15
1 Domänenserver für 2 Subnetze?
Hallo zusammen,
ich habe folgende Netzwerksituation:
Momentan betreibe ich 12 WinXP Pro SP2 PCs in einem Domänen Netzwerk an einem Win2k3 SP1 Server als Domänencontroller, DNS- und DHCP Server.
Die PCs hängen an einem Switch an dem ein Hardwarerouter für das Internet hängt.
Nun sollen 3 WinXP SP2 Pro PCs dazukommen, die auch an die Domäne sollen, aber in einem getrennten Subnetz, an einem neuen Switch sowie einem neuen Router arbeiten sollen. Der Zugriff soll also zwischen den beiden Subnetzen nicht möglich sein, aber ein 2 Server wäre zu teuer.
Nun würde ich in den Server eine 2. Nic mit neuer IP einbauen und einen neuen DHCP Bereich für die 2. Nic konfigurieren.
Ist es aber auch möglich, dieselbe (oder wenn nicht möglich eine 2.) Domäne an dem einen Server für die neuen PCs zu verwenden?
Kann der Win2k3 Server also beide Subnetze mit DomänenServices als DHCP und DNS Server bedienen?
Des weiteren sollen die Ordner-Freigaben auf dem Server natürlich nicht für beide Subnetze verfügbar, sondern getrennt sein. Kann ich denn den Zugriff auf eine Ordnerfreigabe auch auf eine bestimmte NIC einschränken oder brauche ich eine zusätzliche Speicherlösung (NAS...) in beiden Subnetzen, um auch die Daten zu trennen?
Was meint ihr?
Vielen Dank für alle Tipps!
ich habe folgende Netzwerksituation:
Momentan betreibe ich 12 WinXP Pro SP2 PCs in einem Domänen Netzwerk an einem Win2k3 SP1 Server als Domänencontroller, DNS- und DHCP Server.
Die PCs hängen an einem Switch an dem ein Hardwarerouter für das Internet hängt.
Nun sollen 3 WinXP SP2 Pro PCs dazukommen, die auch an die Domäne sollen, aber in einem getrennten Subnetz, an einem neuen Switch sowie einem neuen Router arbeiten sollen. Der Zugriff soll also zwischen den beiden Subnetzen nicht möglich sein, aber ein 2 Server wäre zu teuer.
Nun würde ich in den Server eine 2. Nic mit neuer IP einbauen und einen neuen DHCP Bereich für die 2. Nic konfigurieren.
Ist es aber auch möglich, dieselbe (oder wenn nicht möglich eine 2.) Domäne an dem einen Server für die neuen PCs zu verwenden?
Kann der Win2k3 Server also beide Subnetze mit DomänenServices als DHCP und DNS Server bedienen?
Des weiteren sollen die Ordner-Freigaben auf dem Server natürlich nicht für beide Subnetze verfügbar, sondern getrennt sein. Kann ich denn den Zugriff auf eine Ordnerfreigabe auch auf eine bestimmte NIC einschränken oder brauche ich eine zusätzliche Speicherlösung (NAS...) in beiden Subnetzen, um auch die Daten zu trennen?
Was meint ihr?
Vielen Dank für alle Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29979
Url: https://administrator.de/contentid/29979
Printed on: April 19, 2024 at 21:04 o'clock
15 Comments
Latest comment
Wieviele Subnetze du hast ist egal. Wir haben 254 Subnetze, aus denen PCs auf einen Domaincontroller (bzw. Cluster) zugreifen.
Die PCs können alle den selben DC benutzen. Für Zugriffe auf Freigaben, DFS Laufwerke etc gibt es ja die Berechtigungen. Gruppen bilden, Berechtigungen setzen. Das ist ja einer der Hauptgründe, wiso man überhaupt einen DC einsetzt.
Für die drei PCs brauchst du nichtmal nen extra Switch, wenn du VLAN fähige Switches und Router einsetzt. Die werden dann einfach in ein anderes VLAN (das ein anderes Subnetz repräsentiert) gesteckt und sind damit netzwerktechnisch von dem anderen Subnetz getrennt. Wiso du für die drei PCs extra DHCP konfigurieren willst weiss ich nicht - wiso nicht einfach statische IPs vergeben? Die Sache mit der zweiten Netzkarte am DC ist völlig unnötig. Bei Einsatz eines DHCP brauchst du ferner auf jeden Fall einen DHCP Relay Agent, der DHCP Anfragen von dem Subnetz, in dem der DHCP Server NICHT steht, an den DHCP weiterleitet.
Die PCs können alle den selben DC benutzen. Für Zugriffe auf Freigaben, DFS Laufwerke etc gibt es ja die Berechtigungen. Gruppen bilden, Berechtigungen setzen. Das ist ja einer der Hauptgründe, wiso man überhaupt einen DC einsetzt.
