlichen Zugangsschutz per Benutzername/Passwort). Gleichzeitig darf es aber nicht zu teuer sein, ich will dem Kunden nicht drei Server hinstellen, einen für die Datenbank, einen für die Bankingsoftware und einen für den Terminalserver.

Wie seht Ihr das? Kann man das so umsetzen? Oder seht Ihr andere, ebenfalls kostengünstige Alternativen?

Gruß Abid
 
Hat der Kunde Servertechnisch aktuell nichts? Deine Aussage er nutzt auf den Clients "Home", lässt ja befürchten das es nicht mal eine Domäne gibt. Wie viele Clients gibt es denn?

Die "Allerbilligste" halbwegs ordentliche Lösung wäre ein ESX/HyperV-Single-Host mit RDX und NAS als Backup. Darauf setzt Du dann virtualisert auf

1x Windows-DC, AD, DNS, DHCP, File, Print
1x Windows-SQL (Reicht vielleicht auch erstmal ein kostenloser Express? Du bist der Entwickler)
1x Windows-RDP/Applikationen (Banking/XYZ)
1x Windows Veeam-Backup (Disk2RDX2NAS)

VPN-Softwareclient mit Shrew auf ne FritzBox, Zugriff auf den RDP verrechtet über das AD, Zugriff auf die Banking-Anwendung verrechtet über die Applikation

Das bringt natürlich auch einen entsprechenden Wust an Lizenzen mit sich für die Server und CALs, Backup und Office365 samt Hosted Exchange wird man im RDP wohl auch nutzen wollen.

Mancher würde das Konstrukt immer noch als "gruselig" bezeichnen, von der Ausgangslage gesehen wäre es allerdings vermutlich schon Deluxe. Mit Hard- und Software samt ordentlicher Implementierung und Migration ist man da aber locker fünfstellig, wenn Dein Kunde nicht zufällig gemeinnützig ist und seine MS-Software über Stifter-Helfen beziehen kann. Ansonsten das Gesamtpaket über den Nutzungszeitraum von fünf Jahren leasen, kommt günstiger als ein einziger Dienstwagen.

Das bietet zumindest eine zentrale Datenhaltung, Sicherung und Verrechtung und praktischen Zugriff auf alles von überall so sicher wie es mit einfachen Mitteln möglich ist. Die lokalen Clients machen nichts weiter als eine RDP-Verbindung aufbauen und dienen ansonsten noch zum Surfen. Das bedeutet zentrale, wichtige Anwendungen wie Deine, Banking und Office müssen nur noch an einem Ort (dem RDP-Server) gepflegt werden. Bei Client-Neubeschaffung auf WinPro setzen.

Natürlich kannst Du ein Stück Blech nehmen und da WindowsServer/SQL/RDP/Office365 drauf installieren. Da würde ich allerdings recht viel Distanz zwischen mich und dieses Konstrukt bringen wollen.
 
Zuletzt bearbeitet:
Cat Toaster schrieb:
Hat der Kunde Servertechnisch aktuell nichts? Deine Aussage er nutzt auf den Clients "Home", lässt ja befürchten das es nicht mal eine Domäne gibt. Wie viele Clients gibt es denn?
Zum Vergrößern anklicken....

Erstmal danke für die ausführliche Antwort. Nein, beim Kunden stehen lediglich 6 PCs (das sind dann auch die Clients) und ein NAS, es gibt kein AD. Es müsste also alles neu gekauft werden, das ist ja das Problem.

Habe mit ESX noch nie zu tun gehabt, bin aber offen für alles. Zum Besseren Verständnis: ich habe bei vmware gelesen, den gibt's kostenlos? Kommt mir komisch vor ...
 
Zuletzt bearbeitet:
Den ESX Hypervisor gibt es kostenlos, ja. Aber sobald man eine gescheite Backup-Software nutzen möchte die auf Hypervisor-Ebene Backups von den VMs machen will, wird es dann doch kostenpflichtig weil man eine Freischaltung auf eine "bezahlte" Version braucht, die die entsprechenden Schnittstellen freischaltet.

Wenn aber auch nur eine einzige VM mit Windows Server (ab 2012 R2) laufen wird, empfiehlt sich ohnehin Windows Server mit Hyper-V-Rolle (lies: NICHT den kostenlosen Hyper-V!) als Basis. Auch weil bspw. Veeam direkt auf dem Host laufen kann.

