3
Projekt - Domänencontroller, Fileserver - allgemeine Fragen
Liebe Administratoren,
ich bin Azubi zum Fachinformatiker für Systemintegration im 2. Lehrjahr. Ich habe schon relativ viel theoretisches Wissen vermittelt bekommen, aber muss denn noch evtl Bezug auf Ihre bereits gesammelten Erfahrung nehmen.
Ich habe die Ehre in einer Firma (mehr oder weniger privat) eine Domäne einzurichten, damit die Mitarbeiter über zentrale Daten sowie zentrale Administration verfügen. Beim Durchplanen des ganzen sind mir aber doch ein paar Fragen aufgekommen:
1) Der Server wird nicht besonders physisch gesichtert in dieser Firma stehen. Somit ist die Datensicherheit kaum gewährleistet. Deswegen wollte ich ein wenig mehr an dem Datenschutz arbeiten: Ist es nötig, bzw. sinnvoll, die Daten auf dem Server zu verschlüsseln ? Es ist, da der Server ein DC ist, ja keine lokale Anmeldung mehr möglich, aber sollte der Server doch geklaut werden, kommt man dennoch an die Daten, oder? Ggf. mit der Windows eigenen Verschlüsslung ? Ist das sehr Performanceaufwendig ?
2) Evtl. soll in einer anderen Fiale auch eine Domäne eingerichtet werden. Ich habe mich auch schon mit der Beschäftigung von Standorten beschäftigt, jedoch habe ich dazu noch eine Frage: Ist die Replikation über das Internet möglich, bzw. praktikabel ? Wird das in der Praxis so gemacht oder werden Point-to-Point Verbindungen genutzt ? Werden die Replikationsdaten verschlüsselt, falls überhaupt notwendig?
3) Des Weiteren soll ein FTP-Zugang für Kunden eingerichtet werden. Ich mache mir allerdings Sorgen, den FTP-Server auf dem DC laufen zu lassen. Sehe ich das richtig, ist das ein Sicherheitsrisiko? Hat jemand damit Erfahrungen gemacht oder kann mir davon abraten?
4) Ggf. soll irgendwann auch noch ein Mailserver installiert werden. Ist dies mit dynamischen DNS möglich, da keine Standleitung ? (Denke ja, aber vielleicht kann mir ja jemand eine sichere Antwort geben)
5) Schließlich frage ich mich nur noch, ob es möglich ist, z.B. mit VB ein Script zu programmieren, welches einen Benutzer mit Kennwort (beides Random) in der AD anlegt mit einer "Gültigkeitsdauer von 24 Stunden". Dieser Benutzeraccount soll dann für den FTP benutzt werden.
Ich bin für jede Antwort sehr dankbar.
Mit freundlichen Grüßen
PhilJak
ich bin Azubi zum Fachinformatiker für Systemintegration im 2. Lehrjahr. Ich habe schon relativ viel theoretisches Wissen vermittelt bekommen, aber muss denn noch evtl Bezug auf Ihre bereits gesammelten Erfahrung nehmen.
Ich habe die Ehre in einer Firma (mehr oder weniger privat) eine Domäne einzurichten, damit die Mitarbeiter über zentrale Daten sowie zentrale Administration verfügen. Beim Durchplanen des ganzen sind mir aber doch ein paar Fragen aufgekommen:
1) Der Server wird nicht besonders physisch gesichtert in dieser Firma stehen. Somit ist die Datensicherheit kaum gewährleistet. Deswegen wollte ich ein wenig mehr an dem Datenschutz arbeiten: Ist es nötig, bzw. sinnvoll, die Daten auf dem Server zu verschlüsseln ? Es ist, da der Server ein DC ist, ja keine lokale Anmeldung mehr möglich, aber sollte der Server doch geklaut werden, kommt man dennoch an die Daten, oder? Ggf. mit der Windows eigenen Verschlüsslung ? Ist das sehr Performanceaufwendig ?
2) Evtl. soll in einer anderen Fiale auch eine Domäne eingerichtet werden. Ich habe mich auch schon mit der Beschäftigung von Standorten beschäftigt, jedoch habe ich dazu noch eine Frage: Ist die Replikation über das Internet möglich, bzw. praktikabel ? Wird das in der Praxis so gemacht oder werden Point-to-Point Verbindungen genutzt ? Werden die Replikationsdaten verschlüsselt, falls überhaupt notwendig?
3) Des Weiteren soll ein FTP-Zugang für Kunden eingerichtet werden. Ich mache mir allerdings Sorgen, den FTP-Server auf dem DC laufen zu lassen. Sehe ich das richtig, ist das ein Sicherheitsrisiko? Hat jemand damit Erfahrungen gemacht oder kann mir davon abraten?
4) Ggf. soll irgendwann auch noch ein Mailserver installiert werden. Ist dies mit dynamischen DNS möglich, da keine Standleitung ? (Denke ja, aber vielleicht kann mir ja jemand eine sichere Antwort geben)
5) Schließlich frage ich mich nur noch, ob es möglich ist, z.B. mit VB ein Script zu programmieren, welches einen Benutzer mit Kennwort (beides Random) in der AD anlegt mit einer "Gültigkeitsdauer von 24 Stunden". Dieser Benutzeraccount soll dann für den FTP benutzt werden.
