Jump to content

Windows Server 2019 private IP Adresse


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Gemeinde,

 

ich habe mich dazu entschlossen einen Terminalserver aufzusetzen und habe es auch letztendlich hinbekommen. Meine Konfiguration sieht folgendermaßen aus:

 

Root Server bei Hetzner auf dem folgendes installiert ist:

1) Windows Server 2019 mit nur einer Rolle, und zwar der Hyper-V Rolle

2) Unter diesem Host Server zwei VM's auch mit jeweils Windows Server 2019 : 1. VM : AD, DC, DNS. 2. VM : Remote Desktop Services (Terminalserver) 

 

Ich 2 öffentliche IP's bestellt die ich dann den VM's per MAC-Adresse zugewiesen habe. So weit so gut. Es hat auch alles soweit funktioniert. Jeder meiner Mitarbeiter konnte sich auf dem Server einloggen und daran arbeiten. Dann bekam ich eine E-Mail vom BSI das der LDAP Port meiner AD öffentlich zugänglich sei und für DDoS Attacken angreifbar wäre. Nach einer Recherche im Netz bin ich ( ich hoffe das ich richtig liege), darauf aufmerksam geworden das man den DC mit AD nicht an einem öffentlichen Netz betreiben sollte. Da meines eine öffentliche IP-Adresse hatte, gehe ich davon aus das dies gemeint ist. Nun wollte ich diesen zwei VM's private IP-Adressen zuweisen in Form von z.B : 192.168.xx.xx , weiß aber nicht wie ich das ganze angehen soll und es stellt sich mir auch die Frage das wenn der RDS-Server ( Terminalserver) nur eine private also interne IP-Adresse bekommt, wie sollen dann meine Mitarbeiter dadrauf zugreifen? Ich steh hier echt auf dem Schlauch. Wir sind ein kleiner Betrieb mit maximal 25 Usern. Könnt ihr mir da bitte weiterhelfen ?

 

MFG 

Link zu diesem Kommentar

Hi,

 

ich würde das Aufgebaute erstmal wieder abschalten und mir ganz schnell Hilfe holen. Mal abgesehen davon, dass man auf einem Root Server keinen Virtualisierungs-Host betreibt, wie steht es mit Backup (und Restore)? Was machst du wenn der Server ausfällt? Wie ist das lizenziert?

 

Um das halbwegs in den Griff zu kriegen:

  • Zum vorhandenen externen vSwitch einen neuen internen vSwitch erstellen
  • "Firewall Appliance mit VPN Funktion" installieren und das externe Interface mit dem externen vSwitch verbinden / internes Interface mit dem internen vSwitch verbinden
  • Auf dem externen vSwitch Interface der Firewall eine MAC mit öffentlicher IP nutzen / auf dem internen Interface private IP Adresse nutzen
  • VMs mit privaten IPs austatten und vom externen vSwitch trennen und an den internen vSwitch verbinden
  • VPN konfigurieren und verbinden
  • Auf der Firewall eingehend alles (außer VPN) blocken
  • Zugriff aus dem Büro / von zu Hause per VPN über die Firewall

Gruß

Jan

Link zu diesem Kommentar

Hallo Jan,

 

Lizenzen sind vorhanden. Backups habe ich mir so vorgestellt, dass ich die VM's einfach absichere und bei Problemen erneut einspielen kann. Kannst du mir bitte das alles Step-by-Step erklären, also detailliert wie ich da genau vorzugehen habe und welche Firewall Appliance ich da am besten wählen soll ? Noch eine Frage: Weshalb soll man auf einem Root-Server keinen Virtualisierungshost betreiben ? Wie würde man es denn sonst betreiben ?

 

MFG 

 

 

Link zu diesem Kommentar
vor 17 Minuten schrieb MarkusAntonius:

Kannst du mir bitte das alles Step-by-Step erklären, also detailliert wie ich da genau vorzugehen habe und welche Firewall Appliance ich da am besten wählen soll ?

Nein. Für Step-by-Step zitiere ich mich selber:

vor 54 Minuten schrieb testperson:

ich würde das Aufgebaute erstmal wieder abschalten und mir ganz schnell Hilfe holen.*

Das wird aber sicherlich darin enden, dass dir von diesem Konstrukt entschieden abgeraten wird.

