4
ISA 2006 und DMZ
Server in DMZ soll BAckup intern machen und Gruppenrichtlinien von intern bekommen
Hallo zusammen,
ich habe einen ISA 2006 Server und eine Windows 2003 Domäne. Der ISA ist so konfiguriert, dass es auch eine DMZ gibt. In der DMZ steht ein Windows 2003 Server, der von außen erreichbar ist. Auf dem ISA habe ich schon eine Regel konfiguriert, um von intern per RDP auf den Server in der DMZ zuzugreifen. Nun möchte ich zum Einen das Backup von dem DMZ-Server ins Hausnetz bekommen. Ebenso soll der DMZ Server Gruppenrichtlinien von intern erhalten. Wie muss ich das am ISA Server konfigurieren?
Vielen Dank für eure Hilfe!
Anita
ich habe einen ISA 2006 Server und eine Windows 2003 Domäne. Der ISA ist so konfiguriert, dass es auch eine DMZ gibt. In der DMZ steht ein Windows 2003 Server, der von außen erreichbar ist. Auf dem ISA habe ich schon eine Regel konfiguriert, um von intern per RDP auf den Server in der DMZ zuzugreifen. Nun möchte ich zum Einen das Backup von dem DMZ-Server ins Hausnetz bekommen. Ebenso soll der DMZ Server Gruppenrichtlinien von intern erhalten. Wie muss ich das am ISA Server konfigurieren?
Vielen Dank für eure Hilfe!
Anita
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98977
Url: https://administrator.de/contentid/98977
Printed on: April 19, 2024 at 17:04 o'clock
4 Comments
Latest comment
Hallo Anita!
Was für eine Rolle hat denn der Server in der DMZ?
Ist er denn mit in der Domäne?
Die Datensicherung würde ich nicht direkt machen sondern lieber über ftp, denn sonst machst Du ja die Firewall zwischen DMZ und Intern schon recht weit auf!
Schöne Grüße vom Ammersee!
Tonio
Was für eine Rolle hat denn der Server in der DMZ?
Ist er denn mit in der Domäne?
Die Datensicherung würde ich nicht direkt machen sondern lieber über ftp, denn sonst machst Du ja die Firewall zwischen DMZ und Intern schon recht weit auf!
Schöne Grüße vom Ammersee!
Tonio
Hi,
da frage ich mich doch, was haben GPO's in einer DMZ zu suchen?! Zur Backupgeschichte, setze einen FTP-Server in der DMZ auf, und erlaube den Zugriff von Intern => DMZ auf Port 20,21 und gut ist.
Gruss,
Dani
da frage ich mich doch, was haben GPO's in einer DMZ zu suchen?! Zur Backupgeschichte, setze einen FTP-Server in der DMZ auf, und erlaube den Zugriff von Intern => DMZ auf Port 20,21 und gut ist.
Gruss,
Dani
Das Problem an dieser Konfiguration ist, das du für Gruppenrichtlinien die Protokolle CIFS, LDAP, Kerberos, DNS, LDAP, RPC und GC nach innen benötigst. Das sind mindestens die Ports 53, 88, 135-139, 389, 363, 1024-65536, 3268, 3269.
Wenn du diese Ports vom DMZ-Server zum Domänencontroller, GC und PDC-EMU zulässt, stellt sich mir die Frage nach dem Sinn der DMZ. Du könntest dann den Windows-Server ins interne Netz stellen, in der DMZ einen Proxy für die benötigten Dienste einrichten und auf dem ISA zusätzlich Prüfungen vornehmen. Das ist auf jeden Fall das geringere Übel. Wenn jemand deinen Proxy hackt, kann er maximal die Dienste des Endpoint-Servers im internem Netz angreifen. Hackt aber jemand DEINEN Server in der DMZ, kann er, wenn du die oben genannten Ports freigeschaltet hast, deine komplette Domäne einnehmen.
Also, nicht machen
Möchtest du Sicherheitseinstellungen auf diesem Server übernehmen, erstelle eine Sicherheitsvorlage und importiere diese auf dem Server. Das Backup kannst du auf dem Server über NTBackup in einem Ordner speichern und in innen per HTTP/FTP/??? herunterziehen. Hast du nicht genug speicher, stecke eine USB-Platte an die Kiste, lege dort die Sicherung ab und ziehe einmal die Woche die Platte ab und speichere das Sicherungsfile auf einem internem Fileserver.
Der Direktzugriff des Servers aus der DMZ auf interne Server über das CIFS-Protokoll, wird wieder ähnliche Sicherheitsprobleme verursachen.
Wenn du diese Ports vom DMZ-Server zum Domänencontroller, GC und PDC-EMU zulässt, stellt sich mir die Frage nach dem Sinn der DMZ. Du könntest dann den Windows-Server ins interne Netz stellen, in der DMZ einen Proxy für die benötigten Dienste einrichten und auf dem ISA zusätzlich Prüfungen vornehmen. Das ist auf jeden Fall das geringere Übel. Wenn jemand deinen Proxy hackt, kann er maximal die Dienste des Endpoint-Servers im internem Netz angreifen. Hackt aber jemand DEINEN Server in der DMZ, kann er, wenn du die oben genannten Ports freigeschaltet hast, deine komplette Domäne einnehmen.
Also, nicht machen
Möchtest du Sicherheitseinstellungen auf diesem Server übernehmen, erstelle eine Sicherheitsvorlage und importiere diese auf dem Server. Das Backup kannst du auf dem Server über NTBackup in einem Ordner speichern und in innen per HTTP/FTP/??? herunterziehen. Hast du nicht genug speicher, stecke eine USB-Platte an die Kiste, lege dort die Sicherung ab und ziehe einmal die Woche die Platte ab und speichere das Sicherungsfile auf einem internem Fileserver.
Der Direktzugriff des Servers aus der DMZ auf interne Server über das CIFS-Protokoll, wird wieder ähnliche Sicherheitsprobleme verursachen.
Ok vielen Dank für die Antworten, dann weiß ich Bescheid, und werde mir hierfür andere "Strategien" einfallen lassen!
