eXOs 10 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Hi zusammen, ich hätte da mal eine Frage. Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun. DIe Knappheit ist primär auf den starken Zuwachs von Testsystemen (VMs) die von verschiedenen Hosts erreichbar sein müssen zurückzuführen. Meine Idee wäre deshalb, eine zweite Domain - eben für die Testsysteme aufzuziehen. Ich habe mir das so gedacht, dass dann unsere produktive Domain im Netz 192.168.1.x läuft, die Testdomain im Netz 192.168.2.x. Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten. Dann müsste es ja möglich sein, aus der Produktivumgebung auf die Testsysteme zuzugreifen. Die Frage wäre aber dann noch, ob das auch ein Weg ist der zu empfehlen ist, oder ob besser in Hardare investiert wird die mir das Routing macht. Was denkt ihr? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Wir haben hier langsam IP Adressen knappheit, ich möchte mir aber die Umstellung auf ein B Klassen Netz nicht wirklich antun. Davon ausgehend, dass Dein heutiges produktives Netz das Subnetz 192.168.1.0/24 umfasst und es Dir vorrangig um zusätzliche IP-Adressen geht, könntest Du einfach die Subnetzmaske auf 255.255.254.0 ändern und so ein Subnetz 192.168.0.0/23 erreichen. Du würdest somit alle IP-Adressen von 192.168.0.1 bis 192.168.1.0 hinzugewinnen, d.h. 255 zusätzliche. Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 4. Januar 2011 Autor Melden Teilen Geschrieben 4. Januar 2011 Hi dmetzger, danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen. Da jetzt die IPs knapp werden habe ich das zum Anlass genommen diese Trennung gleich mit zu machen. Wären die beiden Domains im gleichen Subnetz möglich? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Hi dmetzger, danke für die Antwort. Das ist korrekt, aber ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen Wozu? Ein Router ist ja keine wirkliche Trennung. ;) Wären die beiden Domains im gleichen Subnetz möglich? Ja klar. Bye Norbert Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Hi du, Mit dem Routing des W2k8 will ich dann das Routing zwischen den Netzen durchführen und eine Vertrauenstellung für die Authentifizierung einrichten. er ich hatte vergessen eine kleinigkeit zu erwähnen. Ich wollte grundsätzlich die Trennung der DOmains (Produktiv und Testdomain) durchführen - das ganze hatte keine so hohe Prio, die Testsysteme sind nicht in der Domain, eine eigene Domain dafür würde aber einigen Leuten das leben leichter machen. irgendwie sind das für mich zwei Wiedersprüche. An deiner Stelle Test und Produktiv unbedingt trennen. Mit einem Router sollte dies machbar sein. Besser wäre noch eine Firewall oder sogar zwei getrennte Netze, doch das übersteigt meist die vorhandenen Mittel. Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 4. Januar 2011 Autor Melden Teilen Geschrieben 4. Januar 2011 Hi zusammen, ok, nochmal die Fakten: Testdomain: - Jeder aus der Technik hat das recht systeme in die Domain einzubinden - Jeder aus der Technik hat lokale Admin Rechte in der Domain - Jeder aus der Technik muss ggf. Änderungen an der Domain machen können (Technik <> Admin) Produktivdomain: - Keiner außer der Admin und ich darf Systeme in die Domain einbinden - Nur wenige haben auf die Server Admin Rechte - Keiner außer der Admin und ich darf Änderungen an der Domain durchführen Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung. Nun bin ich an dem Punkt das ich mir überlege, das Routing wegzulassen und das Subnetz mit der Subnetzmaske zu erweitern, dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will. Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Was genau soll eigentlich getestet werden, wenn jeder alles machen kann? Dann kann auch jeder alles kaputt machen und keiner weiß hinterher was warum von wem überhaupt wie konfiguriert wurde. ;) Bye Norbert Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 4. Januar 2011 Autor Melden Teilen Geschrieben 4. Januar 2011 Was genau soll eigentlich getestet werden, wenn jeder alles machen kann? Dann kann auch jeder alles kaputt machen und keiner weiß hinterher was warum von wem überhaupt wie konfiguriert wurde. ;) Bye Norbert Nein, es geht nicht um Domaintests. Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-) Nein, die Leute sind EDV technisch schon fit, aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 @eXOs Was konkret soll getestet werden? Um welche Art von Applikation handelt es sich? Welche Art von Servern werden zum Testen verwendet (Webserver, Datenbankserver, etc)? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 4. Januar 2011 Melden Teilen Geschrieben 4. Januar 2011 Nein, es geht nicht um Domaintests. Wozu brauchen die Tester dann Adminrechte in der Domain? ;) Wir sind eine Softwarefirma. Die Testserver/ Clients sollen zum einen leichter für alle erreichbar sein und zum anderen muss das system eben auch mal in einer domain getestet werden. Und wer die Testdomain kaputt macht bekommt eine auf den Deckel :-) Ist nur schwer herauszufinden. ;) Nein, die Leute sind EDV technisch schon fit, Das behaupten irgendwie alle "Entwickler" Nur stimmt das meist auf einem anderen Gebiet. ;) aber an der produktiven Domain soll auf keinen fall einer rummfummeln um was zu testen. Und wie willst du das verhindern? Ich vermute mal, die Entwickler entwickeln ja irgendwo auch die Software, oder? Bye Norbert Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 5. Januar 2011 Melden Teilen Geschrieben 5. Januar 2011 Testdomain:- Jeder aus der Technik hat das recht systeme in die Domain einzubinden - Jeder aus der Technik hat lokale Admin Rechte in der Domain - Jeder aus der Technik muss ggf. Änderungen an der Domain machen können (Technik <> Admin) Produktivdomain: - Keiner außer der Admin und ich darf Systeme in die Domain einbinden - Nur wenige haben auf die Server Admin Rechte - Keiner außer der Admin und ich darf Änderungen an der Domain durchführen Es gibt ja auch noch die administrative Delegation. Der Zugriff soll aber direkt möglich sein, idealerweise eben mit den Daten der Produktivdomain - daher die Vertrauenstellung. Idealerweise ist eine Testumgebung vollständig von der produktiven getrennt. Sonst ist es absehbar, dass irgendwann jemand doch in der produktiven Umgebung herumfummelt. dann setze ich im gleichen Netz die zweite Domain auf, erstelle eine Vertrauenstellung und dann habe ich doch genau das was ich will. Wir reden hier von einer zweiten Gesamtstruktur, nicht von einer Subdomäne? Ich weiß nur nicht genau, wie elegant und unkompliziert das Ganze ist. Du musst zwei Gesamtstrukturen verwalten. Das lässt sich je nach Automatisierungs- und Standardisierungsgrad durchaus bewerkstelligen. Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 11. Januar 2011 Autor Melden Teilen Geschrieben 11. Januar 2011 Hallo zusammen und noch ein fohes neues Jahr euch allen. Im Grunde ist es egal was da getstet werden soll. Es geht nur darum, ob es sinn mach dies so auszuziehen. Ich denke sicherheitsstruktur sollte ich tatsächlich überdenken, bin aber soweit mit den Überlegungen, dass wir das so umsetzen - danke Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Januar 2011 Melden Teilen Geschrieben 11. Januar 2011 Hallo, ich meine: Das primäre Problem ist doch der zu kleine Raum der IP-Adrtessen, dieses Manko ist zu beseitigen durch Supernetting, das Prinzip hat Daniel Metzger beschrieben, die Subnetmask ändern auf 255.255.254.0; das Errichten eines traditionellen B-Netzes mit 255.255.0.0 ist doch prinzipell nichts anderes, die Erweiterung des Adressraumes. Ein Routing zwischen (Ip)Netzen bringt prinzipiell kein mehr an Sicherheit, es sei denn, es gibt auf dem Router noch eine Firewall, diese sorgfältig konfiguriert. Man kann natürlich zwei physikalische Netze für die beiden Domänen einrichten, zwei Adressräume, dazwischen ein Routing, das Ganze als Vorbeugung zur Veringerung eines eventuellen hohen Broadcastes. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.