steveb
Goto Top

Demo-Netzwerk im gleichen Netz wie Hauptdomäne betreiben

Die Problematik: wir sind ein kleines Team von 8 Leuten und haben die Anforderung, dass wir Interessenten und Kunden Demo- und Testmaschinen über das Internet zur Verfügung stellen. Dazu haben wir auf Basis VMWare View 4.6 eine gute Lösung, die uns in die Lage versetzt, den Internetzugriff auf die Maschinen schnell und einfach bereitzustellen.

ABER die liebe Sicherheit. Aktuell sind diese Demomaschinen in der gleichen Domäne wie unsere internen Rechner und auch im gleichen Netz. Unsere ESX-Server haben aktuell nur jeweils ein Netzwerkadapter - also alles irgendwie ein wenig "begrenzt" und auch schon ziemlich durchgenudelt...

Insgesamt müssen wir den Aufwand auf einem sinnvollen Niveau halten. Eine "verträgliche" Lösung für unsere Sicherheitsprobleme wäre z.B. irgendwas mit Gruppenrichtlinien. Aber genau kann ich's nicht einschätzen.

Es gibt hier folgende Aspekte zu betrachten:

a) Die Infrastruktur
Wir haben VMWare View als Basis für die Demo-Maschinen, die wir aber auch für eigene, interne Zwecke nutzen. Mir ist nicht bekannt, ob ein View-Server mit 2 Domänen arbeiten kann. Auch erscheint mir der Aufwand, das ganze System in 2 Netzen zu betreiben als sehr hoch. Zumal unsere ESX-Server bereits im Grenzbereich laufen. Nächstes Jahr wollen wir neue Hardware anschaffen - nicht aber dieses Jahr...

b) Die Windows-Domäne
Aktuell haben wir nur einen Domänencontroller auf Basis Win2k8R2. Eine zweite Domäne wäre gut möglich, allerdings mit einer neuen Gesamtstruktur oder in der gleichen Gesamtstruktur?!? Keine Ahnung, was sinnvoll wäre...
Und im gleichen Netz?

c) Unsere Firewall
sie erlaubt schon eine DMZ. Aber ich scheue so ein wenig den Aufbau einer Demo-Domäne in der DMZ. Das Problem dürfte vermutlich sein, dass unsere ESX-Server nur ein Netzwerkadapter haben und wir von den Switches auch unterentwickelt sind. Nicht managebar und kein vLan...

c) Die Demo-Anwender
Die Demo-Anwender sind in einem separaten AD-Ordner organisiert. Vielleicht gibt es ja eine Möglichkeit, über eine Gruppenrichtlinie die Demo-Anwender so in ihrem Netzwerkzugriff und in ihren Rechten zu begrenzen, dass sie zwar auf die Demo-Maschine dürfen (das ist ja bereits von VMWare View so vorgegeben) und dann aber dürfen sie sich nicht weiter bewegen - sprich: kein Zugriff auf das interne Netz etc...

Hat jemand von Euch mal schon ein ähnliches Problem bewältigt oder hat jemand von Euch eine Idee?

Das ist doch mal eine nette Herausforderung für Leute, die glauben, dass sie's drauf haben.... face-smile

Viele Grüße
SteveB

Content-Key: 167458

Url: https://administrator.de/contentid/167458

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: kopie0123
kopie0123 04.06.2011 um 21:57:59 Uhr
Goto Top
Guten Abend,

wenn Du das Thema Sicherheit ernst nimmst gibt es nur eine Lösung:

Alles was für Zugriffe auf aus dem bösen Internet erreichbar sein muss, kommt in die DMZ mit seperater Infrastruktur. Der Rest ist nur gemauschel und nichts vernüftiges.

Firewallzonen auf einem ESX/Xenserver zu mischen ist auch Mist...

Gruß
Mitglied: danielfr
danielfr 05.06.2011 um 10:31:45 Uhr
Goto Top
Also:
- es darf nix kosten
- kein Aufwand sein
- irgendwie mit Gruppenrichtlinien
... wenn Du ein Lösung gefunden hast, sag mir bitte Bescheid face-wink
Was ich nur zu bedenken geben wollte und zwar vollkommen unabhängig davon, ob es dann sicher ist oder nicht:
- (b) niemand kann wissen, welcher Domainaufbau in deinem Fall sinnvoll ist, weil niemand außer dir die Anwendung und das was du damit machst kennt
- auch in ESX Server sollte man doch eine weitere Netzwerkkarte einbauen können (obwohl es das auch nicht besser macht)
Des weiteren ich gebe StingerMAC vollkommen Recht... der ganze Kladdaradatsch gehört in ne DMZ.
Mit Gefrickel wirds auch von der Administration her aufwändiger... und somit auch teuer.
VG Daniel
Mitglied: steveb
steveb 05.06.2011 um 13:08:34 Uhr
Goto Top
1. Ihr habt ja absolut Recht, im Rahmen einer neuen Lösung kann man das auch nächstes Jahr z.B. so machen...
2. Ich brauche aber leider eine schnelle Lösung...

Ich bin jetzt momentan soweit, dass ich die Windows-Firewall über Gruppenrichtlinien irgendwie so auf den Demo-Clients einschränke, dass bestimmte Dinge halt nicht mehr gehen.
Allerdings bringt das das Problem mit sich, dass dann der Anwender sich auch nicht mehr anmelden kann, wenn ich's zu stark einschränke... face-sad