Für die drei PCs brauchst du nichtmal nen extra Switch, wenn du VLAN fähige Switches und Router einsetzt. Die werden dann einfach in ein anderes VLAN (das ein anderes Subnetz repräsentiert) gesteckt und sind damit netzwerktechnisch von dem anderen Subnetz getrennt. Wiso du für die drei PCs extra DHCP konfigurieren willst weiss ich nicht - wiso nicht einfach statische IPs vergeben? Die Sache mit der zweiten Netzkarte am DC ist völlig unnötig. Bei Einsatz eines DHCP brauchst du ferner auf jeden Fall einen DHCP Relay Agent, der DHCP Anfragen von dem Subnetz, in dem der DHCP Server NICHT steht, an den DHCP weiterleitet.
Die PCs können alle den selben DC
benutzen. Für Zugriffe auf Freigaben,
DFS Laufwerke etc gibt es ja die
Berechtigungen. Gruppen bilden,
Berechtigungen setzen. Das ist ja einer der
Hauptgründe, wiso man überhaupt
einen DC einsetzt.
Für die drei PCs brauchst du nichtmal
nen extra Switch, wenn du VLAN fähige
Switches und Router einsetzt. Die werden
dann einfach in ein anderes VLAN (das ein
anderes Subnetz repräsentiert) gesteckt
und sind damit netzwerktechnisch von dem
anderen Subnetz getrennt. Wiso du für
die drei PCs extra DHCP konfigurieren willst
weiss ich nicht - wiso nicht einfach
statische IPs vergeben? Die Sache mit der
zweiten Netzkarte am DC ist völlig
unnötig. Bei Einsatz eines DHCP
brauchst du ferner auf jeden Fall einen DHCP
Relay Agent, der DHCP Anfragen von dem
Subnetz, in dem der DHCP Server NICHT steht,
an den DHCP weiterleitet.
Die 2 Subnetze sollen aus Sicherheitsgründen physisch voneinandefr getrennt werden, ohne Zugriffsmöglichkeiten von einem Subnetz ins andere. Da keine Vlan Switches vorhanden sind und ich den Auftrag habe, alles strikt zu trennen nehme ich einen neuen Switch und einen neuen Router, da auch ein anderer Inet Zugang erforderlich ist.
Der Domänenserver läuft ja momentan auf einer IP.
Wie gehe ich denn vor, wenn die Clients im neuen Subnetz nun auf den Domänencontroller mit seiner 2. IP Zugreifen wollen? Akzepiert das die Windows Domäne, ist nur der DNS Server relevant, nicht ndie IP Adresse des Domainservers?
Wie funktioniert denn das genau mit dem DHCP Relay?
Ich nahm an, ich könnte im DHCP einen 2. IP Bereich einstellen und diesen dann auf die 2. Netzwerkkarte binden. Geht sowas?
Dass ich die Freigaben auf dem Server schützen kann, ist klar.
Nur sollte es nicht die Möglichkeit geben, überhaupt Attacken auf die Freigaben zu starten, da das erste Subnetz mit seinen LAN Anschlüssen mehr oder weniger "öffentlicht ist".
Dazu Ideen?
Geh ich richtig in der Annahme, dass du einfach einen Internetzugang für Gäste brauchst, die mit ihren unsicheren Rechnern aber nichts im Produktions-Subnetz verloren haben?
Da brauchst du auch keinen extra Router dazu. Weiss ja nicht was für einen du hast, aber du könntest entweder auf dem Router selbst mit Firewall Regeln oder ACLs oder den Zugriff zw. den Subnetzen regeln, oder aber zw. Router und LAN eine extra FW zwischenschalten.
Die Gäste-Notebooks können dann einen öffentlichen DNS Server als DNS bekommen.
Wenn du eh nen seperaten Internetzugang für die drei Rechner haben willst, nimm doch nen gängigen DSL Router, und dann ist eh kein zugriff mehr möglich ins Firmen-LAN.
An den DSL Router kannst dann auch noch ein USB Plattenteil dranhängen, falls dieses neue Subnetz ein Ablageort für Dateien braucht. Dann wären beide absolut getrennt von einander. Ist wohl die einfachste und narren-sicherste Lösung.
Also - entweder SOLL Zugriff auf den DC möglich sein, oder soll KEINER möglich sein?
Mit der 2ten Netzkarte kann man wohl schon was drehen - wird aber komplizierter, und dann hätten die PCs in dem neuen Subnetz ja wieder Zugriff auf den DC und auf seine Daten. Und das willst du ja eigentlich gerade nicht wenn ich das richtig verstehe.
Da brauchst du auch keinen extra Router dazu. Weiss ja nicht was für einen du hast, aber du könntest entweder auf dem Router selbst mit Firewall Regeln oder ACLs oder den Zugriff zw. den Subnetzen regeln, oder aber zw. Router und LAN eine extra FW zwischenschalten.
Die Gäste-Notebooks können dann einen öffentlichen DNS Server als DNS bekommen.
Wenn du eh nen seperaten Internetzugang für die drei Rechner haben willst, nimm doch nen gängigen DSL Router, und dann ist eh kein zugriff mehr möglich ins Firmen-LAN.
An den DSL Router kannst dann auch noch ein USB Plattenteil dranhängen, falls dieses neue Subnetz ein Ablageort für Dateien braucht. Dann wären beide absolut getrennt von einander. Ist wohl die einfachste und narren-sicherste Lösung.
