Jump to content

Webserver in DMZ

lionheart

Von lionheart
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

lionheart Proficient

lionheart   12

Geschrieben
Geschrieben

Hallo Leute,

 

ich betreibe aktuell eine Windows Server 2008 R2 Domäne (xyz.local) hinter einer Firewall.

 

Nun bin ich gerade dabei einen Windows Server 2008 R2 mit IIS in meiner DMZ zu installieren. Der IIS so hauptsächlich als FTP-Server und für ein kleineres internes Wiki verwendet werden. Mehrere Mitglieder meiner Domäne müssen den Server administrieren und auf die Freigaben zugreifen können.

 

Momentan bin ich mir bzgl. dem AD-Design noch nicht ganz sicher und kläre gerade die Vor- bzw. Nachteile der jeweiligen Variante.

 

Variante 1:

- Webserver in DMZ

- Kein Domänenmitglied

- Keine Freigaben DMZ > LAN in der Firewall

 

Variante 2:

- Webserver in DMZ

- Neuer Forest

- Unidirektionale Vertrauensstellung zwischen den Domänen DMZ > LAN

- Freigabe der Ports DMZ > LAN für Vertrauensstellung

 

Variante 3:

- Webserver in DMZ

- Domänenmitglied von xyz.local

- RODC in DMZ

- Freigabe der Ports für Kommunikation des RODC mit DC

 

Was meint ihr? Welche Variante würdet ihr mir empfehlen?

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Das kommt ganz auf deine Wünsche an, was du möchtest.

 

Wie soll die Authentifizierung an dem WIKI stattfinden? Eigene Datenbank der Webseite ? Wie die Authentifizierung am FTP ? Wie viele Benutzer sind es ?

 

Sind es nur eine Handvoll dann würde ich variante 1 nehmen.

 

Sind es aber hunderte, würde ich Variante 4 nehmen. Ohne RODC und in der Firewall die nötigen Ports für die AD Authentifizierung aufmachen.

 

Ein RODC bringt dir in der DMZ nicht viel, denn wenn jemand sich auf deinen Webserver einnisten kann, dann kommt er auch auf den RODC und kann dort die Benutzerdaten anderer User evtl. erforschen.

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

wichtig wäre es die Rahmenbedigungen zu kennen -also wie schon gefragt, was für Wiki soll auf dem System laufen (Sharepoint?) also brauchst du die integration in das AD. Wenn du die Integration nicht brauchst, dann ist Lösung 1 auf jeden Fall die einzig richtige wobei grundsätzlich nichts dagegen spricht den Zugriff vom LAN in die DMZ zu aktivieren. Wenn man das ganze richtig und sicher machen möchte, dann wird der server in der DMZ dual homed (also mit zwei Netzwerkanschlüssen) aufgebaut und somit eine Vermischung von internenem und externem Traffic verhindert etc.

 

 

Sind es aber hunderte, würde ich Variante 4 nehmen. Ohne RODC und in der Firewall die nötigen Ports für die AD Authentifizierung aufmachen.

 

Ein RODC bringt dir in der DMZ nicht viel, denn wenn jemand sich auf deinen Webserver einnisten kann, dann kommt er auch auf den RODC und kann dort die Benutzerdaten anderer User evtl. erforschen.

 

Diesen beiden Punkten würde ich nicht zustimmen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...