 

* nicht in einem Forum

  • Danke 1
  • Haha 1
Link zu diesem Kommentar

Weshalb nicht in einem Forum ? Wozu gibt es diesen denn dann ? Ich würde auch einen Stundenlohn zahlen für jemanden der mir Hilft. Nicht nur weil es funktionieren soll und sicher ist, sondern auch weil ich Wissensdurst habe. Ich habe Mathematik und Informatik studiert, tut zwar nichts zur Sache aber ich denke rein Logisch sollte ich diese Aufgabe bewältigen können. Mir fehlt nur das Hintergrundwissen dazu. 

 

MfG

Link zu diesem Kommentar
vor 12 Stunden schrieb MarkusAntonius:

Dann bekam ich eine E-Mail vom BSI das der LDAP Port meiner AD öffentlich zugänglich sei und für DDoS Attacken angreifbar wäre.

vor 12 Minuten schrieb MarkusAntonius:

Nicht nur weil es funktionieren soll und sicher ist, sondern auch weil ich Wissensdurst habe.

Bitte nicht falsch verstehen, aber warum möchtest du auf einer Straße laufen lernen... Das kann nur schief gehen.

 

Für Übungen, Testkonfigurationen etc. empfehle ich immer erst Tests in der eigenen Umgebung. 

Link zu diesem Kommentar
vor 16 Minuten schrieb MarkusAntonius:

Weshalb nicht in einem Forum ?

Weil das Thema zu komplex ist. Bzw. wenn man es richtig macht, deinen Ansatz einfach verwirft.

vor 16 Minuten schrieb MarkusAntonius:

Wozu gibt es diesen denn dann ?

Um Detailfragen zu klären bzw. nicht um jemanden von null auf hundert "auszubilden" bzw. schlüsselfertige Konfigurationen zu liefern.

vor 18 Minuten schrieb MarkusAntonius:

Ich würde auch einen Stundenlohn zahlen für jemanden der mir Hilft. Nicht nur weil es funktionieren soll und sicher ist, sondern auch weil ich Wissensdurst habe.

Ggfs. findet sich ja jemand, der sich mit dir in Verbindung setzt und das gegen Geld mit dir abarbeitet. (Allerdings wäre das nicht seriös, es so auf einem Root Server umzusetzen.)

vor 19 Minuten schrieb MarkusAntonius:

Ich habe Mathematik und Informatik studiert, tut zwar nichts zur Sache aber ich denke rein Logisch sollte ich diese Aufgabe bewältigen können. Mir fehlt nur das Hintergrundwissen dazu.

Schön das du studiert hast. Ich hoffe auch mit Erfolg. ;) Ich habe nicht studiert. "Nur" das Hintergrundwissen, naja, das haben sich sehr viele hier, losgelöst von Studium oder nicht, (mühevoll) erarbeitet und verdienen eben ihr Geld damit.

 

Das ist aber auch nur meine persönliche Meinung. Wie das andere sehen und handhaben, und ob andere dir helfen, überlasse ich komplett den anderen.

Meine Meinung zusammengefasst:

  • Virtualisierung auf einem Root Server ist der Holzweg
    • Plain RDP über das Internet ist der marode Holzweg
    • Ein im Internet erreichbarer Domain Controller ist der Holzweg aus völlig morschem Holz
  • "Hintergrundwissen" erarbeitet man sich selber oder kauft es eben ein
  • Stolpert man beim erarbeiten des Hintergrundwissens über Verständnisfragen, kann man sich darüber perfekt in einem Fachforum austauschen
  • Like 2
  • Danke 2
Link zu diesem Kommentar
vor 51 Minuten schrieb testperson:

Weil das Thema zu komplex ist. Bzw. wenn man es richtig macht, deinen Ansatz einfach verwirft.

Um Detailfragen zu klären bzw. nicht um jemanden von null auf hundert "auszubilden" bzw. schlüsselfertige Konfigurationen zu liefern.

Ggfs. findet sich ja jemand, der sich mit dir in Verbindung setzt und das gegen Geld mit dir abarbeitet. (Allerdings wäre das nicht seriös, es so auf einem Root Server umzusetzen.)

