Symbadisch 10 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 Ich wollte mal nach euren Erfahrungen fragen wie ihr mit Servern in der DMZ umgeht? Bisher haben wir die Server in der DMZ weder in der Domäne drin, noch am WSUS hängen, aber ist das so korrekt? Klar hat unsere Variante den Vorteil, dass ich keine Ports zwischen DMZ und LAN öffnen muss, aber ist das korrekt wenn ich an solche Dinge denke wie GPOs, WSUS, AV...? Habe viel gegoogelt aber widersprüchliche Aussagen gefunden, habe auch ein Whitepaper von MS gefunden, in welchem empfohlen wird die Server in der DMZ in die Domäne aufzunehmen. Wie geht ihr hier um bzgl. dem Thema?
NorbertFe 2.298 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 Anforderungen definieren. ;) Im Allgemeinen ergibt sich dann daraus schon eine Lösung. Normalerweise sind DMZ Server nicht in der Domäne des LAN, sondern evtl. in einer eigenen, wenn überhaupt. WSUS Kann man natürlich auch Servern in der DMZ zur Verfügung stellen, ohne dass diese dazu in der Domäne stehen müssen.
magheinz 111 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 Wir haben einfach keine Windowsserver in der DMZ sondern wenn nötig loadbalancer/reverseproxys. Welche Windowsdienste habt ihr den in der DMZ?
NorbertFe 2.298 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 DNS ;) und Edge :p Und beides gepatcht und problemlos und stabil ;)
Symbadisch 10 Geschrieben 10. November 2015 Autor Melden Geschrieben 10. November 2015 Normalerweise sind DMZ Server nicht in der Domäne des LAN Genau so hab ich es bisher auch gehandhabt, da wir keine Dienste in der DMZ betreiben, welche das AD benötigen. Mich hat es eben in strudeln gebracht, das ich mehrmals heute gelesen habe man nimmt die Server der DMZ in die Domäne auf. Aber ich sehe hier Gefahr wenn ich die Firewall öffne, wo ich es nicht muss. Virenscanner habe ich als Standalone auf den Servern, mit dem Nachteil den Server nicht in der Managementkonsole zu haben. Das ist eigentlich auch der einzige Nachteil den ich bisher bemerkte. GPOs brauchte ich bisher noch nicht auf den Servern. Windowsupdates habe ich bisher bei den Servern händisch installiert. Kann ich die gefahrlos über den WSUS (steht im LAN) verwalten, benötige hier ja nur den Port dafür.
NorbertFe 2.298 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 Microsoft definiert sowas auch für den amerikanischen Mittelstand mit mehreren 100 Servern in der dmz und die haben dann ein eigenes ad innerhalb der dmz. ;)
Sunny61 836 Geschrieben 10. November 2015 Melden Geschrieben 10. November 2015 Windowsupdates habe ich bisher bei den Servern händisch installiert. Kann ich die gefahrlos über den WSUS (steht im LAN) verwalten, benötige hier ja nur den Port dafür. Und Du kannst den WSUS ja auch auf Port 8531/SSL konfigurieren, dann hast Du an der Stelle auch noch etwas mehr Sicherheit. 1
Symbadisch 10 Geschrieben 11. November 2015 Autor Melden Geschrieben 11. November 2015 Das mit dem WSUS per SSL klingt sehr gut, mach ich. Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch.
Sunny61 836 Geschrieben 11. November 2015 Melden Geschrieben 11. November 2015 Das mit dem WSUS per SSL klingt sehr gut, mach ich. Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch. Hier noch das dazugehörenden HowTo: http://www.wsus.de/ssl_kommunikation
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden