Server in der DMZ

[krake79 1]

Hi,

bisher habe ich eigentlich immer "kleine" Portweiterleitungen auf den Server direkt eingerichtet oder mit VPN gearbeitet.

 

Da VPN aber bei einem Projekt schlecht umsetzbar ist, habe ich mir jetzt mal den Aufbau mit einer DMZ zu gemühte geführt.

Hierzu hätte ich mal ein paar Fragen.

 

Die Server in der DMZ haben ja keine Verbindung zum AD. Ist dies immer noch Standard? Und sollte man die Verbindung zu den DC möglichst Dicht halten. Dachte im Zeitalter von Azure und Co. sieht das vielleicht anders aus. Habe da aber nix "aktuelles" gefunden.

 

In der DMZ würde eine VM-Ware stehen, auf dieser läuft ein Windows und ein Linux System als Proxy. (Das Windows System würde ich gern ans AD hängen) 

Wie schaut es mit der Sicherung aus? Die "normalen" Server werden mit Veeam gesichert, kann ich hier die Port öffnen oder auch lieber nicht....

 

Vielen Dank für Eure Meinung und Denkanstöße,

 

ruhigen Abend noch...

 

 

[NorbertFe 2.283]

vor 16 Minuten schrieb krake79:

Das Windows System würde ich gern ans AD hängen

Warum?

[krake79 1]

Gute Frage

 

Ist mehr eine generelle Frage, ob dies geht oder von abzuraten ist. - Im ersten Step brauche ich dies nicht.

 

Aber ich überlege dort den RDP Server vielleicht mit einem RDG in die DMZ und spätestens dann brauche ich ja Zugriff auf´s AD!

[NorbertFe 2.283]

Ja, deswegen empfiehlt MS auch ein zweibeiniges RDG afair. Ob das eine sinnvolle Lösung ist, kann ich nicht einschätzen, wir setzen auf Citrix.

[krake79 1]

Ja, wie gesagt RDP bzw. RDG habe ich mich noch nicht wirklich mit beschäftigt. 

Mir Spinnen grad so viele Sachen durch den Kopf, da dachte ich Anmeldung am AD wäre einfach schön

 

Wie gesagt DMZ ist ein wenige Neuland für mich.

 

Wollte die DMZ trotzdem möglichst von außen sperren, also nur die Ports zulassen, welche wirklich benötigt werden.

Wie greife ich überhaupt am sinnvollsten auf die DMZ-Systeme zu? Intern, extern oder VPN?! 

 

Desto mehr ich über mögliche Konstellationen nachdenke, umso mehr Fragen tauchen auf...

[Ganzjahresgriller 1]

Wäre es ggf eine Idee einen Readonly DC in der DMZ zu installieren und nur dieser darf mit dem AD "sprechen"?

[NorbertFe 2.283]

In meinen Augen ist das keine valide Möglichkeit.

[Ganzjahresgriller 1]

Warzum nicht, wenn ich fragen darf?

[krake79 1]

Hatte ich auch schon gedacht... Aber wenn dieser kompromittiert werden würde, wäre es auch "doof" wenn jemand die ganzen AD Daten auslesen kann.

 

Glaube ich lasse den vorerst da raus!

 

Spricht eigentlich etwas dagegen den Verkehr vom Lan in die DMZ "komplett" offen zu lassen, oder sollte man das auch beschränken. Normalerweise (Lan mit "normalen" Router) ist ja Lan zu Wan auch erstmal alles offen.

[NorbertFe 2.283]

Weil ein RODC trotzdem zuviele interne INformationen beinhaltet und natürlich auch Mitglied im AD ist.

[Ganzjahresgriller 1]

Ok, danke verstanden.

[mwiederkehr 395]

Mit dem RDG kommt man nicht um eine Verbindung ins interne AD herum, sei das per direktem Domain-Join, per RODC oder per Forest-Trust.

 

RDmi mit Server 2019 würde ein solches Szenario unterstützen, aber das läuft nur, wenn die DMZ in Azure ist.

 

Für RDP könnte man ein alternatives Gateway wie Apache Guacamole nehmen, hätte dann aber zwei Logins (einmal fürs Gateway und einmal für die RDP-Session).

[krake79 1]

Ja, aber das verstehen dann die User nicht, verschiedene Logins und Passwörter! Die wollen alle SSo! 

Mal schauen entweder es gibt einen RODC oder weiter VPN! Obwohl wie gesagt bei Azure liegt der ganze kram ja auch eigentlich im Internet....

[testperson 1.860]

Hi,

 

ggfs. kannst du das über den Windows Application Proxy und ADFS lösen.

 

Gruß

Jan

[magheinz 111]

Wir haben openldap-Server in der DMZ welche RO-proxys zum AD sind. 

Somit muss man schon mal zwei Server übernehmen um die AD zu erreichen und kann dann auch nur bestimmte Bereiche auslesen.