INVESTOX-Forum

Hallo,

ich setze Investox seit über einem Jahr auf einem Server ein. Vor ca. 2 Monaten machten ich den Wechsel von Windows 2003 zu 2008 - 32 Bit.

Bisher läuft der Server ohne jede Unterbrechung - bis auf Wechsel - stabil. Mit dem Dongel habe ich definitiv keine Schwierigkeiten.

Ob die 64 Bit Version unterstützt wird kann ich nicht beurteilen.

Meine Frage ist jedoch wozu du die Serverversion einsetzen möchtest. Ist deine Absicht wirklich einen Server - irgendwo ohne stets angemeldeten User - laufen zu lassen oder geht es dir nur um ein anderes Betriebssystem für den üblichen Desktop? Im zweiten Fall würde ich mit dem klassischen Spruch der IT antworten "Never change a running system". Je länger ich dabei bin (ca. 20 Jahre) desto höher schätze ich ihn ein .

Gruß

Martin

Hallo,

ich weiß leider nicht, was du mit dem sicheren Aushandeln der Schlüssel meinst. Kannst du dazu was sagen, spezielle zu der Frage 2003 oder 2008?

Zu dem Mobile - ich schätze über Remote Desktop - kann ich nichts sagen, da ich über mein Notebook und einen Desktop kontrolliere.

Gruß

Martin

Hallo

Zitat von »PnLtobePositive«

Wenn Client und Server sich das erste Mal unterhalten, tauschen sie nach meinem Verständnis eine Zufallszahlenfolge aus,

Ja, und zwar crypted mit dem Pre Shared Key oder dem Zertifikat. Also ist der Pre Shared Key oder das Zertifikat auf einem sicheren Weg vorher auszutauschen, und es gibt ja kein Problem.

Sicherer Weg ist in unserem Rahmen normalerweise einfach herzustellen: am Beispiel Pre-Shared Key 1) generieren, solange wie möglich mit allen möglichen Zeichen 2) auf die beteiligten Rechner installieren (eintippen, ich würde auch Cut&Paste über einen USB Stick für mich als sicher genug betrachten). Fertig.

Was ich sagen will: es ist normalerweise nicht, dass wir im Umfeld von einem "Investox-Rechenzentrum" von einem Multinationalen Unternehme sprechen, wo der eine Mitarbeiter ein Key-Paar generiert und den Public Key jetzt seinem Kollegen in Singapore schickt, während der verifizieren muss, ob der Key unterwegs kompromitiert wurde Und man DESSWEGEN eine vertrauenswürdige Dritte Partei einschalten müsste ... Sondern Du selber trägst den USB Stick von Rechner zu Rechner und Du vertraust Dir, dass unterwegs niemand an den Stick drankommt um den Key zu klauen, oder

Hallo PnLtobePositive

Das Problem ist halt, dass Windows vom Werdegang her nicht wirklich einen Netzwerk-Hintergrund hat. Also, es nicht wie andere noch heute eingesetzte Betriebssysteme den Weg Top-Down (erst Business OS, dann immer mehr privat) gegangen wie UNIX/Linux, es war auch nicht vor 30 Jahren schon am (Business Markt) wie zOS (damals 360, 370, 390, MVS).

Stattdessen kam es als Betriebs-System für Arme auf den Mark, als Überbau nur für DOS. Es hat seither marketingmässig einen tollen Weg hinter sich, seinen ersten Käufer Billy dabei unendlich reich machend. Aber es ist ein Endanwender-System, dem professionelle Elemente immer wieder dazugebaut werden müssen.

Nun fragst Du nach Windows Server 2008. Im Genesatz zu den genannten Betriebssystemen habe ich wirklich keine Erfahrung mit Windows Server 2008. Möglicherweise unterstützt dort Windows endlich einen sicheren Zugriff auf Betriebssystem-Ebene. Endlich, weil es ja in einer Unix Umgebung gar keine Frage wäre, wie man einen sicheren Tunnel eirichtet und dann diverse Anwendungen durchtunneln lässt.

Nehmen wir an, Windoof 2008 Server kann endlich, was alle schon immer können, wie wird man wohl das andere Ende des Tunnesl sichern?

Wenn Du von einem Rechenzentrum sprichst und nicht sicher bist, wie der sichere Zugriff mit Windows gestaltet werden kann, sehe ich diese Möglichkeiten:

* Setze Dich mit dem RZ Betreiber zusammen und frage ab, welchen sicheren Zugriff zu Deinen bei ihm positionierten Windows Maschinen er vorgesehen hat und welche Software er Dir zur Verfügung stellt

* Hat er nichts, dann wir es eng. Dann musst Du den ganzen Weg alleine gehen. Falls Du schon ein wenig KnowHow hast in der Richtung, könntest Du an beiden Enden ssh verwenden, einen sicheren Tunnel aufdbauen und eine der VNC Varianten da durchtunneln, um den Rechner im RZ zu bedienen

* Eine andere Möglichkeit wäre dann, als Endpunkt im RZ einen eigenen Router aufzustellen, der als Endpunkt für das VPN dient. Lancom hat passendes, andere Hersteller auch. Hier ist es wichtig darauf zu achten, dass die Client-Software für Deine Seite nicht nur Windows XP/VISTA bla bla unterstützt, sondern z.B. auch WM6. Sonst wird das nix mit dem sicheren mobilen Zugriff via Handy

* weitere Möglichkeiten sind denkbar, aber ...

in einer Windoof Umgebung muss man da alles selber ranbauen, OpenSource Sachen dazunehmen (Cygwin für ssh Tunnels, VNC), Fremdprodukte einkaufen (NCP) oder am Ende ohne genügendes Eigen-KonwHow auf den professionellen Man-in-the-Middle ausweichen, der DIr verspricht, nicht mitzuhören, wie diese Hamachi & Co.Geschichten.

Hi

Eine weitere Lösung könnte für Dich vielleicht ein KVM Switch over IP sein (Keyboard Video Mouse), z.B. hier beschrieben, inzwischen viele weitere Lösungen am Markt.

Mit einer KVM over IP Lösung kann man die Geräte aus der Ferne SSL verschlüsselt bis auf BIOS Ebene runter bedienen, nicht nur wenn Windows zufällig beim letzten Boot wieder gekommen ist ...

Desswegen hatte ich gefragt, was denn Dein Rechenzentrum-Betreiber so bietet; mehr als eine selbst aufgesetzte RDP Lösung sollte im professionellen Bereich schon geboten werden: KVM over IP wäre passend, wenn wir jetzt nur noch über Fernbedienung reden.