matthias_m 10 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hallo! mein Problem sieht wie folgt aus: Ich habe diverse Server, alle Win2K Server, und 1 Domain Controller auch Win2K. Nun möchte ich sicherstellen das sich nur diese Server innerhalb der Domain "unterhalten" können. Also wenn ich einen Rechner habe der nicht in der Domain ist (z.B. Linux, oder Privater Laptop) dann dürfen diese Rechner nicht auf die Ressourcen zugreifen dürfen auch nicht auf die internen Web Server. Wie kann man so etwas realisieren, ohne das ganze Netz umstellen zu müssen? Es muß doch einen Weg geben nur Zugriff inerhalb der Domain zu erlauben. Kennt sich da jemand aus? Gruß Matthias Zitieren Link zu diesem Kommentar
Gulp 227 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Das würde ich über portbasierte MAC Identifizierung/Authentifizierung auf den Switches lösen. Eine andere Lösung wird schwierig .... Grüsse Gulp Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 was gibt es denn für eine andere Lösung? Das mit den MAC Adressen haben wir uns auch schon überlegt, aber das Problem ist das da noch andere Firmen mit beteiligt wären, die das machen müssten..... Das muß irgendwie so gehen. Ich habe es via ISS mal probiert, aber das hat auch nicht so geklappt. Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi, wie bekommen den die Clienten jetzt ihren Zugang zur Domäne? Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 Wie meinst du das? Ich habe mehrere Netze, und alle Clients tauchen im DC auf, und melden sich dort an. Nur ein paar Rechner innerhalb der Netze die nicht in der Domäne sind, soll der Zugriff verweigert werden. MAC Adressen sperren wäre schon schlecht, da es mehrere Switche sind, und weit über 100 Server! Ich wollte das nicht eintragen ;) Eine Option (die es wahrscheinlich auch gibt) nur Zugriff innerhalb der Domäne zu erlauben wäre hier genau das richtige, und ich hoffe das das am DC möglich ist. Zitieren Link zu diesem Kommentar
Gulp 227 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Wieso MAC Adressen manuell sperren? Der Switch kennt doch alle im Netz verwendeten MAC Adressen, es werden nur dem Switch unbekannt Adressen (also neue) gesperrt, weil die nicht in seiner Liste stehen. Da musst Du nur noch die rausfiltern, die Du sperren willst, das ist weit weniger Aufwand. Ich habe eine solche Umstellung auch schon in Firmen mit über 1000 Switches und 300+ Server gesehen. Ging in ca. einer Woche reibungslos durch. Wenn man die richtigen Switche (zB Cisco) verwendet, geht das auch automatisiert bzw mit wenig Interaktion. Grüsse Gulp Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 mmh, ok, wäre die letzte alternative, aber auch nur die letzte. da wie gesagt mehrere Firmen die Verantwortung für die einzelnen Switche haben, und das wird ein riesen Aufwand, da überhaupt Genehmigungen für zu bekommen etc. Wäre super wenn da noch einer einen Vorschlag mit dem DC hat. Zitieren Link zu diesem Kommentar
Gulp 227 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Also ich kenne keinen, der mit einem Haken auf dem Server erledigt wäre. Wenn die Switche verschiedene physikalische Subnetze beheimaten, kann man auch die Subnetze trennen. (Stichpunkt VLAN) Oder wenn DHCP verwendet wird verschiedene Subnetze etablieren. Hat aber jemand Zugriff auf seine IP-Einstellungen, Kenntnis der Server-IP und einen gültigen Domain-User ist's vorbei mit der Zugriffssperre. Ausserdem ist der Aufwand für die oben genannten Möglichkeiten extrem. Grüsse Gulp Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi, also bringt jeder irgendetwas mit und steckt das in den Switch, oder wie? Zitieren Link zu diesem Kommentar
Gulp 227 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi,also bringt jeder irgendetwas mit und steckt das in den Switch, oder wie? So ungefähr hab ich es mal aufgefasst. Grüsse Gulp Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 es ist ein altes konzept, an dem nun mal schwer zu rütteln ist. Ich kann es nicht ändern, ich suche nur eine alternative. Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi, und wie melden die sich an der Domäne an? Mit ihren Firmenaccounts? Woher bekommen die die Rechte für Zugriffe? Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 Es gibt nur Firmen accounts, und auch die Administratoren dürfen nicht von einem anderen Rechner (Linux) auf das System zugreifen! Ist eigendlich ein schlechter Witz ich weiß, aber ist nunmal so. Also das über eine Benutzeranmeldung zu machen läuft nicht. Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi, aber woher kommen die Rechte? Zitieren Link zu diesem Kommentar
matthias_m 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 Naja, die hat der Systemadmin vergeben, dieser hat nun gesagt macht das jetzt sicher, aber lasst mein System in Ruhe. Sinngemäß, ist ne komplizierte Geschichte. Ich habe vollen Zugriff auf den DC, und kann zur Not auch neue User Anlegen, aber das alte soll so bleiben. Das ist halt jetzt alles nichts vernünftiges, aber irgendwie muß ich das ans laufen bekommen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.