Also - entweder SOLL Zugriff auf den DC möglich sein, oder soll KEINER möglich sein?
Mit der 2ten Netzkarte kann man wohl schon was drehen - wird aber komplizierter, und dann hätten die PCs in dem neuen Subnetz ja wieder Zugriff auf den DC und auf seine Daten. Und das willst du ja eigentlich gerade nicht wenn ich das richtig verstehe.
Geh ich richtig in der Annahme, dass du
einfach einen Internetzugang für
Gäste brauchst, die mit ihren
unsicheren Rechnern aber nichts im
Produktions-Subnetz verloren haben?
Da brauchst du auch keinen extra Router
dazu. Weiss ja nicht was für einen du
hast, aber du könntest entweder auf dem
Router selbst mit Firewall Regeln oder ACLs
oder den Zugriff zw. den Subnetzen regeln,
oder aber zw. Router und LAN eine extra FW
zwischenschalten.
Die Gäste-Notebooks können dann
einen öffentlichen DNS Server als DNS
bekommen.
Wenn du eh nen seperaten Internetzugang
für die drei Rechner haben willst, nimm
doch nen gängigen DSL Router, und dann
ist eh kein zugriff mehr möglich ins
Firmen-LAN.
An den DSL Router kannst dann auch noch ein
USB Plattenteil dranhängen, falls dieses
neue Subnetz ein Ablageort für Dateien
braucht. Dann wären beide absolut
getrennt von einander. Ist wohl die
einfachste und narren-sicherste
Lösung.
Also - entweder SOLL Zugriff auf den DC
möglich sein, oder soll KEINER
möglich sein?
Mit der 2ten Netzkarte kann man wohl schon
was drehen - wird aber komplizierter, und
dann hätten die PCs in dem neuen
Subnetz ja wieder Zugriff auf den DC und auf
seine Daten. Und das willst du ja eigentlich
gerade nicht wenn ich das richtig verstehe.
einfach einen Internetzugang für
Gäste brauchst, die mit ihren
unsicheren Rechnern aber nichts im
Produktions-Subnetz verloren haben?
Da brauchst du auch keinen extra Router
dazu. Weiss ja nicht was für einen du
hast, aber du könntest entweder auf dem
Router selbst mit Firewall Regeln oder ACLs
oder den Zugriff zw. den Subnetzen regeln,
oder aber zw. Router und LAN eine extra FW
zwischenschalten.
Die Gäste-Notebooks können dann
einen öffentlichen DNS Server als DNS
bekommen.
Wenn du eh nen seperaten Internetzugang
für die drei Rechner haben willst, nimm
doch nen gängigen DSL Router, und dann
ist eh kein zugriff mehr möglich ins
Firmen-LAN.
An den DSL Router kannst dann auch noch ein
USB Plattenteil dranhängen, falls dieses
neue Subnetz ein Ablageort für Dateien
braucht. Dann wären beide absolut
getrennt von einander. Ist wohl die
einfachste und narren-sicherste
Lösung.
Also - entweder SOLL Zugriff auf den DC
möglich sein, oder soll KEINER
möglich sein?
Mit der 2ten Netzkarte kann man wohl schon
was drehen - wird aber komplizierter, und
dann hätten die PCs in dem neuen
Subnetz ja wieder Zugriff auf den DC und auf
seine Daten. Und das willst du ja eigentlich
gerade nicht wenn ich das richtig verstehe.
Ja du hast fast recht.
Mir kommt es ja primär nur auf die vollständige Trennung der beiden Netze mit getrennten Switches und Routern an.
Nur der Server soll in beiden Netzen als DC arbeiten. Die Daten lege ich dann mittels NAS o.Ä. in beiden Netzen getrennt ab.
Kann ich es dann nicht ganz simpel so machen, dass die gesamte Domänen-Server-Konfiguration beim alten bleibt, der Server nur eine 2. NIC erhält, die an den 2. Switch angeschlossen wird an dem auch der 2. Router hängt?
Dann könnte ich doch das 2. Subnetz weglassen, da die PCs sowieso an getrennten Switches hängen und der Server sollte kein Routing zwischen beiden möglich machen.
Dann wär das ganze doch getrennt realisiert oder?
Zur Erklärung: die neuen PCs bekommen einen speziellen VPN Zugang über den neuen Router, das muss also alles vollkommen getrennt laufen. Nur ein 2. Server wäre zu teuer.
Die Daten sollen dann aber wie gesagt nicht mehr auf den Server, weil Sie ja dann wieder öffentlich "hackbar" wären, sondern auf eine NAS im 2. Netz.
Ginge das so, ohne 2 Subnetze zu machen?
Wenn du eine zweite NIC im DC hättest, diese einem anderen Subnetz zuordnest, in dem sich auch ein angehängter Switch befindet, und kein Routing auf dem DC aktivierst, bringt das insofern Probleme, da ja dein DC einen DNS beherbergt. Dieser hat in seiner Forward-Lookup Zone definiert, welche IP der DC hat, sowie die ganzen SRV Einträge die für DC Betrieb nötig sind.
