Mmmh. Ich überleg gerade wo ich das genau her habe.
Ich habs auf einem Security Seminar bei MS am Rande gehört und irgendwo bei der Prüfungsvorbereitung zur 70-227 gelesen. Leider hab ich keinen Link parat.
F: Wir planen die Verwendung von Active Directory zum Implementieren internetbasierter Anwendungen. Hierbei wird es sich um eine vom internen Active Directory-Verzeichnis getrennte Gesamtstruktur handeln. Wir fragen uns, ob es möglicherweise einige empfohlene Vorgehensweisen beim Sichern von Active Directory-Domänencontrollern in einer DMZ-artigen (Demilitarized Zone) Umgebung gibt. ....
Original geschrieben von Basran Mmmh. Ich überleg gerade wo ich das genau her habe.
Ich habs auf einem Security Seminar bei MS am Rande gehört und irgendwo bei der Prüfungsvorbereitung zur 70-227 gelesen. Leider hab ich keinen Link parat.
Ich kann mir durchaus denken, dass hie und da von einem "Memberserver" in der DMZ die Rede oder zu lesen war, aber damit war garantiert ein Memberserver einer Arbeitsgruppe gemeint. In keinem MS-Paper oder Artikel finden sich Empfehlungen für einen MemberServer einer Domäne in der DMZ, eher das Gegenteil davon.
Werde ich denn immer falsch verstanden, oder drücke ich mich schlecht aus.
Ich schrieb:
Ist nicht ganz optimal, normalerweise sollten die Server in der DMZ eine eigene Arbeitsgruppe bilden und nichts mir der AD zu tun haben.
Grizzly antwortete:
Also das mit dem "Standard" kenne ich nicht, halte mich dennoch für erfahren.
Einen Alleinstehenden Server (Arbeitsgruppe) ja, aber einen Server aus dem AD in die DMZ ....
Und dann auf einmal:
Grizzly die Zweite:
Ich kann mir durchaus denken, dass hie und da von einem "Memberserver" in der DMZ die Rede oder zu lesen war, aber damit war garantiert ein Memberserver einer Arbeitsgruppe gemeint. In keinem MS-Paper oder Artikel finden sich Empfehlungen für einen MemberServer einer Domäne in der DMZ, eher das Gegenteil davon.
Die AD-Replikation über eine Firewall, bezieht sich meines Wissens eher auf die Problematik AD duch das Internet zu replizieren. Eigentlich kann man dann auch eine VPN-Verbindung nutzen. Den Zweck eine Internetreplikation habe ich noch nie so ganz verstanden, aber interessant ist der Artikel trotzdem.
Original geschrieben von Data1701 . Den Zweck eine Internetreplikation habe ich noch nie so ganz verstanden, aber interessant ist der Artikel trotzdem.
Gruß Data
Den Zweck? Nicht alle Firmen haben Standleitungen. Es gibt solche, so wie wir, die beinahe ausschliesslich mit einer Firewall/VPN Topologie arbeiten.
P.S.: Der Vorteil einer DMZ besteht immer noch darin, dass ein kompromitiertes System in einem Subnetz steht, welches nicht direkten Zugung auf ein anderes Netz (Produktivnetz von mir aus) hat.
Der Zugriff erfolgt nur über einen default Gateway (ob jetzt das ein bloser Router ist oder eine Firewall ist ja egal).
P.P.S.: @the_brayn
In dem Zitat geht's aber um Controller, und die in einem DMZ zu stellen macht jetzt absolut keinen Sinn.
Ich würde direkt den Sinn in Frage stellen, Domänencontroller überhaupt in einer DMZ einzusetzen. Schließlich grenzt die so genannte demilitarisierte Zone (Demilitarized Zone, DMZ) (bestenfalls) ein halb vertrauenswürdiges Netzwerk ab.
Velius:
Den Zweck? Nicht alle Firmen haben Standleitungen. Es gibt solche, so wie wir, die beinahe ausschliesslich mit einer Firewall/VPN Topologie arbeiten.
Wenn ich die Netze doch per VPN gekoppelt habe, dann ist doch so oder so der gesamte Traffic zugelassen. Die Netze vertrauen sich. Das habe ich doch im Satz davor gesagt, oder ?
Data:
Eigentlich kann man dann auch eine VPN-Verbindung nutzen
Die Problematik des Artikels bezog sich wohl eher darauf, Replikation zwischen VPN-gekoppelten Standorten zu ermöglichen, bei den aber gewisse Verkehrsbeziehungen geblockt werden, bevor die IP-Packete in das jeweilige andere Netz gelangen. Duch das mappen der Replikation auf einen RPC-Port, ist es mir möglich die Firewall mit einer Regel für die AD-Replikation zu öffnen.
Ein DC, da sind wir uns wohl alle einig, gehört definitiv nicht in die DMZ.
Wenn ich die Netze doch per VPN gekoppelt habe, dann ist doch so oder so der gesamte Traffic zugelassen. Die Netze vertrauen sich. Das habe ich doch im Satz davor gesagt, oder ?
Ein DC, da sind wir uns wohl alle einig, gehört definitiv nicht in die DMZ.
Hab ich ja oben geschrieben, oder? Ausserdem gibt es durchaus Leute, welche den internen VPN Traffic auch filtern möchten (siehe unter anderem meinen Firewall Thread hier im Board). Ich bin auch der Meinung, dass man verknüpfte Standorte nicht filtern sollte, aber es gibt ja unterschiedliche Auffassungen......
ich habe das Gleiche gemeint, Du musst mich aber mißverstanden haben.
Data:
Die AD-Replikation über eine Firewall, bezieht sich meines Wissens eher auf die Problematik AD duch das Internet zu replizieren. Eigentlich kann man dann auch eine VPN-Verbindung nutzen.
Velius:
Den Zweck? Nicht alle Firmen haben Standleitungen.
