toao 4 Geschrieben 11. Juni Melden Geschrieben 11. Juni Hi an alle, folgende Anfrage aus dem business liegt mir vor: In einer DMZ (basierend auf ADDS) wird von den dort laufenden Diensten, Softwarelösungen, ... eine DNS Namensauflösung von Hostnamen benötigt, die sich in der Produktion (basierend auf ein eigentständiges ADDS) befinden. Mir fallen folgende Optionen ein - *ohne Bewertung hinsichtlich Aufwand, Sicherheit,...*: - DNS Proxy (z.B. Firewall) - Eingeschränktes (nur die DMZ Dienste, Softwarelösungen,.., die es brauchen) DNS port opening von DMZ zu PROD - Conditional Forwarder der DMZ DNS Server (Windows DNS Rolle) konfigurieren inkl. port opening - HOSTS Datei der DMZ Systeme nutzen - Auf den DNS Server (Windows DNS Rolle) der DMZ die DNS Zone der Produktion erstellen und pflegen - DNS zone transfer von Produktion zur DMZ Mir ist bewusst, dass viele dieser Ansätze problematisch sind - sei es aus Sicherheitsgründen oder wegen des Pflegeaufwands und weiteren Gründen. Undabhängig davon interessiert mich, welchen Ansatz ihr in solchen Fällen verfolgt und natürlich das "warum?". Grüße, toao Zitieren
cj_berlin 1.477 Geschrieben 11. Juni Melden Geschrieben 11. Juni Moin, ich bin bereit zu wetten, dass die DMZ nicht jeden einzelnen Host in Prod braucht, sondern nur eine kleine Auswahl. Die kannst Du manuell oder per Skript pflegen. Solange die Kommuinikation von Prod nach DMZ initiiert wird, ist es nicht problematisch. Wenn DMZ tatsächlich *jeden* Host in Prod auflösen muss, hast Du ein Architektur-Problem, und DNS ist vermutlich die kleinste Deiner Sorgen. Zitieren
toao 4 Geschrieben 12. Juni Autor Melden Geschrieben 12. Juni Hi, nicht jeden ist richtig. Mittlerweile so viel das ich nach einer alternative zu "manuell" geschaut habe. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.