Wie aber sollen die DC Dienste aus diesem "neuen" Netz erreichbar sein, wenn der DC kein Routing macht?
Ich habe deinen Bedarf verstanden. Du willst sicheren Zugang von extern auf Daten des Domaincontrollers. Die einfachste Möglichkeit ohne zusätzliche Hardware wäre einen VPN Server Dienst auf dem DC laufen zu haben. Als sicheres Zugriffsprotokoll IPSEC benutzen.
Die Sicherheit steht und fällt mit der Firewall die auf oder hinter dem Router den Verkehr kontrolliert. Wenn du nur die VPN Ports forwardest auf den DC - mein Gott, entweder will man Zugriff von extern, oder will man keinen. Am sichersten ists natürlich, GARKEINE Verbindung zum Internet zu haben, und den Server incl. der ganzen Firma 100Meter unter der Erde auf einem fremden Planeten unterzubringen.
Du kannst auch eine spezielle VPN Hardware nehmen, die VPN Server spielt. Dann endet der VPN Tunnel an diesem Gerät, und wer berechtigt ist den Tunnel aufzubauen, ist nach Überwindung dieses Gerätes im LAN. Wenn der DC als VPN Server dient, endet der VPN Tunnel beim DC. Was jetzt sicherer ist von beiden Varianten - Glaubens- und GEschmackssache. DEINE Variante mit dem XP Rechner, der VPN Server spielt, ist so viel sicherer auch nicht - wenn einer das VPN hackt, hat er auch auf den DC Zugriff, und kann sich von dort eventuell weiter durchs zweite LAN hangeln. Das das passiert, ist bei beiden Varianten nicht sehr wahrscheinlich - eher paranoid.
Dein Denkansatz ist schon nachvollziehbar - doch was soll daran sicherer sein, als an der gängigen Lösung, die viele Firmen so einsetzen? Dein bisheriges LAN ist ja auch mit dem Internet verbunden - mit allen Vor- und Nachteilen die das mit sich bringt.
Ich denke eine einfache gängige Lösung ist immer sicherer, als eine komplexe, unnatürliche Lösung.
Ich glaube, ich an deiner Stelle würde einfach einen neuen Router holen, der auch als VPN Server arbeitet. Das ist am einfachsten, durchschaubarsten, und sichersten. Und kost auch nicht die Welt. Den alten Router in den Schrank packen.
Wie aber sollen die DC Dienste aus diesem "neuen" Netz erreichbar sein, wenn der DC kein Routing macht?
Ich habe deinen Bedarf verstanden. Du willst sicheren Zugang von extern auf Daten des Domaincontrollers. Die einfachste Möglichkeit ohne zusätzliche Hardware wäre einen VPN Server Dienst auf dem DC laufen zu haben. Als sicheres Zugriffsprotokoll IPSEC benutzen.
Die Sicherheit steht und fällt mit der Firewall die auf oder hinter dem Router den Verkehr kontrolliert. Wenn du nur die VPN Ports forwardest auf den DC - mein Gott, entweder will man Zugriff von extern, oder will man keinen. Am sichersten ists natürlich, GARKEINE Verbindung zum Internet zu haben, und den Server incl. der ganzen Firma 100Meter unter der Erde auf einem fremden Planeten unterzubringen.
Du kannst auch eine spezielle VPN Hardware nehmen, die VPN Server spielt. Dann endet der VPN Tunnel an diesem Gerät, und wer berechtigt ist den Tunnel aufzubauen, ist nach Überwindung dieses Gerätes im LAN. Wenn der DC als VPN Server dient, endet der VPN Tunnel beim DC. Was jetzt sicherer ist von beiden Varianten - Glaubens- und GEschmackssache. DEINE Variante mit dem XP Rechner, der VPN Server spielt, ist so viel sicherer auch nicht - wenn einer das VPN hackt, hat er auch auf den DC Zugriff, und kann sich von dort eventuell weiter durchs zweite LAN hangeln. Das das passiert, ist bei beiden Varianten nicht sehr wahrscheinlich - eher paranoid.
Dein Denkansatz ist schon nachvollziehbar - doch was soll daran sicherer sein, als an der gängigen Lösung, die viele Firmen so einsetzen? Dein bisheriges LAN ist ja auch mit dem Internet verbunden - mit allen Vor- und Nachteilen die das mit sich bringt.
Ich denke eine einfache gängige Lösung ist immer sicherer, als eine komplexe, unnatürliche Lösung.
Ich glaube, ich an deiner Stelle würde einfach einen neuen Router holen, der auch als VPN Server arbeitet. Das ist am einfachsten, durchschaubarsten, und sichersten. Und kost auch nicht die Welt. Den alten Router in den Schrank packen.
Danke für deine ausführliche Antwort.
In meiner Situation gibt es aber keinen Zugriff von außen, alle PCs sind in einem lokalen LAN mit Internetzugang, nur sind davon Teile "öffentliche" PCs und die 3 neuen Clients und derren Daten sollen nicht öffentlich sein.
