Shandurai 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 Hallo NG folgende Systemumgebung: Ein Unternehmen mit mehreren Standorten Ein zentrales Netzwerk mit 6 DMZ Netzwerken: SQL Server, Terminal Server, .... Wenn ich nun die Server in den DMZ Netzwerken erreichen will, macht es Sinn im DNS server01.dmz.firma.local, server01.dmz2.firma.local, ... Also für jedes DMZ Netzwerk eine eigene Sub-Zone einzurichten? Oder reicht server01.firma.local, server02.firma.local, .... Also die DMZ NEtzwerke mit unterschiedlichen IP Bereichen in einer DNS Zone zusammenzufassen???? In den DMZ NEtzwerken gibt es kein ADS, nur Arbeitsgruppen Server. Danke & Gruß, Andre Schönes Wochenende! Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 Hallo, was mich etwas stört: "Ein zentrales Netzwerk mit 6 DMZ Netzwerken" Zentral oder 6 DMZs?? Wie sind denn die Server aus Sicht des Users erreichbar, über Router oder alle in einem Netz? Wie viele DNS-Server gibt es? Sind diese intern, extern oder für beides? Grüße Olaf Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 23. April 2005 Melden Teilen Geschrieben 23. April 2005 Hallo Andre - .. hört sich so an, als sollten sechs Server in EINER DMZ, in sechs jeweils eigenen Subnetzen untergebracht werden. Potentiellen Angreifern würde man durch die Benenneung DMZ1-6 schon mitteilen wie man seine DMZ organisiert hat. Darüberhinaus hätte man mehr zu konfigurieren und solange eure Server nicht alle server1 heißen ... (ADS dürfte in dieser Fragestellung keine Rolle spielen) Was spräche FÜR 6 Zonen? Gruss Robert Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 23. April 2005 Autor Melden Teilen Geschrieben 23. April 2005 oh, da hab ich mich in der Tat missverständlich ausgedrückt... ich versuchs nochmal ;) ---------- folgende Systemumgebung: - Ein Unternehmen mit mehreren Standorten - Ein Standort mit 6 DMZ Netzwerken: SQL Server, Terminal Server, .... - Zur Zeit werden die Server für alle unternehmensweiten Clients über IP Adressen adressiert, das ist nicht nur sehr aufwendig, sondern auch nicht wirklich zukunftsweisend. Ändert sich eine IP, muss je nach Art des Dienstes dies auf allen unternehmensweiten Clients geändert werden. Spätestens bei IP v6 ist das keine gute Lösung mehr ;) Also meine Idee: Da demnächst ein Server inkl. Windows 2000 Server Lizenz ausgemustert wird, würde ich den gerne unternehmensweit als internen prim. DNS einsetzen. Macht ja auch Sinn! Nur wie baue ich das Konstrukt sinnvoller Weise auf? Ich hätte jetzt folgendes gemacht: VPN und FW Regeln sind vorhanden, bzw freigeschaltet! - Übernahme der DNS Zonen aller Standorte - Anlegen von 6 Zonen für jedes DMZ Netzwerk, Konfiguration der Hosts die sich darin befinden - Zonennamen und Hosts (Beispiel!): dmz1.firma.local -> sqlserver.dmz1.firma.local dmz2.firma.local -> terminalserver.dmz2.firma.local dmz3.firma.local -> backupserver.dmz3.firma.local dmz4.firma.local -> fileserver.dmz4.firma.local dmz5.firma.local -> mailrelay.dmz5.firma.local dmz6.firma.local -> sqlserver-backup.dmz6.firma.local - Standort Servern den neuen internen DNS als prim. DNS eintragen, sec. DNS vorerst ein externer. Ein interner sec. DNS würde später hinzukommen! So, ich habe nun 6 Sub-Zonen angelegt. Damit würde ich in der Tat die Anordnung verraten... egal ob die Subs dmzX heißen oder serverfarmX oder oder oder... Andere Möglichkeit wäre einfach eine Sub-Zone anzulegen... und die gesamten Hosts darin zusammenzufassen. Was ist eurer Meinung nach besser? In den DMZ NEtzwerken gibt es kein ADS, nur Arbeitsgruppen Server. Danke und Gruß, Andre Jetzt aber ein schönes sonniges Wochenende ;) Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 23. April 2005 Melden Teilen Geschrieben 23. April 2005 Vielleicht darf ich noch folgendes anmerken: 1) Ein einziger DNS-Server ist wahrlich sehr wenig. Mindestens ein zweiter Server sollte sich als sekundärer Server zusätzlich bereithalten. Ich lese aus der Beschreibung, das der neue DNS-Server auch der erste DNS-Server im Netz überhaupt ist? Die anderen Standorte haben aber bereits DNS - sonst könnte man ja auch keine Zonen von dort übernehmen?! 