Jump to content

IPs der Server ändern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch.

Getrennt sind LAB-Netzwerk und Gast-WLAN.

Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren.

Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet.

Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden.

Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert.

Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte.

Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht.

Hier mal so ein Überblick:

9 RDS Hosts (9 Sammlungen)

RDC-Broker

2x Applikation-Server (einer ist Remote-App)

Backup-Server (Nakivo)

CA

2x DC

Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt)

File-Server

2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS)

SQL

 

Was wären eure Ansätze dazu?

Danke

bearbeitet von kosta88
Link zu diesem Kommentar

Prinzipiell eine gute Idee.

Eine Aufteilung der Netze erhöht aber nicht per se die Sicherheit. Bei meinem alten AG waren die Netze ebenfalls aufgeteilt, allerdings fest per Routing-Switch geroutet. Vom reinen Sicherheitsaspekt her war das jetzt kein wirklicher Vorteil da jeglicher Traffic zwischen den Netzen erlaubt war. Die Segmentierung erhöht aber die Stabilität des Netzwerks, da bestimmte Netze prioisiert werden können (z.B. VoIP).

Bei meinem jetzigen AG sind die Netze per Firewall geroutet. Da ist natürlich ganz genau einstellbar, welche Dienste/Ports zwischen den Netzen kommunizieren dürfen. Der Aufwand der FW-Regeln ist dabei nicht zu unterschätzen!!!

Auch solche Dinge wie z.B. WOL müssen dabei bedacht werden. Funktioniert dann eben nicht mehr so einfach.

Bei uns gibt es eine strickte Trennung für: 

  • Management (Switche, VM-Hosts, Backup, usw.)
  • Server
  • Client
  • Printer
  • Wifi
  • VoIP  

 

bearbeitet von monstermania
Link zu diesem Kommentar

Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients.

Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit...

WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis.

 

Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen.

Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht.

bearbeitet von kosta88
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...