Würde es dann mit dem DC funktionieren, wenn ich dasselbe Subnetz nutze an der 2. NIC und die neuen Clients auch einfach vom DHCP die Adressen zugeteilt bekommen, nur dass Sie eben an einem physisch anderen Switch hängen (an dem auch die NAS mit Ihren Daten hängt), so dass es getrennte Netze mit demselben Subnetz und demselben DC mit 2 NICs wären.
Ginge das?
In meiner Situation gibt es aber keinen Zugriff von außen, alle PCs sind in einem lokalen LAN mit Internetzugang, nur sind davon Teile "öffentliche" PCs und die 3 neuen Clients und derren Daten sollen nicht öffentlich sein.
Würde es dann mit dem DC funktionieren, wenn ich dasselbe Subnetz nutze an der 2. NIC und die neuen Clients auch einfach vom DHCP die Adressen zugeteilt bekommen, nur dass Sie eben an einem physisch anderen Switch hängen (an dem auch die NAS mit Ihren Daten hängt), so dass es getrennte Netze mit demselben Subnetz und demselben DC mit 2 NICs wären.
Ginge das?
Ich denke nicht dass das ginge.
Da kommt die interne Routingtabelle des DC ja völlig durcheinander, und weiss nichtmehr wohin Pakete gesendet werden sollen - NIC 1 oder NIC2. Nö ich sage dat geht nicht so.
Kannst du KNAPP UND KLAR erläutern, was du denn nun genau brauchst? Ich verstehe noch nicht das grosse Ganze ...
Da kommt die interne Routingtabelle des DC ja völlig durcheinander, und weiss nichtmehr wohin Pakete gesendet werden sollen - NIC 1 oder NIC2. Nö ich sage dat geht nicht so.
Kannst du KNAPP UND KLAR erläutern, was du denn nun genau brauchst? Ich verstehe noch nicht das grosse Ganze ...
Kannst du KNAPP UND KLAR erläutern, was
du denn nun genau brauchst? Ich verstehe noch
nicht das grosse Ganze ...
du denn nun genau brauchst? Ich verstehe noch
nicht das grosse Ganze ...
Ist-Zustand:
10 WinXP Pro SP2 Desktop PCs, öffentlich nutzbar, an einem Win2k3 SP1 DC als DHCP und DNS-Server, sowie Fileserver. Alle PC inkl dem Server hängen an einem 100 Mbit Switch. Internetzugang wird über einen Hardwarerouter mit Firewall ermöglicht.
Weiterentwicklung:
Nun kommen 3 neue Desktop Client PCs dazu, die nicht öffentlicht nutzbar sind. Sie sollen einen speziellen Internetzugang über einen neuen Router erhalten und so getrennt wie möglich von den anderen PCs laufen, dass Sie zwar denselben Server aus Kostengründen als DC nutzen, Ihre Daten aber vollständig getrennt zentral aufbewahren, also auf keinen Fall auf dem DC. Es soll nicht mal eine Zugangsmöglichkeit im Sinne von Brutforceattacken o.Ä. auf die Daten möglich sein, aus dem öffentlichen Netz.
Zusätzlich sollen die neuen PCs am besten über Gigabit an den Server angeschlossen werden.
Was meint ihr? Wie löse ich das am kostengünstigsten?
Was bedeutet "die 10 PCs sind öffentlich nutzbar"? Ein Internet-Cafe oder sowas?
Und nun sollen 3 PCs dazukommen, die sich am DC anmelden können, ihre Files aber NICHT auf dem DC speichern können sollen (warum auch immer) und die auch die anderen 10 PCs nicht kontakten können. Wenn die drei neuen auf dem DC ihre Files ablegen, kannst du doch locker über Berechtigungen den zugriff auf andere Daten verbieten. Das ist ja der Grund wiso man einen DC betreibt - zentrale Verwaltung von Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne anmelden, jedoch keine Files auf dem DC ablegen oder lesen können sollen führt ferner zur Frage, wiso die 3 Rechner ÜBERHAUPT in die Domäne aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit neuem Internetzugang und DSL Router einsetzten, der ein USB Laufwerk hat, wo die 3 ihre Daten ablegen können (als Backup. Zusätzlich liegen die Daten auf den 3 Rechnern und damit nicht auf dem DC). Dann wäre alles völlig getrennt vom ersten Netz, und trotzdem haben sie eine zentrale Datenablage - das am Router angeschlossene USB Laufwerk oder eine Art NAS Device.
Die 3 neuen Rechner können dann mit lokalen Usern mit eingeschr. Rechten arbeiten, ohne Anmeldung am DC, und mit fixen IPs (bei drei Rechnern ist ja da nicht sooo viel einzustellen).
