Velius 10 Geschrieben 21. Dezember 2004 Melden Teilen Geschrieben 21. Dezember 2004 Off-Topic: Original geschrieben von Data1701 . Den Zweck eine Internetreplikation habe ich noch nie so ganz verstanden, aber interessant ist der Artikel trotzdem.Gruß Data Den Zweck? Nicht alle Firmen haben Standleitungen. Es gibt solche, so wie wir, die beinahe ausschliesslich mit einer Firewall/VPN Topologie arbeiten. ;) P.S.: Der Vorteil einer DMZ besteht immer noch darin, dass ein kompromitiertes System in einem Subnetz steht, welches nicht direkten Zugung auf ein anderes Netz (Produktivnetz von mir aus) hat.Der Zugriff erfolgt nur über einen default Gateway (ob jetzt das ein bloser Router ist oder eine Firewall ist ja egal).P.P.S.: @the_brayn In dem Zitat geht's aber um Controller, und die in einem DMZ zu stellen macht jetzt absolut keinen Sinn.Ich würde direkt den Sinn in Frage stellen, Domänencontroller überhaupt in einer DMZ einzusetzen. Schließlich grenzt die so genannte demilitarisierte Zone (Demilitarized Zone, DMZ) (bestenfalls) ein halb vertrauenswürdiges Netzwerk ab. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Hi, Velius:Den Zweck? Nicht alle Firmen haben Standleitungen. Es gibt solche, so wie wir, die beinahe ausschliesslich mit einer Firewall/VPN Topologie arbeiten. Wenn ich die Netze doch per VPN gekoppelt habe, dann ist doch so oder so der gesamte Traffic zugelassen. Die Netze vertrauen sich. Das habe ich doch im Satz davor gesagt, oder ? Data: Eigentlich kann man dann auch eine VPN-Verbindung nutzen[/Quote] Die Problematik des Artikels bezog sich wohl eher darauf, Replikation zwischen VPN-gekoppelten Standorten zu ermöglichen, bei den aber gewisse Verkehrsbeziehungen geblockt werden, bevor die IP-Packete in das jeweilige andere Netz gelangen. Duch das mappen der Replikation auf einen RPC-Port, ist es mir möglich die Firewall mit einer Regel für die AD-Replikation zu öffnen. Ein DC, da sind wir uns wohl alle einig, gehört definitiv nicht in die DMZ. Gruß Data Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Original geschrieben von Data1701 Hi, Wenn ich die Netze doch per VPN gekoppelt habe, dann ist doch so oder so der gesamte Traffic zugelassen. Die Netze vertrauen sich. Das habe ich doch im Satz davor gesagt, oder ? Ein DC, da sind wir uns wohl alle einig, gehört definitiv nicht in die DMZ. Hab ich ja oben geschrieben, oder? Ausserdem gibt es durchaus Leute, welche den internen VPN Traffic auch filtern möchten (siehe unter anderem meinen Firewall Thread hier im Board). Ich bin auch der Meinung, dass man verknüpfte Standorte nicht filtern sollte, aber es gibt ja unterschiedliche Auffassungen...... http://www.mcseboard.de/showthread.php?postid=257366#post257366 P.S.: Hier der Thread den ich meine, vielleicht möchtest du ja auch etwas beisteuern.... :rolleyes: :D Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 22. Dezember 2004 Melden Teilen Geschrieben 22. Dezember 2004 Hi Velius, ich habe das Gleiche gemeint, Du musst mich aber mißverstanden haben. Data:Die AD-Replikation über eine Firewall, bezieht sich meines Wissens eher auf die Problematik AD duch das Internet zu replizieren. Eigentlich kann man dann auch eine VPN-Verbindung nutzen. [/Quote] Velius:Den Zweck? Nicht alle Firmen haben Standleitungen. [/Quote] Mein zweiter Satz berücksichtigt das doch, oder. Ich surfe jetzt mal zu Deinem thread. Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.