colt.hh 1 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Hallo Leute, es ist das folgende Setup geplant: Netzwerk 1: ohne Internet Server: 2012 + Active Directory Netzwerk 2: Mit Internet Server 2012 + Exchange Es werden sensible Daten im Netzwerk Nr. 1 abgelegt und es soll vom Internet abgetrennt bleiben. Aber im Netzwerk 2 soll der Exchange stehen, der mit dem Netzwerk 1 ein AD darstellen soll. Es ist klar, dass man über die Firewall die Active-Directory Ports zwischen den beiden Netzen (auch wenn es viele sind) öffnen könnte. Aber spricht aus Eurer sicht etwas dagegen das AD so zu teilen? Wo würdet Ihr den DNS installieren? Was spricht aus Eurer Sicht sonst gegen diese Aufteilung? Gruß, colt Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Mai 2014 Melden Teilen Geschrieben 6. Mai 2014 Wenn Du wirklich sensible Daten in Netzwerk 1 schützen willst, würde ich in Netzwerk 2 einen Terminal Server vorsehen, auf dem die Nutzer aus Netzwerk 1 surfen und mailen können. Als RemoteApp publiziert integriert sich das sehr schön in den Desktop. Dann brauchst Du nur Port 3389 von Netzwerk 1 nach Netzwerk 2 öffnen. Zitieren Link zu diesem Kommentar
colt.hh 1 Geschrieben 6. Mai 2014 Autor Melden Teilen Geschrieben 6. Mai 2014 Hallo Daniel, vielen Dank für die sehr gute Idee. An einen Remotedesktop habe ich tatsächlich noch nicht gedacht und der Ansatz ist wirklich gut und interessant. Wir werden die Trennung der Netze an den Arbeitsplätzen aber über virtuelle Maschinen lösen (das ist schon entschieden - und ein zusätzlicher Terminalserver wird vermutlich zu teuer). Aber so wie ich Deinen Post verstehe, spricht nichts gegen die Nutzung der gleichen Domäne in beiden Netzwerken, oder? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 (bearbeitet) Morn das bestehende Netz in zwei aufteilen, streng getrennt? Wirklich keine Verbindung mehr dazwischen, kein Routing mit Firewall, wirklich nicht? Das bestende AD wirklich getrennt aufteilen? Wirklich keinerlei Verbindung mehr? Oder doch nicht so ganz? Meine Gdanken: Für eine vollkommene Trennung und Aufteilung bräuchte man vorbereitend erst einmal einen zweiten DC im bisherigen AD, dieser wird dann herausgenommen, in das abgetrennte neue Netz gestellt und die Rollen "gesizt".. Die beiden Netze dürfen dann aber nicht mehr verbunden werden, die beiden DC dürfen keine Verbindung miteinender erhalten, die Folgen könnten unabsehbar sein für die AD. Falls es aber doch etwas anders sein soll, ein AD aber zwei getrennte Netze, dann ein DC mit jeweils einem Netzwerkinterface in die Netze. Oder man benötig in jedem Netz je einen DC eins AD, in einem Netz den 1.DC, im anderen Netz den 2.DC, diese werden mit dem jeweils zweiten Netzwerkinterface miteinanden verbunden. Natürlich sind auf den DC die Firewall aktiviert und nur Ports für die Replikation geöffnet. bearbeitet 7. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 (bearbeitet) Es wäre einfacher, wenn Du einmal genau die Ziele beschreibst, die ihr erreichen wollt. Über Deinen Lösungsweg zu diskutieren, ohne das Ziel genauer zu kennen, ist schwierig. Was wollt ihr mit virtuellen Maschinen machen? Wenn das Desktops sind, braucht ihr eine VDA-Lizenzierung oder Software Assurance für alle zugreifenden Clients. Das ist auch nicht gerade billig - daher würde ich eine Gesamtkostenrechnung am Ende machen. Manchmal lohnt sich auch die Datacenteredition. Damit kann man dann RDS und VDI (basierend auf Server-VMs) anbieten. Mir ist da noch zu vieles unklar. bearbeitet 7. Mai 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Für eine vollkommene Trennung und Aufteilung bräuchte man vorbereitend erst einmal einen zweiten DC im bisherigen AD, dieser wird dann herausgenommen, in das abgetrennte neue Netz gestellt und die Rollen "gesizt".. nein, bitte nie-, nie-, niemals. Den wichtigsten Einwand nennst du ja selbst, die Teil-Kopien dürften nie wieder Kontakt zueinander haben. Dadurch eignet sich das für kein denkbares Produktionsszenario. Ich rate von solchen Experimenten sogar für Testzwecke entschieden ab. Risiko und Einschränkungen stehen in keinem sinnvollen Verhältnis zum möglichen Nutzen. Daniels Vorschlag mit dem Remotedesktop ist sinnvoll, denn (nur) so kann man die Netze wirklich trennen (heißt auch: getrennte AD-Forests) und trotzdem die Applikationen im "erreichbaren" AD nutzen. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Nun Nils, ich habe dem TO meine Gedanken für drei Möglichkeiten dargelegt. Den Vorschlag Daniels mit dem Remotedesktop hat der TO doch schon verworfen. Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Moin, sicher, aber aus grundsätzlicher Sicht weise ich eben darauf hin, dass die erste Möglichkeit eben keine ist. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Mai 2014 Melden Teilen Geschrieben 7. Mai 2014 Es ist selbstverständlich gut, mehrere Meinungen und Warnungen zu erfahren zu einem möglichen Tatbestand. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.