2) Das Konzept der DNS-Zonen-benennung mit .local gilt als veraltet. Allgemein wird emfohlen so etwas wie intern.eurefirma.de als Name empfohlen, wobei eurefirma.de der Name sein soll/darf unter dem ihr auch im Internet zu erreichen seid. Für diese Art der Konfuguration hält MS auch einige Beispiele bereit 3) Ich dachte (bis jetzt) das Konzept einer DMZ beschreibt die Art der Absicherung eines(mehrerer) subnetzte z.B. zwischen zwei Router-Firewalls oder anderen Appliances. Welchen Sinn macht es den Mailserver z.B. in Subnetz .4/22 und den Webserver in .8/22 zu stellen wenn die Absicherung durch die Firewalls identisch ist? Ein bisschen ungemütlich finde ich die Platzierung aller Server in einer DeMilitarized Zone = weniger Sicherheit. gibt es denn noch eine richtige Serverfarm oder kleines Subnetz für andere Server? Wenn man das so ließt, könnte man meinen alle Server stehen in dieser DMZ ... Gruss Robert Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 24. April 2005 Autor Melden Teilen Geschrieben 24. April 2005 hallo erstmal danke für deine antworten :) vorab noch folgende info: die standorte sind bisher eigenständige netzwerke, z.t. sogar sbs... die mittel für ein gemeinsames ads werden ab herbst auf 2 jahre verteilt bereitgestellt. ich kann jetzt also das grundgerüst dafür anfangen aufzubauen. zu 1.) ein zweiter dns wird folgen. da dieser aber räumlich getrennt sein sollte, also am anderen ende von deutschland, wird das noch etwas dauern. zur zeit sind die standorte selber sozusagen sec. dns. die zonen die dort existieren werden auf den neuen prim. dns übertragen, prim. dns zonen werden auch auf den standorten angelegt. so hab ich es mir bisher gedacht... zu 2.) ich hätte bisher die domänen immer getrennt. ich werde mir die besipiele dafür aber mal angucken... aber denkbar wäre dann ja folgendes: internetzone: firma.de für interne zonen: intern.firma.de deutschlandzone: de.intern.firma.de stadortzone in deutschland: hamburg.de.intern.firma.de, muenchen.de.intern.firma.de, .... abteilungen wie buchhaltung.hamburg.de.intern.firma.de werden nicht gebraucht zu 3.) insgesamt durchläuft eine verbindung bis zu 3 firewall systeme. die server sind je nach der priorität an jeweils der 2. oder 3. firewall angeordnet: firewall 1. ist ein hardware router / firewall vom provider firewall 2. linux firewall mit 4 netzwerkkarten, davon 2 für dmz netzwerke (dmz1, dmz2). darin der mailserver (dmz1) und webserver (dmz2) firewall 3. linux firewall (anderer hersteller als bei 2. ;) ) mit 6 netzwerkkarten, davon 4 für dmz netzwerke. in diesen dmz netzwerken befinden sich ausschließlich server, die nur von intern erreichbar sein sollen... also die dmz anordnung sollte so einigermaßen sein... zu "4.") siehe Ein Standort mit 6 DMZ Netzwerken: SQL Server, Terminal Server, .... nur wie gesagt, meine frage lautet einfach, ob sich alle dmz server in einer dns zone befinden sollten, oder aber in 6 verschiedenen... das würde dann etwa so aussehen: sqlserver.dmz3.firma.de terminalserver.dmz4.firma.de .... oder aber man verrät die dmz anordnung nicht und macht folgendes: sqlserver.dmz.firma.de terminalserver.dmz.firma.de ... ...das gefällt mir mittlerweile sogar ganz gut.... gruß, andre Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.