AFM_Adm 11 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Hallo beisammen, wir haben ein paar Hyper-V VM's in der DMZ und würden diese gerne sichern. Im internen LAN kommt der DPM zum Einsatz, der in der DMZ nicht supported wird (wahrscheinlich ja aus Security Gründen). Bisher werden die VM's in der DMZ auf eine USB-Platte gesichert, da mir eine andere SICHERE Lösung nicht bekannt ist. Da auf diesen VM's keine Produktiv-Daten liegen, aber Config's für vorgelagerte Systeme die sich zwischendurch ändern, würde ich diese schon gerne sichern. Habt ihr andere Tipps/Ideen? Wie sichert ihre eure Server in der DMZ? MfG Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Ich kenne den Agenten vom DPM nicht, Aber warum darf ein Backup-Server nicht auf einen Backup-Agenten innerhalb eine DMZ zugreifen ? Dazu wären doch nur Ports in die DMZ zu öffnen und nicht umgekehrt. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Hi, der DPM weiß nicht ob es sich um ein internes geroutetes LAN oder um eine DMZ handelt. mit den entsprechenden Ports - wie Zahni beschrieben hat, ist es möglich. Haben wir auch im Einsatz lg Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Hi,der DPM weiß nicht ob es sich um ein internes geroutetes LAN oder um eine DMZ handelt. mit den entsprechenden Ports - wie Zahni beschrieben hat, ist es möglich. Haben wir auch im Einsatz lg Und wieso ist es dann nicht supported? "Protection of perimeter network (DMZ) machines is not supported in DPM 2010." Security Considerations for Protecting Computers in Workgroups or Untrusted Domains Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Weil es darauf ankommt, ob der Host als solches ein Domänenmember ist und via gesondeter Netzwerkkarte Zugriff aufs interne Netz hat. lg Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Und weil wir zusätzlich von 2 verschiedenen Versionen sprechen.. Du von 2010 (wie ich dem Link entnehme) Ich von 2012 (die du dem Link entnehmen kannst) Managing protected computers in workgroups and untrusted domains Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Und weil wir zusätzlich von 2 verschiedenen Versionen sprechen..Du von 2010 (wie ich dem Link entnehme) Ich von 2012 (die du dem Link entnehmen kannst) Managing protected computers in workgroups and untrusted domains Wenn ich das hier aber richtig sehe, wird es auch in DPM 2012 nicht supported. :D Security Considerations for Protecting Computers in Workgroups or Untrusted Domains Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Du willst einen Hyper-V host sichern oder? - siehe meinen Link.. die andere Möglichkeit siehst du einen Beitrag weiter oben. lg Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Ich möchte nicht den Host selber, sondern die VM die drauf läuft sichern. ;) Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Stichwort Childpartition snapshot. Der Client ist bei uns nur am Host installiert (Hyper-V Server 2k8r2 - somit core) und es werden nur die VMs gesichert - nicht der Host selbst. Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 29. August 2012 Autor Melden Teilen Geschrieben 29. August 2012 Stichwort Childpartition snapshot. Der Client ist bei uns nur am Host installiert (Hyper-V Server 2k8r2 - somit core) und es werden nur die VMs gesichert - nicht der Host selbst. So machen wir es ja auch bisher, also mit VSS über den Host die VM sichern. Halt lokal auf USB-Platte und nicht über DPM, da so wie ich es verstehe nicht supported wird. Und nur weil man den Host von der VM über VLAN's getrennt hat, garantiert das ja noch keine 99,9 prozentige Sicherheit. ;) Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 29. August 2012 Melden Teilen Geschrieben 29. August 2012 Wie definierst Du denn eine DMZ ? Nach meiner Logik stehen da externe Hardware-Firewalls drumrum und es werden andere IP-bereich verwendet. Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 30. August 2012 Autor Melden Teilen Geschrieben 30. August 2012 Wie definierst Du denn eine DMZ ? Nach meiner Logik stehen da externe Hardware-Firewalls drumrum und es werden andere IP-bereich verwendet. Ich versuche die DMZ physikalisch vom internen LAN zu trennen, also andere Switche, etc. Die einzige physikalische Schnittstelle, soll auf der FW bzw. den FW-Switchen liegen. Auf der FW terminiere ich dann die benötigten Netze in Abhängigkeit von Regeln. :) Ansonsten könnte ich ja auch die DMZ VM's auf einem internen Hyper-V Host laufen lassen und über VLAN's trennen... Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Ich versuche die DMZ physikalisch vom internen LAN zu trennen, also andere Switche, etc.Die einzige physikalische Schnittstelle, soll auf der FW bzw. den FW-Switchen liegen. Auf der FW terminiere ich dann die benötigten Netze in Abhängigkeit von Regeln. :) Ansonsten könnte ich ja auch die DMZ VM's auf einem internen Hyper-V Host laufen lassen und über VLAN's trennen... Kannst du ja machen. Der DPM braucht eine Route zum Hyper-V Host, der Hyper-V Host braucht eine retour Route, auf der FW müssen die Ports offen sein (welche sagt dir technet ;)) lg Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 31. August 2012 Autor Melden Teilen Geschrieben 31. August 2012 Habt ihr sonst noch Tipps/Ideen? Wie sichert ihre eure Server in der DMZ? MfG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.