Symbadisch 10 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Ich wollte mal nach euren Erfahrungen fragen wie ihr mit Servern in der DMZ umgeht? Bisher haben wir die Server in der DMZ weder in der Domäne drin, noch am WSUS hängen, aber ist das so korrekt? Klar hat unsere Variante den Vorteil, dass ich keine Ports zwischen DMZ und LAN öffnen muss, aber ist das korrekt wenn ich an solche Dinge denke wie GPOs, WSUS, AV...? Habe viel gegoogelt aber widersprüchliche Aussagen gefunden, habe auch ein Whitepaper von MS gefunden, in welchem empfohlen wird die Server in der DMZ in die Domäne aufzunehmen. Wie geht ihr hier um bzgl. dem Thema? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Anforderungen definieren. ;) Im Allgemeinen ergibt sich dann daraus schon eine Lösung. Normalerweise sind DMZ Server nicht in der Domäne des LAN, sondern evtl. in einer eigenen, wenn überhaupt. WSUS Kann man natürlich auch Servern in der DMZ zur Verfügung stellen, ohne dass diese dazu in der Domäne stehen müssen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Wir haben einfach keine Windowsserver in der DMZ sondern wenn nötig loadbalancer/reverseproxys. Welche Windowsdienste habt ihr den in der DMZ? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 DNS ;) und Edge :p Und beides gepatcht und problemlos und stabil ;) Zitieren Link zu diesem Kommentar
Symbadisch 10 Geschrieben 10. November 2015 Autor Melden Teilen Geschrieben 10. November 2015 Normalerweise sind DMZ Server nicht in der Domäne des LAN Genau so hab ich es bisher auch gehandhabt, da wir keine Dienste in der DMZ betreiben, welche das AD benötigen. Mich hat es eben in strudeln gebracht, das ich mehrmals heute gelesen habe man nimmt die Server der DMZ in die Domäne auf. Aber ich sehe hier Gefahr wenn ich die Firewall öffne, wo ich es nicht muss. Virenscanner habe ich als Standalone auf den Servern, mit dem Nachteil den Server nicht in der Managementkonsole zu haben. Das ist eigentlich auch der einzige Nachteil den ich bisher bemerkte. GPOs brauchte ich bisher noch nicht auf den Servern. Windowsupdates habe ich bisher bei den Servern händisch installiert. Kann ich die gefahrlos über den WSUS (steht im LAN) verwalten, benötige hier ja nur den Port dafür. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Microsoft definiert sowas auch für den amerikanischen Mittelstand mit mehreren 100 Servern in der dmz und die haben dann ein eigenes ad innerhalb der dmz. ;) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Windowsupdates habe ich bisher bei den Servern händisch installiert. Kann ich die gefahrlos über den WSUS (steht im LAN) verwalten, benötige hier ja nur den Port dafür. Und Du kannst den WSUS ja auch auf Port 8531/SSL konfigurieren, dann hast Du an der Stelle auch noch etwas mehr Sicherheit. 1 Zitieren Link zu diesem Kommentar
Symbadisch 10 Geschrieben 11. November 2015 Autor Melden Teilen Geschrieben 11. November 2015 Das mit dem WSUS per SSL klingt sehr gut, mach ich. Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 11. November 2015 Melden Teilen Geschrieben 11. November 2015 Das mit dem WSUS per SSL klingt sehr gut, mach ich. Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch. Hier noch das dazugehörenden HowTo: http://www.wsus.de/ssl_kommunikation Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.