Schön das du studiert hast. Ich hoffe auch mit Erfolg. ;) Ich habe nicht studiert. "Nur" das Hintergrundwissen, naja, das haben sich sehr viele hier, losgelöst von Studium oder nicht, (mühevoll) erarbeitet und verdienen eben ihr Geld damit.

 

Das ist aber auch nur meine persönliche Meinung. Wie das andere sehen und handhaben, und ob andere dir helfen, überlasse ich komplett den anderen.

Meine Meinung zusammengefasst:

  • Virtualisierung auf einem Root Server ist der Holzweg
    • Plain RDP über das Internet ist der marode Holzweg
    • Ein im Internet erreichbarer Domain Controller ist der Holzweg aus völlig morschem Holz
  • "Hintergrundwissen" erarbeitet man sich selber oder kauft es eben ein
  • Stolpert man beim erarbeiten des Hintergrundwissens über Verständnisfragen, kann man sich darüber perfekt in einem Fachforum austauschen

Eben das tue ich ja. Du sagst es wäre der Holzweg aber sagst nicht warum. Nennst keine Argumente oder sonstige Lösungswege. Das ist Kritik und damit kann ich umgehen. Besser wäre aber eine konstruktive Kritik. Mir war klar das ich auf Shitstorm stoßen würde. Bei englischsprachigen Tutorials wurden solche Dinge nicht angesprochen. Ich wüsste zu gern warum.

 

 

PS: Achja, das Studium habe ich natürlich mit Erfolg abgeschlossen, sonst würde ich es nicht ansprechen. Und an die Leute die sich das Wissen angeeignet haben und damit ihr Geld verdienen: Gönne ich zu 200%. Aber jeder hat eben mal klein angefangen.

 

MfG

bearbeitet von MarkusAntonius
Link zu diesem Kommentar
vor 1 Minute schrieb MarkusAntonius:

Du sagst es wäre der Holzweg aber sagst nicht warum. Nennst keine Argumente oder sonstige Lösungswege. Das ist Kritik und damit kann ich umgehen. Besser wäre aber eine konstruktive Kritik.

Ganz einfach. Es stellt ein unkaluliertes und sehr hohes Sicherheitsrisiko dar, welches niemand freiwillig in Kauf nehmen will. Das fällt unter Dinge die man einfach nicht tut, weil sie zu absurd sind.

Link zu diesem Kommentar
vor 21 Minuten schrieb MurdocX:

Ganz einfach. Es stellt ein unkaluliertes und sehr hohes Sicherheitsrisiko dar, welches niemand freiwillig in Kauf nehmen will. Das fällt unter Dinge die man einfach nicht tut, weil sie zu absurd sind.

Ok das ist zwar keine richtige Antwort aber trotzdem Danke. Und wie macht man es richtig ? In dem man garkeinen root Server nimmt eventuell ? Oder lieber einen lokalen Server aufsetzt ?

 

MFg

Link zu diesem Kommentar

Das Problem ist, dass der Root-Server direkt am Internet hängt. Da Hetzner eine Firewall anbietet, lässt sich dieses Problem zumindest entschärfen, indem Du den RDP-Zugang auf den Host nur von Deiner IP aus erlaubst.

 

Dann würde ich wie von Jan vorgeschlagen vorgehen: eine Firewall-VM (z.B. mit OPNsense) installieren und die zweite IP dort drauf leiten. Die anderen VMs wären dann nur noch über die Firewall-VM erreichbar. Der Zugriff auf den Terminalserver erfolgte dann gefiltert nach IP (falls Du im Büro eine fixe IP hast) oder noch besser per VPN, terminiert auf der Firewall-VM. Auch den Zugang auf den Host kannst Du zumachen. Denn brauchst Du höchstens, wenn die Firewall-VM mal nicht erreichbar sein sollte.

 

Das wäre dann zwar von der Sicherheit her akzeptabel, aber nicht von der Verfügbarkeit, schon gar nicht für 25 Mitarbeiter! Dir muss bewusst sein, dass die günstigen Root-"Server" aus normaler PC-Hardware bestehen.

 

Du wärst bei einem Anbieter, welcher Dir einen verwalteten Terminalserver zur Verfügung stellt, besser aufgehoben. Da kümmert der sich um Firewall, Verfügbarkeit und Backup.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...