Erstmal danke für die ausführliche Antwort. Nein, beim Kunden stehen lediglich 6 PCs (das sind dann auch die Clients) und ein NAS, es gibt kein AD. Es müsste also alles neu gekauft werden, das ist ja das Problem.
Zum Vergrößern anklicken....
Naja, nee. Die Verrechtung/Verwaltung alleine macht WinPro + AD recht schnell bezahlt. Bei 6 PCs ist ein AD schon angemessen und die beste Basis für Skalierbarkeit.
Neue Mitarbeiter bei Infrastrukturen ohne AD anzulegen, ist jedes mal absolut ätzend, besonders wenn der Benutzer an mehreren PCs arbeiten können soll.

Aber mal was anderes: Warum bist du jetzt in der Rolle dem Kunden noch Serverinfrastruktur und Hardware bereitzustellen? Das ist die klassische Aufgabe eines Systemhauses.
Kleine Softwarehersteller die "irgendeinen" Server hinstellen (und es ist dann auch irgendeiner...) haben imho nicht die... Ressourcen um einschätzen zu können was angemessen ist. Die Frage dass ESXi kostenlos ist, zeigt dass du noch einen weiten Weg vor dir hast ^^ Den du aber auch beschreiten solltest, aber nicht auf Kosten des Kunden. Daher Systemhaus.

Gib dem Kunden deine Anforderungen mit der Bitte dass die sich ein Systemhaus reinholen, dass ihnen eine gescheite Infrastruktur/Server hinstellt und sie von den Home-PCs löst.


Die "Allerbilligste" halbwegs ordentliche Lösung wäre ein ESX/HyperV-Single-Host mit RDX und NAS als Backup. Darauf setzt Du dann virtualisert auf

1x Windows-DC, AD, DNS, DHCP, File, Print
1x Windows-SQL (Reicht vielleicht auch erstmal ein kostenloser Express? Du bist der Entwickler)
1x Windows-RDP/Applikationen (Banking/XYZ)
1x Windows Veeam-Backup (Disk2RDX2NAS)
Zum Vergrößern anklicken....

Ich würde Veeam eher auf dem Host laufen lassen & die vierte VM als File/Print laufen lassen, statt diese Rollen dem DC aufzudrücken. Wir reden doch von 2x Standard?
 
Zuletzt bearbeitet:
Das war jetzt nicht als allumfängliche Weisheit gedacht, ich weiß ja nix vom Kunden. Zu viele Rollen auf zu wenige Server zu drücken, kann man auch fast Würfeln, ist immer Grütze und doch besser als was er jetzt hat. :) Hauptsache es ist ordentlich gesichert. Ein ESX-Essentials-Bundle kostet meine ich um 400,-€, zumindest als ich sowas zum letzten Mal gemacht habe, was zwei Jahre her ist. Das muss letztlich der Partner entscheiden der es umsetzt, alles (und noch viel mehr!) zu klärende Detailfragen.

Jedoch vor allem hast Du damit recht, dass die ganze Aufgabe, dem Kunden überhaupt erstmal eine ordentliche Infrastruktur zu schaffen, Aufgabe eines Systemhauses sein sollte, nicht die eines Entwicklers. Der wird sonst schnellst zum Admin wider Willen und kümmert sich dann um alles, nur nicht mehr um die Entwicklung der Software, weil da plötzlich ein Dutzend neuer Themengebiete aus dem Nichts aufpoppen. Die Zeit und Lust muss man dann auch haben. Von den Haftungsfragen nicht zu sprechen.

Das sollte man die Verantwortlichkeiten schon trennen.
 
Das sollte man die Verantwortlichkeiten schon trennen.
Zum Vergrößern anklicken....
Meine Aufwände werden vom Kunden bezahlt und ich kann Infrastruktur-Aufgaben (Installation + Einrichtung eines Servers, etc.) an einen Admin übergeben. Es geht aktuell um die Erstellung einer realistischen Gesamtkalkulation.

Das Netzwerk des Kunden hat bisher gut funktioniert, ein Rollen- und Rechtesystem auf Basis von AD ist nicht erforderlich gewesen. Ich versetze mich in den Kunden: ich benötige eine Datenbank + einen Remote-Zugang + Bankingsoftware. Vor diesem Hintergrund das gesamte Netzwerk komplett neu zu strukturieren und auf allen Rechnern ein WinPro zu installieren, ist schwer vermittelbar. Den fünfstelligen Betrag muss der Kunde ja erst mal erwirtschaften.

Aber gut - ich sehe ein, dass ich es mir zu einfach vorgestellt habe. Werde das Ganze mal durchrechnen und dann mit dem Kunden reden.
 
