Member Server in der DMZ

Hallo,

haben mehrere Active Directory Member Server in der DMZ,

jetzt stellt sich die frage, welche Ports genau geöffnet werden müssen und in welcher Richtung. Die Frage bezieht sich auf AD syncronisierung und RDP.

gruss

Marcel

Hi,

verstehe ich richtig, Du hast eine Memberserver Deiner AD in der DMZ hinter der Firewall stehen ?

Ist nicht ganz optimal, normalerweise sollten die Server in der DMZ eine eigene Arbeitsgruppe bilden und nichts mir der AD zu tun haben.

Aber für Dein Vorhaben benötigt man folgende Ports:

Windows Remote Desktop Protokoll: 3389 (TCP)

SMB over TCP: 445 (TCP)

Du hast zwar nur einen Memberserver in der DMZ, aber trotzdem empfehle ich Dir mal folgendes Pamphlet, vielleicht übderdenkst Du dann noch eimal Deine Konfig:

http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx

Gruß Data

ich denke dass das standart ist, member server in die dmz zu stellen. kenne so viele firmen die das machen, des weiteren haben ich mit der ads eine zentralisierte Benutzerstelle und muss nicht extra user auf allen dmz einzeln anlegen.

gruss

marcel

Vielleicht ist das Standard aber nicht empfehlenswert. Und dann wird Windows als unsicher angesehn, weil sich keiner an die Empfehlungen von Microsoft hält.

Hiho,

was denn nun? MemberServer oder ADServer (sprich DC)? Ist IMHO nur ein klitzekleiner Unterschied *g*

Gruß Guido

PS Memberserver in der DMZ ist okay, den "externen Webserver" muss ich da platzieren, aber das AD stelle ich da nicht hin.

Hi,

Hand auf Herz, wieviele User braucht man denn für die DMZ.

Nicht viele oder ?!

Gruß Data

Also das mit dem "Standard" kenne ich nicht, halte mich dennoch für erfahren. :rolleyes:

Einen Alleinstehenden Server (Arbeitsgruppe) ja, aber einen Server aus dem AD in die DMZ .... :suspect:

Was soolen denn die Server machen?

grizzly999

es handelt sich wie schon genannt um member server. auf diesen member servern läuft ein metaframe citrix server für terminal zugriff. ich weiss das wir zum einen für admini aufgaben den rdp client beibehalten wollen und den ica client (rdp 3389 tcp und ica 1494 tcp)

meine frage lautete aber welche ports müssen für den traffic vom member server zum domänen controller freigeschaltet werden.

bitte fang nicht wieder ne diskusion an. ich will nur diese frage geklärt haben.

mfg

marcel

Hi,

ersteinmal

Die Frage bezieht sich auf AD syncronisierung und RDP.

Was soll sich den großartig synchronisieren ? Ist doch nur ein Memberserver, oder bezieht sich das auf Anmeldeauthentifizierung ? Sonst kann ich nur auf den von mir gennanten Artikel verweisen. Etwas genauere Infos wären schon nötig. RDP ist ja nun abgefrühstückt, oder ?

Also zum Thema Standard: Ich kenne das jetzt aus mehreren Firmen. Die DMZ wird von Serveren (Mehrzahl) bevölkert, die nur AG-Server sind. Nun ja der eine so der andere so. Wenn ich damit ein "Standard" von MS torpediert haben sollte, dann Asche auf mein Haupt :D. Wir wollen doch nicht die MS-Standards anzweifeln, oder. ;)

Gruß Data

Hallo an alle,

kleine Frage noch. Gibt es ein Whitepaper von Microsoft für Server in der DMZ? Viele sagen ja mal solle keine Member Server in die DMZ stellen. Könnt mir den Eintrag senden und die URL nennen ?

mfg

Marcel

Mmmh. Ich überleg gerade wo ich das genau her habe.

Ich habs auf einem Security Seminar bei MS am Rande gehört und irgendwo bei der Prüfungsvorbereitung zur 70-227 gelesen. Leider hab ich keinen Link parat.

Hiho,

http://www.microsoft.com/germany/technet/datenbank/articles/391609.mspx

Steigerung des Windows 2000-Domänencontrollers

F: Wir planen die Verwendung von Active Directory zum Implementieren internetbasierter Anwendungen. Hierbei wird es sich um eine vom internen Active Directory-Verzeichnis getrennte Gesamtstruktur handeln. Wir fragen uns, ob es möglicherweise einige empfohlene Vorgehensweisen beim Sichern von Active Directory-Domänencontrollern in einer DMZ-artigen (Demilitarized Zone) Umgebung gibt. ....

http://www.microsoft.com/germany/technet/datenbank/articles/392763.mspx

AD Repl. über Firewalls

Bzw das gesamte Suchergebnis:

http://search.microsoft.com/search/results.aspx?st=b&View=de-de&s=3&c=0&qu=DMZ

Gruß Guido

Original geschrieben von Basran

Mmmh. Ich überleg gerade wo ich das genau her habe.

 

Ich habs auf einem Security Seminar bei MS am Rande gehört und irgendwo bei der Prüfungsvorbereitung zur 70-227 gelesen. Leider hab ich keinen Link parat.

Ich kann mir durchaus denken, dass hie und da von einem "Memberserver" in der DMZ die Rede oder zu lesen war, aber damit war garantiert ein Memberserver einer Arbeitsgruppe gemeint. In keinem MS-Paper oder Artikel finden sich Empfehlungen für einen MemberServer einer Domäne in der DMZ, eher das Gegenteil davon.

grizzly999

@Grizzly: genau das mein ich, vielleicht hab ich mich wieder unklar ausgedrückt...

Werde ich denn immer falsch verstanden, oder drücke ich mich schlecht aus.

Ich schrieb:

Ist nicht ganz optimal, normalerweise sollten die Server in der DMZ eine eigene Arbeitsgruppe bilden und nichts mir der AD zu tun haben.

Grizzly antwortete:

Also das mit dem "Standard" kenne ich nicht, halte mich dennoch für erfahren.

Einen Alleinstehenden Server (Arbeitsgruppe) ja, aber einen Server aus dem AD in die DMZ ....

Und dann auf einmal:

Grizzly die Zweite:

Ich kann mir durchaus denken, dass hie und da von einem "Memberserver" in der DMZ die Rede oder zu lesen war, aber damit war garantiert ein Memberserver einer Arbeitsgruppe gemeint. In keinem MS-Paper oder Artikel finden sich Empfehlungen für einen MemberServer einer Domäne in der DMZ, eher das Gegenteil davon.

Die AD-Replikation über eine Firewall, bezieht sich meines Wissens eher auf die Problematik AD duch das Internet zu replizieren. Eigentlich kann man dann auch eine VPN-Verbindung nutzen. Den Zweck eine Internetreplikation habe ich noch nie so ganz verstanden, aber interessant ist der Artikel trotzdem.

Gruß Data