5.29. IDERI note Gateway Deployment-Optionen

Abbildung 5.86 zeigt in vereinfachter Form eine klassische IDERI note Umgebung in einen Active Directory® Umfeld, wie sie in einer Vielzahl von Produktivumgebungen im Einsatz ist: In der fiktiven Active Directory® Domäne ideri.local dient der Windows Server dc01.ideri.local als Domänencontroller, auf dem Windows Server inotesrv.ideri.local ist der IDERI note Service installiert und liefert Nachrichten an die IDERI note Clientinstallationen auf den Domänenrechnern (client01.ideri.local, client02.ideri.local, ...) aus. Das sichere Netzwerkperimeter der Domäne ideri.local ist durch eine Firewall vom Internet separiert. Ausgehend von dieser Konstellation stellt der Text im folgenden Abschnitt verschiedene Varianten des IDERI note Gateway Deployments mit unterschiedlichen Eigenschaften und unterschiedlicher Komplexität vor.

Eine klassische IDERI note Umgebung ohne Mobilgeräte

Figure 5.86: Eine klassische IDERI note Umgebung ohne Mobilgeräte

5.29.1. Erreichbarkeit des IDERI note Gateway ausschliesslich aus dem Firmennetzwerk/Firmen-WLAN

In der einfachsten Ausbaustufe der klassischen IDERI note Umgebung aus Abbildung 5.86 wird das IDERI note Gateway auf einem Memberserver des Active Directory® installiert wie in Abbildung 5.87 illustriert. Mobilgeräte verfügen typischerweise nur über einen WLAN-Adapter, um Netzwerkverbindungen ins LAN aufzunehmen. Mit diesem können sich nun die Mobilgeräte über Access Points mit dem IDERI note Gateway verbinden und Nachrichten empfangen.

Diese Deploymentvariante ist die am wenigsten aufwendige und auch die sicherste Methode, hat aber den Nachteil, dass die Reichweite für Mobilgeräte auf die Reichweite der Access Points in den Firmengebäuden begrenzt ist. Für viele Anwendungen kann dies aber auch schon vollkommen ausreichend sein.

Eine Variante dieser Deploymentmethode besteht darin, auf den Mobilgeräten einen VPN-Client zu installieren, der sich mit dem Firmennetzwerk verbindet. Damit ist es möglich, den Einsatz der Mobilgeräte auf ausschliesslich mit dem Internet verbundene Mobilgeräte zu erweitern, wobei der VPN-Tunnel neben der WLAN-Schnittstelle natürlich auch eine Mobilfunkverbindung verwenden kann.

Deployment-Variante 1: Mobile Geräte sind nur im Firmen-WLAN oder über VPN funktionsfähig

Figure 5.87: Deployment-Variante 1: Mobile Geräte sind nur im Firmen-WLAN oder über VPN funktionsfähig

5.29.2. Erreichbarkeit des IDERI note Gateway aus dem Internet

Abbildung 5.88 zeigt die Deploymentvariante 2, bei der sich die mobilen Clients zusätzlich auch über das Internet mit dem IDERI note Gateway verbinden können. Bei dieser Variante ist das IDERI note Gateway aus dem Internet erreichbar, aber nicht dergestalt, dass nur ein simples Portforwarding an ein Netzwerkinterface des IDERI note Gateway vorgenommen wird. Für einen Domain-Joined Server, der Serverdienste ins Internet anbietet, sollten Best Practices von Microsoft folgend weitere Vorsichtsmassnahmen getroffen werden:

  • Der Server sollte in einer DMZ stehen.
  • Der Server sollte keine schreibfähige Verbindung zum Domänencontroller haben, er sollte sich also ausschliesslich mit einem RODC (Read Only Domain Controller) verbinden können.
Deployment-Variante 2: Mobile Geräte sind aus dem Internet funktionsfähig, das |INOTEGW| steht mit einem RODC in einer DMZ

Figure 5.88: Deployment-Variante 2: Mobile Geräte sind aus dem Internet funktionsfähig, das IDERI note Gateway steht mit einem RODC in einer DMZ