"Das ist alles Scheiße was ihr habt, das muss alles neu" ist ja nicht was Du dem Kunden so 1:1 darbieten sollst. Wir kennen den Kunden ja nicht, Du aber! Weiß ich ob der eine nen Webmailer benutzt, der andere User Thunderbird, der dritte Windows Mail, der eine speichert seine Daten lokal, der andere auf dem NAS. Das weiß hier keiner, da ich das alles aber schon gesehen habe, nehme ich einfach mal das Schlimmste an.

Der angesprochene Lösungsansatz bietet ja Vorteile: Zentrale Erreichbarkeit von unterwegs/Höhere Verfügbarkeit/Zentrale Administrierbarkeit, Datenhaltung, schnelle lokale wie dezentrale Datensicherung/definierte und messbare Wiederherstellbarkeit/Rechtssicherheit/Standardisierung und Transparenz.

Das alles nicht zu haben, kostet auch Geld, vielleicht sogar irgendwann die wirtschaftliche Existenz.

Wenn IT dem Kunden nicht als Selbstzweck dient, sondern davon sogar das wirtschaftliche Überleben abhängt, kann einem das vielleicht 250-500,-€ im Monat wert sein. Selbst wenn ihm die Bude komplett samt Server abfackelt, kann die Umgebung binnen 24h auf einem anderen Server wieder hergestellt werden, vorausgesetzt die RDX-Cartridge mit dem Backup wurde nicht auf dem Server gelagert... Das ist doch was Wert, oder nicht? Schlägt trotz hoffentlich vorhandener Sicherheitsmaßnahmen ein Verschlüsselungstrojaner zu, fällt er maximal einen Arbeitstag zurück. Versehentlich löschen von Daten soll dagegen häufiger vorkommen. Mich lässt sowas privat schon ruhiger schlafen, darauf antworten zu haben.

Du kannst ja mit Deinem Wissen über den Kunden die richtigen Fragen stellen. Wenn er auf alles Antworten hat, kann man ihm damit nicht packen, vielleicht ist ja alles Super organisiert, wir wissen es nicht.

Übrigens musst Du an den Clients erstmal GAR NICHTS machen. Wenn Du schon einen RDP-Server hinstellst, würde ich den auch intern nutzen. Die User kriegen nur eine RDP-Verknüpfung auf den Desktop und nutzen den Fat-Client nur für Sachen, die nicht RDP-Tauglich sind, aber eben nicht Office, Banking und Deine Applikation. Die Umstellung auf "Pro" kann im Laufe der Zeit mit dem Austausch der Clients erfolgen.

Du kannst den ganzen Kram "OnPremise" auch ganz knicken, und Dein Projekt mit Microsoft Azure in der Cloud abbilden. SQL als Dienst, RDP als VM, Office 365 dabei, fertig. Das Preisschild dafür ist allerdings nicht unbedingt günstiger, aber der lokale Aufwand fällt weg und das Ding ist monatlich kündbar und einfach skalierbar.

Es gibt immer mehr als eine Antwort, deswegen das alles bitte nur als Anregung verstehen.

Wenn dafür wirklich kein Geld da ist, liegt das Problem im Geschäftsmodell des Kunden. Es liegt dann im Ermessen des Dienstleisters, ob er sich das zu eigen machen will.
 
Es gibt immer mehr als eine Antwort, deswegen das alles bitte nur als Anregung verstehen.
Zum Vergrößern anklicken....
Ist schon klar, ich habe die Antworten für mich als Anregung aufgenommen, um mal verschiedene Varianten durchzurechnen.

Das Problem wurde ja schon angesprochen: neben den Fragen, die unmittelbar den Einsatz der Software angehen, tut sich hier ein weites Feld auf, in dem es grundsätzlich darum geht, wie man so ein Büro-Netzwerk am besten aufbaut.

Übrigens musst Du an den Clients erstmal GAR NICHTS machen. Wenn Du schon einen RDP-Server hinstellst, würde ich den auch intern nutzen.
Zum Vergrößern anklicken....
Interessanter Punkt. Vereinfacht auch die Verteilung der Software auf den Clients.
Ergänzung ()

Jetzt noch mal zwei Verständnisfragen, würde mich über Hilfestellung freuen :-)

1) Angenommen, auf einem separaten Rechner läuft die Bankingsoftware. Zugriff auf die Daten der Bankingsoftware soll von außen nicht möglich sein (Daten liegen im Verzeichnis C:/Windata) - auch nicht wenn man per VPN im Netzwerk ist. Genügt es, den Zugriff über Freigaben/Benutzerzugriffsrechte zu steuern oder braucht es da weitergehende Absicherung nach außen?

2) Es genügt eine Windows Server 2016 Standard Lizenz, um einen Hyper-V Container aufzusetzen, mit beliebig vielen Gastsystemen. Bei Windows Server Essentials ist nur ein Gastsystem möglich. Korrekt?
 
