Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Demo-Netzwerk im gleichen Netz wie Hauptdomäne betreiben

Mitglied: steveb

steveb (Level 1) - Jetzt verbinden

04.06.2011 um 14:23 Uhr, 3081 Aufrufe, 3 Kommentare

Die Problematik: wir sind ein kleines Team von 8 Leuten und haben die Anforderung, dass wir Interessenten und Kunden Demo- und Testmaschinen über das Internet zur Verfügung stellen. Dazu haben wir auf Basis VMWare View 4.6 eine gute Lösung, die uns in die Lage versetzt, den Internetzugriff auf die Maschinen schnell und einfach bereitzustellen.

ABER die liebe Sicherheit. Aktuell sind diese Demomaschinen in der gleichen Domäne wie unsere internen Rechner und auch im gleichen Netz. Unsere ESX-Server haben aktuell nur jeweils ein Netzwerkadapter - also alles irgendwie ein wenig "begrenzt" und auch schon ziemlich durchgenudelt...

Insgesamt müssen wir den Aufwand auf einem sinnvollen Niveau halten. Eine "verträgliche" Lösung für unsere Sicherheitsprobleme wäre z.B. irgendwas mit Gruppenrichtlinien. Aber genau kann ich's nicht einschätzen.

Es gibt hier folgende Aspekte zu betrachten:

a) Die Infrastruktur
Wir haben VMWare View als Basis für die Demo-Maschinen, die wir aber auch für eigene, interne Zwecke nutzen. Mir ist nicht bekannt, ob ein View-Server mit 2 Domänen arbeiten kann. Auch erscheint mir der Aufwand, das ganze System in 2 Netzen zu betreiben als sehr hoch. Zumal unsere ESX-Server bereits im Grenzbereich laufen. Nächstes Jahr wollen wir neue Hardware anschaffen - nicht aber dieses Jahr...

b) Die Windows-Domäne
Aktuell haben wir nur einen Domänencontroller auf Basis Win2k8R2. Eine zweite Domäne wäre gut möglich, allerdings mit einer neuen Gesamtstruktur oder in der gleichen Gesamtstruktur?!? Keine Ahnung, was sinnvoll wäre...
Und im gleichen Netz?

c) Unsere Firewall
sie erlaubt schon eine DMZ. Aber ich scheue so ein wenig den Aufbau einer Demo-Domäne in der DMZ. Das Problem dürfte vermutlich sein, dass unsere ESX-Server nur ein Netzwerkadapter haben und wir von den Switches auch unterentwickelt sind. Nicht managebar und kein vLan...

c) Die Demo-Anwender
Die Demo-Anwender sind in einem separaten AD-Ordner organisiert. Vielleicht gibt es ja eine Möglichkeit, über eine Gruppenrichtlinie die Demo-Anwender so in ihrem Netzwerkzugriff und in ihren Rechten zu begrenzen, dass sie zwar auf die Demo-Maschine dürfen (das ist ja bereits von VMWare View so vorgegeben) und dann aber dürfen sie sich nicht weiter bewegen - sprich: kein Zugriff auf das interne Netz etc...

Hat jemand von Euch mal schon ein ähnliches Problem bewältigt oder hat jemand von Euch eine Idee?

Das ist doch mal eine nette Herausforderung für Leute, die glauben, dass sie's drauf haben....

Viele Grüße
SteveB
Mitglied: kopie0123
04.06.2011 um 21:57 Uhr
Guten Abend,

wenn Du das Thema Sicherheit ernst nimmst gibt es nur eine Lösung:

Alles was für Zugriffe auf aus dem bösen Internet erreichbar sein muss, kommt in die DMZ mit seperater Infrastruktur. Der Rest ist nur gemauschel und nichts vernüftiges.

Firewallzonen auf einem ESX/Xenserver zu mischen ist auch Mist...

Gruß
Bitte warten ..
Mitglied: danielfr
05.06.2011 um 10:31 Uhr
Also:
- es darf nix kosten
- kein Aufwand sein
- irgendwie mit Gruppenrichtlinien
... wenn Du ein Lösung gefunden hast, sag mir bitte Bescheid
Was ich nur zu bedenken geben wollte und zwar vollkommen unabhängig davon, ob es dann sicher ist oder nicht:
- (b) niemand kann wissen, welcher Domainaufbau in deinem Fall sinnvoll ist, weil niemand außer dir die Anwendung und das was du damit machst kennt
- auch in ESX Server sollte man doch eine weitere Netzwerkkarte einbauen können (obwohl es das auch nicht besser macht)
Des weiteren ich gebe StingerMAC vollkommen Recht... der ganze Kladdaradatsch gehört in ne DMZ.
Mit Gefrickel wirds auch von der Administration her aufwändiger... und somit auch teuer.
VG Daniel
Bitte warten ..
Mitglied: steveb
05.06.2011 um 13:08 Uhr
1. Ihr habt ja absolut Recht, im Rahmen einer neuen Lösung kann man das auch nächstes Jahr z.B. so machen...
2. Ich brauche aber leider eine schnelle Lösung...

Ich bin jetzt momentan soweit, dass ich die Windows-Firewall über Gruppenrichtlinien irgendwie so auf den Demo-Clients einschränke, dass bestimmte Dinge halt nicht mehr gehen.
Allerdings bringt das das Problem mit sich, dass dann der Anwender sich auch nicht mehr anmelden kann, wenn ich's zu stark einschränke...
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Internet über Kabel und DSL im gleichen Netz zur gleichen Zeit

gelöst Frage von vincent7Windows Netzwerk8 Kommentare

Hallo Ich möchte zwei PCs im selben Netzwerk betreiben (Windows). Ein PC ist über einen Router verbunden und bezieht ...

Netzwerkgrundlagen

Zwei unterschiedliche Netze am gleichen Switch

Frage von wisi01Netzwerkgrundlagen13 Kommentare

Hallo Leute, ich ersuche um Nachsicht, aber ich bin leider bei Netzwerkfragen nicht so fit und habe zudem auch ...

LAN, WAN, Wireless

2 Router im gleichen Netzwerk

gelöst Frage von TucTucLAN, WAN, Wireless31 Kommentare

Hallo, folgender Aufbau: Linksys LRT214 (192.168.1.1) Kabel > Linksys WAP300N (192.168.1.2) WLAN > Netgear WNDR4000 (192.168.1.3) (DD-WRT) Kabel > Windows 8 PC ...

Linux

LDAP Demo Server aufsetzen

Frage von schrodtiLinux1 Kommentar

Hallo, würde gerne für eine Präsentation einen kleinen Linuxbasierten LDAP Server in einer VM aufsetzen und diesen mit ein ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 3 StundenWindows 102 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 6 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 23 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...