Und nun sollen 3 PCs dazukommen, die sich am DC anmelden können, ihre Files aber NICHT auf dem DC speichern können sollen (warum auch immer) und die auch die anderen 10 PCs nicht kontakten können. Wenn die drei neuen auf dem DC ihre Files ablegen, kannst du doch locker über Berechtigungen den zugriff auf andere Daten verbieten. Das ist ja der Grund wiso man einen DC betreibt - zentrale Verwaltung von Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne anmelden, jedoch keine Files auf dem DC ablegen oder lesen können sollen führt ferner zur Frage, wiso die 3 Rechner ÜBERHAUPT in die Domäne aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit neuem Internetzugang und DSL Router einsetzten, der ein USB Laufwerk hat, wo die 3 ihre Daten ablegen können (als Backup. Zusätzlich liegen die Daten auf den 3 Rechnern und damit nicht auf dem DC). Dann wäre alles völlig getrennt vom ersten Netz, und trotzdem haben sie eine zentrale Datenablage - das am Router angeschlossene USB Laufwerk oder eine Art NAS Device.
Die 3 neuen Rechner können dann mit lokalen Usern mit eingeschr. Rechten arbeiten, ohne Anmeldung am DC, und mit fixen IPs (bei drei Rechnern ist ja da nicht sooo viel einzustellen).
Was bedeutet "die 10 PCs sind
öffentlich nutzbar"? Ein
Internet-Cafe oder sowas?
Und nun sollen 3 PCs dazukommen, die sich am
DC anmelden können, ihre Files aber
NICHT auf dem DC speichern können
sollen (warum auch immer) und die auch die
anderen 10 PCs nicht kontakten können.
Wenn die drei neuen auf dem DC ihre Files
ablegen, kannst du doch locker über
Berechtigungen den zugriff auf andere Daten
verbieten. Das ist ja der Grund wiso man
einen DC betreibt - zentrale Verwaltung von
Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne
anmelden, jedoch keine Files auf dem DC
ablegen oder lesen können sollen
führt ferner zur Frage, wiso die 3
Rechner ÜBERHAUPT in die Domäne
aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit
neuem Internetzugang und DSL Router
einsetzten, der ein USB Laufwerk hat, wo die
3 ihre Daten ablegen können (als Backup.
Zusätzlich liegen die Daten auf den 3
Rechnern und damit nicht auf dem DC). Dann
wäre alles völlig getrennt vom
ersten Netz, und trotzdem haben sie eine
zentrale Datenablage - das am Router
angeschlossene USB Laufwerk oder eine Art
NAS Device.
Die 3 neuen Rechner können dann mit
lokalen Usern mit eingeschr. Rechten
arbeiten, ohne Anmeldung am DC, und mit
fixen IPs (bei drei Rechnern ist ja da nicht
sooo viel einzustellen).
öffentlich nutzbar"? Ein
Internet-Cafe oder sowas?
Und nun sollen 3 PCs dazukommen, die sich am
DC anmelden können, ihre Files aber
NICHT auf dem DC speichern können
sollen (warum auch immer) und die auch die
anderen 10 PCs nicht kontakten können.
Wenn die drei neuen auf dem DC ihre Files
ablegen, kannst du doch locker über
Berechtigungen den zugriff auf andere Daten
verbieten. Das ist ja der Grund wiso man
einen DC betreibt - zentrale Verwaltung von
Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne
anmelden, jedoch keine Files auf dem DC
ablegen oder lesen können sollen
führt ferner zur Frage, wiso die 3
Rechner ÜBERHAUPT in die Domäne
aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit
neuem Internetzugang und DSL Router
einsetzten, der ein USB Laufwerk hat, wo die
3 ihre Daten ablegen können (als Backup.
Zusätzlich liegen die Daten auf den 3
Rechnern und damit nicht auf dem DC). Dann
wäre alles völlig getrennt vom
ersten Netz, und trotzdem haben sie eine
zentrale Datenablage - das am Router
angeschlossene USB Laufwerk oder eine Art
NAS Device.
Die 3 neuen Rechner können dann mit
lokalen Usern mit eingeschr. Rechten
arbeiten, ohne Anmeldung am DC, und mit
fixen IPs (bei drei Rechnern ist ja da nicht
sooo viel einzustellen).
Im Prinzip sind das 10 Schüler PCs und nun kommen 3 VerwaltungsPCs dazu, die aber auch die Services wie zentrale Virenscannersoftware und Druckdienste am DC nutzen können sollten.
Deswegen der Zugriff auf den DC. Für einen 2. DC fehlt eben das Geld.
Ne idee?
Einfachste Möglichkeit ohne Zusatzkosten - die drei Verwaltungspcs ganz normal integrieren wie die anderen 10 auch, und mit Personal Firwalls jeden einzelnen soweit sichern, dass die üblichen Portscan- oder Freigaben Zugriffe nicht möglich sind.
Auf dem DC dann DFS Laufwerke einrichten, und die Berechtigungen so setzten dass nur eine best. berechtigte Gruppe auf "Verwaltungs"-Daten zugreifen kann.
Dann sind sie meines Erachtens genauso sicher, als wenn du ein zweites Subnetz mit Zusatz Internetzugang etc realisierst, und eine (kompliziertere) Anbindung an den DC ermöglichst. Ob nun eine Personal Firewall die Rechner schützt, oder aber Firewallregeln die Zugriffe von einem Subnetz aufs andere unterbinden, kommt das gleiche raus.
Bei nur drei zu schützenden Rechner ist das denke ich mal einfacher so. Bei 50 Rechnern wäre das wohl anders zu realisieren.
Ich denke selbst die eingebaute XP Firewall wird ausreichen, um unerwünschte Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du ja mit Tools wie Nessus (www.nessus.org) testen, wenn du etwas Linux Kenntnisse hast (ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende Backup Lösung, wenn du nur einen DC im Einsatz hast... Wenn der mal abraucht, und es gehen wichtige Daten flöten, ist das nicht sehr erbaulich.
Auf dem DC dann DFS Laufwerke einrichten, und die Berechtigungen so setzten dass nur eine best. berechtigte Gruppe auf "Verwaltungs"-Daten zugreifen kann.
Dann sind sie meines Erachtens genauso sicher, als wenn du ein zweites Subnetz mit Zusatz Internetzugang etc realisierst, und eine (kompliziertere) Anbindung an den DC ermöglichst. Ob nun eine Personal Firewall die Rechner schützt, oder aber Firewallregeln die Zugriffe von einem Subnetz aufs andere unterbinden, kommt das gleiche raus.
Bei nur drei zu schützenden Rechner ist das denke ich mal einfacher so. Bei 50 Rechnern wäre das wohl anders zu realisieren.
Ich denke selbst die eingebaute XP Firewall wird ausreichen, um unerwünschte Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du ja mit Tools wie Nessus (www.nessus.org) testen, wenn du etwas Linux Kenntnisse hast (ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende Backup Lösung, wenn du nur einen DC im Einsatz hast... Wenn der mal abraucht, und es gehen wichtige Daten flöten, ist das nicht sehr erbaulich.
Einfachste Möglichkeit ohne Zusatzkosten
- die drei Verwaltungspcs ganz normal
integrieren wie die anderen 10 auch, und mit
Personal Firwalls jeden einzelnen soweit
sichern, dass die üblichen Portscan-
oder Freigaben Zugriffe nicht möglich
sind.
Auf dem DC dann DFS Laufwerke einrichten,
und die Berechtigungen so setzten dass nur
eine best. berechtigte Gruppe auf
"Verwaltungs"-Daten zugreifen
kann.
Dann sind sie meines Erachtens genauso
sicher, als wenn du ein zweites Subnetz mit
Zusatz Internetzugang etc realisierst, und
eine (kompliziertere) Anbindung an den DC
ermöglichst. Ob nun eine Personal
Firewall die Rechner schützt, oder aber
Firewallregeln die Zugriffe von einem Subnetz
aufs andere unterbinden, kommt das gleiche
raus.
Bei nur drei zu schützenden Rechner ist
das denke ich mal einfacher so. Bei 50
Rechnern wäre das wohl anders zu
realisieren.
Ich denke selbst die eingebaute XP Firewall
wird ausreichen, um unerwünschte
Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du
ja mit Tools wie Nessus (www.nessus.org)
testen, wenn du etwas Linux Kenntnisse hast
(ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende
Backup Lösung, wenn du nur einen DC im
Einsatz hast... Wenn der mal abraucht, und
es gehen wichtige Daten flöten, ist das
nicht sehr erbaulich.
- die drei Verwaltungspcs ganz normal
integrieren wie die anderen 10 auch, und mit
Personal Firwalls jeden einzelnen soweit
sichern, dass die üblichen Portscan-
oder Freigaben Zugriffe nicht möglich
sind.
Auf dem DC dann DFS Laufwerke einrichten,
und die Berechtigungen so setzten dass nur
eine best. berechtigte Gruppe auf
"Verwaltungs"-Daten zugreifen
kann.
Dann sind sie meines Erachtens genauso
sicher, als wenn du ein zweites Subnetz mit
Zusatz Internetzugang etc realisierst, und
eine (kompliziertere) Anbindung an den DC
ermöglichst. Ob nun eine Personal
Firewall die Rechner schützt, oder aber
Firewallregeln die Zugriffe von einem Subnetz
aufs andere unterbinden, kommt das gleiche
raus.
Bei nur drei zu schützenden Rechner ist
das denke ich mal einfacher so. Bei 50
Rechnern wäre das wohl anders zu
realisieren.
Ich denke selbst die eingebaute XP Firewall
wird ausreichen, um unerwünschte
Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du
ja mit Tools wie Nessus (www.nessus.org)
testen, wenn du etwas Linux Kenntnisse hast
(ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende
Backup Lösung, wenn du nur einen DC im
Einsatz hast... Wenn der mal abraucht, und
es gehen wichtige Daten flöten, ist das
nicht sehr erbaulich.
Der DC hat SCSI RAID 1 und einen SCSI Streamer für die Backups.
An die Freigabenlösung dachte ich auch schon, nur dass dann eben jeder der an den Anschluss eines Schüler PC sein Notebook hängt, versuchen kann, den DC zu "hacken" auf dem die Verwaltungsdaten liegen.
Das wollte ich eben durch ein getrenntes Netz die Daten der Verwaltung separat halten.
BTW: Was bringt mit DFS im Vergleich zu den "normalen" Freigaben in meinem Fall?
Das Problem mit dem Internetzugang habe ich aber immer noch, weil die Verwaltungspcs einen separaten bekommen müssen.