Hallo sugar76,

Es genügt eine Windows Server 2016 Standard Lizenz, um einen Hyper-V Container aufzusetzen, mit beliebig vielen Gastsystemen.
Zum Vergrößern anklicken....

Antwort: Nein, Du darfst den 2016 auf Hardware installieren und "darunter" 2 virtuelle Systeme Betreiben

Bei Windows Server Essentials ist nur ein Gastsystem möglich. Korrekt?
Zum Vergrößern anklicken....

Antwort: Nein, Du darfst den 2016 installieren oder virtuell Betreiben.

Sorry wenn ich das so sage aber bei dem was ich lese glaube ich nicht das du ein Active Directory aufsetzen und betreuen solltest.

MfG, d33jay
 
1) Angenommen, auf einem separaten Rechner läuft die Bankingsoftware. Zugriff auf die Daten der Bankingsoftware soll von außen nicht möglich sein (Daten liegen im Verzeichnis C:/Windata) - auch nicht wenn man per VPN im Netzwerk ist. Genügt es, den Zugriff über Freigaben/Benutzerzugriffsrechte zu steuern oder braucht es da weitergehende Absicherung nach außen?
Zum Vergrößern anklicken....
Mh-mh, naja. Limitierung über Benutzerzugriffsrechte wären die eine Sache - aber geh mal davon aus dass jemand der das VPN kompromittieren kann ebenfalls Zugriff auf die (gecacheten) Benutzerdaten hat. Von daher, nein, Begrenzung über Freigaben/Benutzerzugriffsrechte reicht nicht aus.
Um das halbwegs sauber abzutrennen, müsste der "Bankingserver" in einem separaten VLAN stehen und der Zugriff auf den Bankingserver damit durch einen Router/Gateway bzw. Firewall gehen, in der ich einstellen kann "Zugriff über SMB-/SQL-Protokolle Richtung IP Banking-Server erlaubt ausschließlich von IPs aus [bestimmten IPs vom internen Netz]."

Kann man auch in der lokalen Firewall vom Banking-Server einstellen, aber transparent/übersichtlich wird das alles dann nicht mehr.

Wir bewegen uns aber mittlerweile sehr klar in Richtung UTM & Domänen-Netz. Es ist zwar möglich einen Terminalserver ohne Domäne aufzusetzen, ist aber tierisch ätzend und den Aufwand überhaupt nicht wert. Die ganzen CALs brauchst du eh, also machs gleich richtig. Das Rumgekrepel wird den Kunden auch nicht freuen.

Sag ihm ganz klar, dass ohne eine Domäne ein Terminalserver wie er es will nicht möglich ist.

2) Es genügt eine Windows Server 2016 Standard Lizenz, um einen Hyper-V Container aufzusetzen, mit beliebig vielen Gastsystemen.
Zum Vergrößern anklicken....
Jein. Bei Standard darfst du max. zwei zusätzliche VMs mit demselben Key aufsetzen, sofern der Hyper-V keine anderen Serverrollen außer Hyper-V hat, nebst beliebig vielen anderen Gastsystemen (welche natürlich wiederum selbst korrekt lizenziert sein müssen).

Bei Windows Server Essentials ist nur ein Gastsystem möglich. Korrekt?
Zum Vergrößern anklicken....
Ja, und zwar nur ein Essentials. Und bei Essentials gilt dann: KEINE weiteren VMs (egal was).

Essentials ist aber eh kein Thema wenn Richtung Terminalserver geschielt wird.
 
Zuletzt bearbeitet:
Ich möchte mich mal für die vielen Antworten bedanken. Dass ich kein Experte für das Aufsetzen von Firmennetzwerken bin, ist klar. Deswegen habe ich hier um Rat gefragt und den habe ich bekommen.

Ich nehme mit, dass die allgemeine Empfehlung ist, das Netzwerk mit einem DC zu betreiben, wenn man Features wie Terminalserver, Absicherung der Bankingsoftware, etc. nutzen will.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

usmave
Expenology Eigenbau NAS, externes USB Laufwerk in Cloud sichern
Antworten
1
Aufrufe
639
duAffentier
duAffentier
M
Ideen / Hilfestellung für NAS ersatz
Antworten
1
Aufrufe
621
Skysurfa
Skysurfa
M
[IPv6] Fernzugriff per Portfreigabe
2
Antworten
31
Aufrufe
2.292
dope69
D
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
327
Mickey Mouse
Mickey Mouse
P
Eigenen VPN-Server aufsetzen oder Alternative dazu?
Antworten
4
Aufrufe
2.884
Pummeluff
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz