Windows Server in verschiedenen Netzen

[Posseidon]

Hi Leute folgende Frage:

Also zuerst mal meine Konfiguration:
Internet --> ADSL Modem (10.0.0.138) -->
(10.0.0.254) Smoothwall Firewall (192.168.0.254) -->
1.) DMZ --> Windows 2003 Server (192.168.1.254)
2.) Lokales Netz: mit Windows XP Clients (192.168.0.1-253)

So siehts aus in der Klammer steht jeweils eine IP Adresse passend zum Netz!

Funktioniert diese Konfiguration so? Zur Zeit liegt der Server (Windows 2003 mit Apache (Domain Controller AD)) im lokalen Netz aber das ist mir zu gefährlich, deswegen möchte ich die Smoothwall mit einer DMZ konfigurieren! Nur funktioniert das Active Directory wenn ich 2 verschiedene Netze habe?

Die Smoothwall schreibt vor dass der Server in der DMZ ein anderes Netz haben muss als die Seite zwischen Modem und Firewall und die LAN Seite!

Hoffe es ist halbwegs verständlich

Grüße Posseidon

[grizzly999]

Nein, ist mir nicht so ganz verständlich wie das Netz im Bereich aussehen soll. Du hast dir zwar große Mühe gegeben, aber da taucht ein 10-er Netz auf mit 2 Adressen, ein 192.168.1-er Netz mit einer Adresse und ein komplettes 0-er Netz.

Außerdem: ein DC in die DMZ stellen


grizzly999

[Posseidon]

also des 10er Netz musste ich deswegen vergeben weil mein Modem so voreingestellet von der Telekom kam!

Der Domain Controller sollte im lokalen Netz werkeln! Sprich die Windows XP Clients sind alle in diese Domain eingebunden! (noch)

Es problem ist dass ich jetzt dann schon 2 rechner im dauerlauf hab.
1.) die Firewall 2.) der DC

Ich möchte allerdings auch einen Webserver betreiben => FTP, HTTP usw...

Hab schon öfters gelesen dass man solche Dinge nicht ins Interne Netz forwarden soll (Port forwarding von P80 und 21) sondern dass man die DMZ für dieses verwenden soll!

So allerdings ist der Webserver bislang auf dem DC Rechner installiert.

Jetzt meine Frage:
Funktionier meine Domaine noch wenn ich den DC in die DMZ stelle? (wahrscheinlich nicht aber vielleicht gibts ja ne möglichkeit)

So besser gewesen?

Grüße Posseidon

[gr@mlin]

hi,

du willst doch bestimmt nicht den dc in die dmz stellen!

stell doch einen xp mit iis als webserver in die dmz, der seine daten auf dem webserver im internen netz liegen hat.

gruss, gr@mlin

[Posseidon]

Hmm ginge pürinzipiell allerdings folgendes:

1.) Rechner sollte durchlaufen (24h)
2.) verlangt smoothwall (wie schon oben gesagt) dass der Rechner der in der DMZ steht als Orange Adapter konfiguriert wird also sprich man muss diesen an eine dritte Netzwerkkarte in der Firewall hängen und ihm ein separates Netz geben!

Grüße Posseidon

[CyberDoc]

Gr@mlin hat schon recht.

Nimm doch einen alten Server oder einen einfachen XP-Rechner auf dem nicht gearbeitet wird, installier den IIS und Apache und stell den in die DMZ. Wo die Webseiten dann liegen ist egal.
Zum Beispiel kannst du dann von deinem "Webserver" in der DMZ auch eine VPN via IPSec zu deinem DC bauen um sicheren Verkehr zwischen DMZ und DC gewährleisten zu können. Deine Firewall sollte ja auch zwischen der DMZ und dem LAN NAT anbieten. Dann ist ein anderer Adressbereich auch kein Problem.

Den DC in die DMZ zu stellen halte ich für keine gute Idee, da du damit ja die Situation nicht änderst. In die DMZ wird der Port 80 und diverse Andere ja auch geöffnet. Dann kannst du den Webserver auch gleich im Lokalen Netz lassen.