toao 4 Geschrieben Gestern um 08:13 Melden Geschrieben Gestern um 08:13 (bearbeitet) Hi an alle, folgende Anfrage aus dem business liegt mir vor: In einer DMZ (basierend auf ADDS) wird von den dort laufenden Diensten, Softwarelösungen, ... eine DNS Namensauflösung von Hostnamen benötigt, die sich in der Produktion (basierend auf ein eigentständiges ADDS) befinden. Mir fallen folgende Optionen ein - *ohne Bewertung hinsichtlich Aufwand, Sicherheit,...*: - DNS Proxy (z.B. Firewall) - Eingeschränktes (nur die DMZ Dienste, Softwarelösungen,.., die es brauchen) DNS port opening von DMZ zu PROD - Conditional Forwarder der DMZ DNS Server (Windows DNS Rolle) konfigurieren inkl. port opening - HOSTS Datei der DMZ Systeme nutzen - Auf den DNS Server (Windows DNS Rolle) der DMZ die DNS Zone der Produktion erstellen und pflegen - DNS zone transfer von Produktion zur DMZ Mir ist bewusst, dass viele dieser Ansätze problematisch sind - sei es aus Sicherheitsgründen oder wegen des Pflegeaufwands und weiteren Gründen. Undabhängig davon interessiert mich, welchen Ansatz ihr in solchen Fällen verfolgt und natürlich das "warum?". Grüße, toao bearbeitet Gestern um 08:16 von toao Zitieren
cj_berlin 1.443 Geschrieben Gestern um 12:21 Melden Geschrieben Gestern um 12:21 Moin, ich bin bereit zu wetten, dass die DMZ nicht jeden einzelnen Host in Prod braucht, sondern nur eine kleine Auswahl. Die kannst Du manuell oder per Skript pflegen. Solange die Kommuinikation von Prod nach DMZ initiiert wird, ist es nicht problematisch. Wenn DMZ tatsächlich *jeden* Host in Prod auflösen muss, hast Du ein Architektur-Problem, und DNS ist vermutlich die kleinste Deiner Sorgen. Zitieren
toao 4 Geschrieben vor 6 Stunden Autor Melden Geschrieben vor 6 Stunden Hi, nicht jeden ist richtig. Mittlerweile so viel das ich nach einer alternative zu "manuell" geschaut habe. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.