Jump to content

TS-Gateway in der DMZ


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

hat schon mal jemand ein TS-Gateway in die DMZ gestellt (Ohne ISA mit Cisco) Frontend und Backendfirewall ??

 

Leider muss das TS-Gateway ja für die RAPs und CAPs mit der Domäne sprechen, außer ich würde lokale Anmeldung konfigurieren, will ich aber nicht.

 

Ich habe was zu dem Thema gefunden, würde aber gerne Eure Erfahrungen hören.

 

TS Gateway Server in DMZ: which tcp ports to open in Firewall : Terminal Services : Windows Server : Microsoft TechNet Forums

 

Also kann sich jemand mitteilen ? Bitte nicht nach dem Motto ich habe einfach alle Ports geöffnet.

 

Die von MS haben zwar in Ihrem Whitepaper schöne Bilder wie das aussehen kann, jedoch geht vom Gateway einfach so ein Pfeil an der Firewall vorbei zu einem AD-Controller. Infos dazu im WP = Null.

 

Könnte Ihr ja selbst mal anschauen:

 

Download details: Windows Server 2008 Step-by-Step Guides

 

Gruß Data

Link zu diesem Kommentar
  • 7 Monate später...
du könntest auch einen RODC in die DMZ stellen, das hätte wenigstens den vorteil, das aufs AD 1. nur gelesen werden darf und 2. nur die Benutzer auf dem RODC gespeichert sind, die sich per Terminalserver anmelden.

Hm, na vielleicht ist diese Möglichkeit deshalb auch auf der verlinkten Seite als mögliche Lösung aufgeführt.

Link zu diesem Kommentar
du könntest auch einen RODC in die DMZ stellen, das hätte wenigstens den vorteil, das aufs AD 1. nur gelesen werden darf und 2. nur die Benutzer auf dem RODC gespeichert sind, die sich per Terminalserver anmelden.

 

Das verbessert die Situation auch nicht. Die Daten des AD müssen ja auch auf den RODC kommen, welchen ja auch in der DMZ steht. Davon abgesehen befinden sich auf einem Memberserver gar keine AD-Daten.

 

Ich verstehe diese ganze Implementierung nicht so ganz. Bei Exchange wurde dazugelernt, da war anfänglich der Front-End Server auch zwingend Domänenmitglied. Seit EDGE-Server ist das nicht mehr nötig.

 

Gruß Data

Link zu diesem Kommentar
Ich verstehe diese ganze Implementierung nicht so ganz. Bei Exchange wurde dazugelernt, da war anfänglich der Front-End Server auch zwingend Domänenmitglied. Seit EDGE-Server ist das nicht mehr nötig.

 

Ja, aber für OWA etc. sollte man auch einen ISA benutzen um das ganze zu publishen.

 

Du kannst den RDGW auch ins LAN stellen und via ISA publishen - Problem solved :)

Link zu diesem Kommentar
Ja, aber für OWA etc. sollte man auch einen ISA benutzen um das ganze zu publishen.

 

Nur mit dem Unterschied das ISA für OWA den Port 443 fowarded, dass kan ich mit jeder vernüftigen Hardwarefirewall auch.

 

Ist dir bewusst wieviel Ports ein Memberserver so geöffnet haben möchte, so dass er sich mit seiner AD unterhalten kann ? Etliche, siehe mein LINK weiter oben. Also eigentlich völlig unaktzeptabel. Wenn etwas schon Gateway heißt und in die DMZ gestellt werden soll, dann bitte in einer Art bei der mir nicht die Haare ausfallen :rolleyes:.

 

Gruß Data

Link zu diesem Kommentar
Dann stell den RDGW ins LAN und Forwarde Port 443 und reg dich nicht auf

 

Dann kann ich Port 80 von meinem Internetantritt forwarden oder den Port 25 für SMTP forwarden....

 

Entschuldingung, aber wofür habe ich den ein zweistufiges Firewallkonzept ?! Wofür gibt es Honeypots ? Ne, sorry, da kommt MS nicht drum herum, sich für diese Implementierung maximal ein ausreichend abzuholen.

 

Ich hätte jetzt bei einem Aufbau mit einer zweistuffigen Firewall einen Radius Server in der DMZ erwartet - würde das die Sache nicht einfacher machen?

 

Bringt nichts, da Du keine Radius-Requests seitens deines TS-GW hinbekommst. Das TS-GW frag über die TS-RAP und TS-CAP immer die AD ab und keinen Radius-Server, außnahme Du baust lokale TS-RAPS und CAPS.

 

Der Memberserver (TS-GW) selbst will natürlich auch noch ein bisschen quatschen und seiner AD mitteilen, dass er auch noch existent ist, sonst stirbt ja irgendwann sein Computerkonto.

 

Daher Domainmember in der DMZ = Immer ganz schlecht !!

 

Gruß Data

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...