olc 18 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 Hi zusammen, seht Ihr - genau darauf wollte ich hinaus. ;) Die Szenarien sind (bitte nicht falsch verstehen) an den Haaren herbei gezogen. Wie das kleine Beispiel von dmetzger zeigt, gibt es ganz andere potentielle Probleme in dem Szenario. Die alte "Binsenweisheit", daß man solche Systeme nicht in die DMZ legen soll, ist zumindest bei geöffneter RODC Kommunikation ins Produktivnetz, schilichtweg nicht sinnvoll. Auch aus diesem Grund gibt es immer mehr Systeme, die sich direkt im internen Netz betreiben lassen, obwohl sie externe Anbindungen haben. Oben wurden einige Alternativen genannt - je nach gefordertem Sicherheitslevel könnt Ihr auch mit einem externen Directory arbeiten usw. Application Firewalls usw. können das Sicherheitsniveau zusätzlich steigern. Wenn es jemand schafft, in Eure DMS einzudringen und den RODC "zu übernehmen", dann habt Ihr an dem Puntk schon ganz andere Probleme. Viele Grüße olc Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 Die alte "Binsenweisheit", daß man solche Systeme nicht in die DMZ legen soll, ist zumindest bei geöffneter RODC Kommunikation ins Produktivnetz, schilichtweg nicht sinnvoll. Die Binsenweisheit ist natürlich schon sinnvoll. ;) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 Nein, zumindest nicht als generische Aussage. Zumal das Wort "DMZ" schon allerlei Spielraum bietet... :) Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 Off-Topic:Du wolltest also wirklich sagen: "Die alte Binsenwahrheit (...) ist (...) nicht sinnvoll", nicht etwa "daß man solche Systeme (...) in die DMZ legen soll, (...) ist nicht sinnvoll"?Muss glaube ich für heute Schluss machen. Hatte jetzt drei Nächte mit jeweils weniger als 5 Stunden Schlaf und habe offenbar Mühe, Sätze sinnvoll zu verstehen. :confused: Sorry. Melde mich ausgeschlafen zurück. Zitieren Link zu diesem Kommentar
tokra 10 Geschrieben 3. Dezember 2010 Autor Melden Teilen Geschrieben 3. Dezember 2010 Vielen Dank für eure Anregungen. Was mich noch interessieren würde: Habt ihr selbst oder kennt ihr Infrastrukturen, wo RODCs in der DMZ im Einsatz sind? Wenn ja, in welchen Szenarien werden diese dort ingesetzt? Ich würde auf dem RODC in der DMZ trotzdem kein Password Caching zulassen. Ich sehe da keinen Sinn drin, da sich DMZ und LAN physikalisch am gleichen Standort befinden. Die Kennwortreplikation macht ja eher bei Zweigstellen Sinn, um eine langsame WAN-Verbindung zu entlasten oder einem WAN-Ausfall vorzubeugen. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 3. Dezember 2010 Melden Teilen Geschrieben 3. Dezember 2010 Habt ihr selbst oder kennt ihr Infrastrukturen, wo RODCs in der DMZ im Einsatz sind? Wenn ja, in welchen Szenarien werden diese dort ingesetzt? Nein. Ich würde es auch selbst nicht tun und Kunden davon abraten, falls es je zum Thema werden sollte - es sei denn, jemand bringt irgendwann nicht zu wiederlegende Argumente und ein Szenario vor, es doch zu tun. Das wars aus meiner Sicht vorerst zu diesem Thema. Zitieren Link zu diesem Kommentar
tokra 10 Geschrieben 6. Dezember 2010 Autor Melden Teilen Geschrieben 6. Dezember 2010 Was spricht aus deiner Sicht dagegen? Ich sehe in der AD-LDS Instanz in der DMZ keinen Vorteil gegenüber einem RODC ohne cached Credentials - das scheint ja die hier bevorzugte Lösung zu sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.