Ich bin für jede Antwort sehr dankbar.
Mit freundlichen Grüßen
PhilJak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 109193
Url: https://administrator.de/contentid/109193
Printed on: April 20, 2024 at 06:04 o'clock
3 Comments
Latest comment
Hallo ich kann dir zwar nicht alles beantworten aber ich versuchs mal wie weit ich komme 
ad 1) Naja Verschlüsselung kostet immer Performance aber wenn da was gutes drunter Werkelt ( Hardwaretechnisch gesehen ) dann kannst das schon mitunter einplanen. Wobei ich mir über das physische verschwinden eines Servers eig. noch nie Gedanken gemacht habe. Zur Verschlüsselung kannst dir ja mal TrueCrypt ansehen.
ad 2) hier muss ich passen.
ad 3) Ein Ftp-Server stellt ja noch net so die Gefahr dar. Willst es sicherer machen dann vorher VPN und dann FTP oder wie wärs mit einem SFTP Server?
ad 4) Mailserver kann man machen, solange man über den SMTP des ISP sendet. Das Versenden von Emails von Mailserver direkt aus, wird mit 99,89 Prozent scheitern, da sehr viele Mailserver dynamische IP Adressen sperren.
ad 5) Ja es ist möglich so etwas zu bauen. Recherche im Netz da gibs Doku genug.
ad 1) Naja Verschlüsselung kostet immer Performance aber wenn da was gutes drunter Werkelt ( Hardwaretechnisch gesehen ) dann kannst das schon mitunter einplanen. Wobei ich mir über das physische verschwinden eines Servers eig. noch nie Gedanken gemacht habe. Zur Verschlüsselung kannst dir ja mal TrueCrypt ansehen.
ad 2) hier muss ich passen.
ad 3) Ein Ftp-Server stellt ja noch net so die Gefahr dar. Willst es sicherer machen dann vorher VPN und dann FTP oder wie wärs mit einem SFTP Server?
ad 4) Mailserver kann man machen, solange man über den SMTP des ISP sendet. Das Versenden von Emails von Mailserver direkt aus, wird mit 99,89 Prozent scheitern, da sehr viele Mailserver dynamische IP Adressen sperren.
ad 5) Ja es ist möglich so etwas zu bauen. Recherche im Netz da gibs Doku genug.
Moin Moin
Hier soltest Du fündig werden: http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default. ...
Gruß L.
1) ...aber sollte der Server doch geklaut werden, kommt man dennoch an die Daten, oder?
Ja. deswegen solte die Kiste auch weggeschlossen werden. Verschlüsselung hilft das nur bedingt und der aufwand wäre (aus meiner Sicht) höher wie der nutzen.2) ... Ist die Replikation über das Internet möglich, bzw. praktikabel ?
Sofern es dabei erstmal nur um AD informationen geht sicher.3) ...Sehe ich das richtig, ist das ein Sicherheitsrisiko?
Das hängt mehr von eurem Firewall(konzept) ab als vom FTP.5) ...mit VB ein Script zu programmieren, welches einen Benutzer mit Kennwort (beides Random) in der AD anlegt mit einer "Gültigkeitsdauer von 24 Stunden"
Du kannst mit VBS User anlegen und ein Ablaufdatum für das Konto setzen.Hier soltest Du fündig werden: http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default. ...
Gruß L.
Zu 1) Ihr habt Recht. Wir sollten wirklich an eine physische Sicherung denken.
zu 2) Super, danke.
zu 3) Ein SFTP-Server wäre natürlich eine Idee. Jedoch wollen wir möglichst auf weitere Lizenzen verzichten. Wenn der IIS FTP allerdings keine besondere Sicherheitslücke bietet, werden wir den wohl nehmen.
zu 4) Was ich nicht ganz verstehe, ist dass ich über den SMTP des ISP versenden soll. Was hat der ISP mit dem SMTP-Server zu tun (ist allerdings nicht so wichtig, denke muss mich da noch stark einlesen, vielleicht wird es dann ja klarer)
zu 5) Super, danke wieder !
Werde den Thread noch heute laufen lassen, falls noch jemand eine Meinung dazu hat.
Vielen Dank an alle beteiligten !
Liebe Grüße
PhilJak
zu 2) Super, danke.
zu 3) Ein SFTP-Server wäre natürlich eine Idee. Jedoch wollen wir möglichst auf weitere Lizenzen verzichten. Wenn der IIS FTP allerdings keine besondere Sicherheitslücke bietet, werden wir den wohl nehmen.
zu 4) Was ich nicht ganz verstehe, ist dass ich über den SMTP des ISP versenden soll. Was hat der ISP mit dem SMTP-Server zu tun (ist allerdings nicht so wichtig, denke muss mich da noch stark einlesen, vielleicht wird es dann ja klarer)
zu 5) Super, danke wieder !
Werde den Thread noch heute laufen lassen, falls noch jemand eine Meinung dazu hat.
Vielen Dank an alle beteiligten !
Liebe Grüße
PhilJak
