Moin!

stehe da vor einem kleinem Problem... Wir haben eine statische IP über die unsere Außendienstleute auf unsere Web-basierende Firmensoftware zurückgreiffen können (Projektverwaltung).

Mit anderen Worten: Aus dem Internet ist eure Firma über genau eine öffentliche IP erreichbar, und ansonsten existiert ein Intranet mit einem privaten IP-Adressbereich, der aus dem Internet nicht erreichbar ist (der Adreßbereich natürlich).

So nun habe ich aber das Problem, daß wir nun einzelne Abteilungs-Server einrichten wollen/sollen/müssen, wo jede Abteilung mit einem eigenen Admin sich um Inhalte kümmert.

Das ist dann vielleicht keine gute Idee.

Das Problem ist, wie du schon richtig erkannt hast, der Zugriff von außen.

Im Intranet selbst ist diese Aufgabe kein großer Akt. Du richtest einen Nameserver ein, der zur Intranet-Domain passende Subdomains konfiguriert kriegt, und richtest die einzelnen Sub-Server passend dazu ein.

Mit anderen Worten: Die Intranet-Domain sein ".intra"
Du richtest Abteilungsserver-Namen (mit den IP-Adressen der vorgesehenen Server) ein: abteilung1.intra, abteilung2.intra usw.

Intern ist dann der Zugriff auf die einzelnen Server mit "http://abteilung1.intra" möglich. Der Zugriff auf den Hauptserver ist genauso geregelt.

Der Zugriff von außen aber wird auf diese Weise nicht funktionieren. Irgendwie müßten ja die Servernamen auch nach außen hin bekannt werden. Das geht aber nur, indem du öffentliche Subdomains einrichtest. Weiterhin müssen die zugeordneten IP-Adressen der Abteilungsserver natürlich auch öffentlich sein - da du aber nur eine statische IP hast, wird das unmöglich sein.

Mit anderen Worten: Du kannst von extern nur auf eine einzige Domain zugreifen, die auf eine einzige IP verweist, hinter der sich nur ein einziger Server verbergen kann.

Lösungsmöglichkeiten:
1. Warum Abteilungsserver? Wenn es ohnehin nur um Inhalte geht, kann der zuständige Mitarbeiter die auch auf dem zentralen Server pflegen. Der Unterschied zwischen "http://abteilung1.intra" und "http://www.intra/abteilung1" ist nur marginal. Außerdem glaube ich, dass eine dezentrale Serverlandschaft in den meisten Fällen überdimensioniert sein dürfte - das hängt aber natürlich von der Firmengröße und Mitarbeiterzahl ab.

2. Die zweite Möglichkeit, von extern auf das dezentrale Intranet zuzugreifen, wäre ein Proxyserver auf dem zentralen Server, der dafür sorgt, dass die Zugriffe ins Intranet weitergeleitet werden. Der Apache kann sowas machen (es gibt ein Proxymodul), allerdings muß irgendwie über die URL mitgeteilt werden, welcher Server denn gewünscht ist. Hierzu ist entweder ein virtueller URL-Baum unterhalb _einer_ Domain notwendig, oder es sind entsprechend viele öffentliche Subdomains im DNS konfiguriert. Ob und wie der Proxy das dann auseinanderhalten kann, und wie er dazu bewegt wird, die Daten durchzuleiten, kann ich nicht beantworten.

3. Natürlich kannst du auf dem Internet-Router auch Port-Forwarding konfigurieren. Dann wäre es allerdings notwendig, je Abteilungsserver einen anderen Port von außen durchzuschalten, und die Außendienstmitarbeiter müßten sich die Liste von Ports merken, damit ihre Browser auf dem richtigen Server landen.

4. Insgesamt schätze ich die Sicherheitslage bei allen diesen Methoden als sehr schlecht ein. Deshalb wäre die beste Variante, dass du ein Virtuelles Privates Netz errichtest. Damit können sich die Außendienstmitarbeiter verschlüsselt ins Intranet einloggen und alle Dienste des Intranets so nutzen, als würden sie direkt in der Firma sitzen. Insbesondere interner DNS und interne Webserver. Und die Verschlüsselung sichert die Verbindung obendrein.

- Sven Rautenberg