1 Anwendung für externe Arbeiter per Windows-TerminalServer in der DMZ bereitstellen?
Hallo zusammen,
ich im Anfang meiner IT-Karriere habe eine neue Herausforderung im Betrieb:
Wir sollen externen Mitarbeitern einen Zugriff auf eine Anwendung gewähren, die auf unsere Datenbank zugreift.
Meine Idee:
Windows TerminalServer 2012R2 (Remotedesktopdienste) aufsetzen und diese in die DMZ setzen.
Dann die jeweiligen User aufsetzen und die Anwendung die auf unsere Datenbank greift zur Verfügung stellen.
Ist diese Idee so realisierbar und gut?
Freue mich auf Antworten von den IT-Experten.
Lg.
ich im Anfang meiner IT-Karriere habe eine neue Herausforderung im Betrieb:
Wir sollen externen Mitarbeitern einen Zugriff auf eine Anwendung gewähren, die auf unsere Datenbank zugreift.
Meine Idee:
Windows TerminalServer 2012R2 (Remotedesktopdienste) aufsetzen und diese in die DMZ setzen.
Dann die jeweiligen User aufsetzen und die Anwendung die auf unsere Datenbank greift zur Verfügung stellen.
Ist diese Idee so realisierbar und gut?
Freue mich auf Antworten von den IT-Experten.
Lg.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 316881
Url: https://administrator.de/contentid/316881
Ausgedruckt am: 28.03.2024 um 23:03 Uhr
6 Kommentare
Neuester Kommentar
Moin,
es is natürlich schwierig einen Ansatz zu finden, ohne deine Umgebung zu kennen. Wir hatten lange Zeit VPN im Einsatz, aber es gibt nach wie vor WLAN-Hotspots oder Provider, wo Ports gesperrt werden.
Wir haben ADFS-Proxies in der DMZ stehen. Somit stehen RDS Gateway und RDS-Broker, RDS-Host im LAN. Abgesichert ist der Anmeldeformular von ADFS mit Hilfe von Gemalto OTP. Somit muss in Richtung LAN "nur" ICMP und HTTPS geöffnet werden.
Eine Nummer kleiner wäre das RDS-Gateway in die DMZ zu stellen. Allerdings muss diesesr Mitglied der Domäne (wegen sein und somit müssen auch viele Ports geöffnet werden damit der Server mit den Domain Controllern sprechen kann. Alternativ einen RODC in die DMZ stellen und die Kommunikation mit einem IPSec-Tunnel absichern und Zertifikate für die Authentifizierung nutzen.
Gruß,
Dani
es is natürlich schwierig einen Ansatz zu finden, ohne deine Umgebung zu kennen. Wir hatten lange Zeit VPN im Einsatz, aber es gibt nach wie vor WLAN-Hotspots oder Provider, wo Ports gesperrt werden.
Wir haben ADFS-Proxies in der DMZ stehen. Somit stehen RDS Gateway und RDS-Broker, RDS-Host im LAN. Abgesichert ist der Anmeldeformular von ADFS mit Hilfe von Gemalto OTP. Somit muss in Richtung LAN "nur" ICMP und HTTPS geöffnet werden.
Eine Nummer kleiner wäre das RDS-Gateway in die DMZ zu stellen. Allerdings muss diesesr Mitglied der Domäne (wegen sein und somit müssen auch viele Ports geöffnet werden damit der Server mit den Domain Controllern sprechen kann. Alternativ einen RODC in die DMZ stellen und die Kommunikation mit einem IPSec-Tunnel absichern und Zertifikate für die Authentifizierung nutzen.
Gruß,
Dani
Von wie vielen externen Benutzern reden wir? Wie sicher muss der Zugriff sein mit welchen Aufwand?
Wir haben uns damals bewusst für die Lösung A (ADFS + WAP) entschieden, weil wir keine größeren Löcher in die Firewall bohren wollten. Zwar stand das Thema RODC auch im Fokus, aber wirklich wohl war es keinem dabei. der WAP muss keiner Domäne angehören und von DMZ -> LAN war nur ICMP und TCP, Port 443 notwendig. Klar, du brauchst dazu erstmal zwei (virtuelle) Server, die Lizenzen und Fachwissen.
Du kannst auch auf der Firewall/Router eine Port-Forward direkt auf das RDS-Gateway im LAN konfigurieren. Die DMZ einfach weglassen... Das wäre die einfachste Variante...
Gruß,
Dani
Wir haben uns damals bewusst für die Lösung A (ADFS + WAP) entschieden, weil wir keine größeren Löcher in die Firewall bohren wollten. Zwar stand das Thema RODC auch im Fokus, aber wirklich wohl war es keinem dabei. der WAP muss keiner Domäne angehören und von DMZ -> LAN war nur ICMP und TCP, Port 443 notwendig. Klar, du brauchst dazu erstmal zwei (virtuelle) Server, die Lizenzen und Fachwissen.
Du kannst auch auf der Firewall/Router eine Port-Forward direkt auf das RDS-Gateway im LAN konfigurieren. Die DMZ einfach weglassen... Das wäre die einfachste Variante...
Gruß,
Dani
hört sich etwas kompliziert an.
Das ist meine Gehaltsabrechnung auch... aber mit den Jahren verstehe ich sie sogar.