pastors 10 Geschrieben 16. Dezember 2006 Melden Teilen Geschrieben 16. Dezember 2006 Hallo, ich weiß im moment nicht wie ich mein Problem lösen kann. Folgendes, ich habe eine Domäne firma.local. Im LAN befindet sich ein SharePoint Portal Server. Zugriff vom LAN funktioniert problemlos. Nun sollen auch Kunden auf diesen SPS zugreifen. Eine Möglichkeit wäre diese mittels NAT durch die Firewall direkt auf den Server im LAN zu forwarden. Das ist aber seitens der Sicherheit keine gute Lösung. Die SPS Serverfarm kann wie bei allen neuen Microsoft Produkte aus den verschiedenen Rollen herausgelöst werden. Wäre es möglich, einen ADS (extern.local= und einen SPS Webserver in die DMZ zu stellen? Ein Kunde greift nun auf den Webserver in der DMZ zu. Nun müßte der Webserver anhand des ADS in der DMZ fragen, ob der Benutzer das Recht hat. Doch wie verheirate ich die beiden verschiedenen Systeme. Die interne Domäne müsste der externen Domäne vertrauen. Könnte das funktionieren und wie sicher ist das? Grüßle Mike Zitieren Link zu diesem Kommentar
Deejablo 10 Geschrieben 16. Dezember 2006 Melden Teilen Geschrieben 16. Dezember 2006 Mhmm... Irgendwie blick ich das nicht ganz... Was ich verstanden habe... Du hast einen SPS in einer internen Domäne. Auf diesen sollen nun KUnden von extern zugreifen. Soweit richtig oder :D ? Jetzt willst du die Kunden und die internen Benutzer trennen... Sprich eine DMZ erstellen in der der SPS steht und der sowohl vom internen LAN wie auch vom Internet erreichbar ist?!? Normaler Weg wäre einfach eine neue Domäne zu erstellen und zwischen die DMZ und deine .local einen Router oder Firewall zu hängen. Wer von außen zugreift ist dem SPS völlig Wumpe... Du musst den SPS so oder so nach außen veröffentlichen. Und da ich nicht hoffe, dass du ihn direkt ans Netz hängst, sondern noch ne Firewall davor hast, kommst du gar nicht umhin ne Weiterleitung in der Firewall zu erstellen. Alles was dann auf dem SPS rumhoppeln soll, erstellst halt als Benutzer in der DMZ oder baust ne Vertrauensstellung zwischen deinen beiden Domänen auf. Die Kunden musst du in der DMZ anlegen. Funktionieren tuts auf jeden Fall. Möglichkeiten gibts wahrscheinlich dutzende... Und wenn du zwischen die verschiedenen Netzwerke nen ISA oder ähnliches hängst, hast auch keine Sicherheitsprobleme. Grüße Christian Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 16. Dezember 2006 Autor Melden Teilen Geschrieben 16. Dezember 2006 Hi, die Weiterleitung bezog sich auf das interne LAN. Soweit hab ich das verstanden mit der Vertrauensstellung. Es müßte dann eine einseitige Vertrauensstellung sein. Von extern nach intern oder? Doch wie verhält es sich, wenn sich auch Mitarbeiter am DMZ ADS anmelden sollen. Funktioniert das dann mit firma\Benutzername oder so ähnlich? Mike Zitieren Link zu diesem Kommentar
Deejablo 10 Geschrieben 17. Dezember 2006 Melden Teilen Geschrieben 17. Dezember 2006 Das mit firma\Benutzername funktioniert auch ohne Vertrauensstellung. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 18. Dezember 2006 Melden Teilen Geschrieben 18. Dezember 2006 Andere Möglichkeit wäre, einen ISA 2006 zu installieren und darüber den SPS für die Öffentlichkeit bereitzustellen. In der Domain könnte man ggf. eine OU für Kunden erstellen und darin deren Userdaten speichern. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.