Sie dürfen die Anbindung der Schüler nicht nutzen.
Natürlich könnte ich es mit statischen IPs auf den Verwaltungspc realisieren, aber die SchülerPCs sollen auf keinen Fall Zugriff auf das Internet der Verwaltungspcs haben.
Ich muss es also irgendwie trennen.
Was müsste ich den am DC konfigurieren, damit das mit 2 NICs und demselben (oder eben einem anderen) Subnetz funktioniert? Bekommt man sowas hin?
Oh je - das Thema wird zu einer Never-Ending-Story! Lol.
Entweder trennst du beide Netz ABSOLUT (und damit auch keine Verbindung zum DC), oder du bindest die Verwaltungsrechner in die vorhandene Struktur ein und sicherst sie mit Personal Firewalls, und Verzeichnisse auf dem DC mit Verwaltungs-Daten per NTFS Berechtigungen. Mehr gibts von mir dazu nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC herankommt, kann er freilich mit BartPE BootCD an belibige Daten des DC rankommen. Da hilft höchstens ein Bios-Passwort, und das Booten von CD-Rom abschalten im Bios. Wenn das Administrator Passwort geheim und komplex ist, würde ich den DC als gesichert ansehen.
Entweder trennst du beide Netz ABSOLUT (und damit auch keine Verbindung zum DC), oder du bindest die Verwaltungsrechner in die vorhandene Struktur ein und sicherst sie mit Personal Firewalls, und Verzeichnisse auf dem DC mit Verwaltungs-Daten per NTFS Berechtigungen. Mehr gibts von mir dazu nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC herankommt, kann er freilich mit BartPE BootCD an belibige Daten des DC rankommen. Da hilft höchstens ein Bios-Passwort, und das Booten von CD-Rom abschalten im Bios. Wenn das Administrator Passwort geheim und komplex ist, würde ich den DC als gesichert ansehen.
Oh je - das Thema wird zu einer
Never-Ending-Story! Lol.
Entweder trennst du beide Netz ABSOLUT (und
damit auch keine Verbindung zum DC), oder du
bindest die Verwaltungsrechner in die
vorhandene Struktur ein und sicherst sie mit
Personal Firewalls, und Verzeichnisse auf dem
DC mit Verwaltungs-Daten per NTFS
Berechtigungen. Mehr gibts von mir dazu
nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC
herankommt, kann er freilich mit BartPE
BootCD an belibige Daten des DC rankommen.
Da hilft höchstens ein Bios-Passwort,
und das Booten von CD-Rom abschalten im
Bios. Wenn das Administrator Passwort geheim
und komplex ist, würde ich den DC als
gesichert ansehen.
Never-Ending-Story! Lol.
Entweder trennst du beide Netz ABSOLUT (und
damit auch keine Verbindung zum DC), oder du
bindest die Verwaltungsrechner in die
vorhandene Struktur ein und sicherst sie mit
Personal Firewalls, und Verzeichnisse auf dem
DC mit Verwaltungs-Daten per NTFS
Berechtigungen. Mehr gibts von mir dazu
nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC
herankommt, kann er freilich mit BartPE
BootCD an belibige Daten des DC rankommen.
Da hilft höchstens ein Bios-Passwort,
und das Booten von CD-Rom abschalten im
Bios. Wenn das Administrator Passwort geheim
und komplex ist, würde ich den DC als
gesichert ansehen.
Danke für deine Geduld;)
Soweit war ich in meinen Überlegungen auch gediehen. Der DC steht natürlich in einem Nichtzugänglichen Serverraum, klar.
Wie allerdings realisiere ich eine Lösung ohne einen 2. DC aufzustellen, wenn ich noch den 2. Router für den 2. Internetzugang habe, der aber nur für die Verwaltungs-PCs nutzbar sein soll?
Ich muss den Router dann wohl so konfigurieren, dass er nur Verbindungen von bestimmten MAC Adressen annimmt und dann die VerwaltungsPCs ans Schüler LAN hängen, oder gibts was bessere
?
@chgr
Ich bin mir nicht ganz sicher, ob das gesamte wirklich eine gute Idee ist. Meines Wissens nach müssen die beiden Netze physikalisch (und nicht nur logisch) voneinander getrennt sein (Vorgabe!!). Ich weiß, dass das an manchen Schulen nicht so ist, aber ich würde mir an deiner Stelle gut überlegen, ob ich die Verantwortung für diese Geschichte tragen wollte. Auf den Verwaltungsrechnern sind doch mit Sicherheit sehr sensible Daten.
Schöne Grüße
laberdasch
Ich bin mir nicht ganz sicher, ob das gesamte wirklich eine gute Idee ist. Meines Wissens nach müssen die beiden Netze physikalisch (und nicht nur logisch) voneinander getrennt sein (Vorgabe!!). Ich weiß, dass das an manchen Schulen nicht so ist, aber ich würde mir an deiner Stelle gut überlegen, ob ich die Verantwortung für diese Geschichte tragen wollte. Auf den Verwaltungsrechnern sind doch mit Sicherheit sehr sensible Daten.
Schöne Grüße
laberdasch
