m.marz
Goto Top

1 Anwendung für externe Arbeiter per Windows-TerminalServer in der DMZ bereitstellen?

Hallo zusammen,

ich im Anfang meiner IT-Karriere habe eine neue Herausforderung im Betrieb:

Wir sollen externen Mitarbeitern einen Zugriff auf eine Anwendung gewähren, die auf unsere Datenbank zugreift.

Meine Idee:

Windows TerminalServer 2012R2 (Remotedesktopdienste) aufsetzen und diese in die DMZ setzen.

Dann die jeweiligen User aufsetzen und die Anwendung die auf unsere Datenbank greift zur Verfügung stellen.

Ist diese Idee so realisierbar und gut?

Freue mich auf Antworten von den IT-Experten.

Lg.

Content-Key: 316881

Url: https://administrator.de/contentid/316881

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: tomolpi
tomolpi 05.10.2016 um 09:02:39 Uhr
Goto Top
Wenn du die RDS CALs genehmigt kriegst face-wink
Mitglied: M.Marz
M.Marz 05.10.2016 um 09:09:38 Uhr
Goto Top
Müssen die ja
Mitglied: Dani
Dani 05.10.2016 aktualisiert um 12:12:09 Uhr
Goto Top
Moin,
es is natürlich schwierig einen Ansatz zu finden, ohne deine Umgebung zu kennen. Wir hatten lange Zeit VPN im Einsatz, aber es gibt nach wie vor WLAN-Hotspots oder Provider, wo Ports gesperrt werden.

Wir haben ADFS-Proxies in der DMZ stehen. Somit stehen RDS Gateway und RDS-Broker, RDS-Host im LAN. Abgesichert ist der Anmeldeformular von ADFS mit Hilfe von Gemalto OTP. Somit muss in Richtung LAN "nur" ICMP und HTTPS geöffnet werden.

Eine Nummer kleiner wäre das RDS-Gateway in die DMZ zu stellen. Allerdings muss diesesr Mitglied der Domäne (wegen sein und somit müssen auch viele Ports geöffnet werden damit der Server mit den Domain Controllern sprechen kann. Alternativ einen RODC in die DMZ stellen und die Kommunikation mit einem IPSec-Tunnel absichern und Zertifikate für die Authentifizierung nutzen.


Gruß,
Dani
Mitglied: M.Marz
M.Marz 05.10.2016 um 11:24:58 Uhr
Goto Top
danke dani,

hört sich etwas kompliziert an.

Eine VPN verbindung ist auf keinen Fall gewünscht, da ja die externen Arbeiter die nicht zur Firma gehören in unserem LAN wären.
Ich bin gerade dabei den RD-Gateway auszuprobieren, allerdings müsste ich dann schauen wie ich diesen in die DMZ setze und welche Port ich alles brauchen werde.

Der RD-Gateway soll dann auf den RD-Server zeigen der die Anwendung installiert hat und die User diese starten
Mitglied: Dani
Dani 05.10.2016 aktualisiert um 12:27:57 Uhr
Goto Top
Von wie vielen externen Benutzern reden wir? Wie sicher muss der Zugriff sein mit welchen Aufwand?

Wir haben uns damals bewusst für die Lösung A (ADFS + WAP) entschieden, weil wir keine größeren Löcher in die Firewall bohren wollten. Zwar stand das Thema RODC auch im Fokus, aber wirklich wohl war es keinem dabei. der WAP muss keiner Domäne angehören und von DMZ -> LAN war nur ICMP und TCP, Port 443 notwendig. Klar, du brauchst dazu erstmal zwei (virtuelle) Server, die Lizenzen und Fachwissen.

Du kannst auch auf der Firewall/Router eine Port-Forward direkt auf das RDS-Gateway im LAN konfigurieren. Die DMZ einfach weglassen... Das wäre die einfachste Variante... face-smile


Gruß,
Dani

hört sich etwas kompliziert an.
Das ist meine Gehaltsabrechnung auch... aber mit den Jahren verstehe ich sie sogar. face-wink
Mitglied: M.Marz
M.Marz 05.10.2016 um 12:41:35 Uhr
Goto Top
super ich danke dir dani.

es sollen am ende 3 Leute aus insgesammt 3 Ländern eine Anwendung benutzen die nur bei uns ist.

Wir werden hier wohl den RD-Gateway in der DMZ stellen, der sich dann zum RD-Server gesichert (TLS) verbinden soll.

Es soll sicher sein das mögliche Fehler oder bewusste attacken von User geblockt werden können.