Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Demo-Netzwerk im gleichen Netz wie Hauptdomäne betreiben

Frage Microsoft Windows Server

Mitglied: steveb

steveb (Level 1) - Jetzt verbinden

04.06.2011 um 14:23 Uhr, 3051 Aufrufe, 3 Kommentare

Die Problematik: wir sind ein kleines Team von 8 Leuten und haben die Anforderung, dass wir Interessenten und Kunden Demo- und Testmaschinen über das Internet zur Verfügung stellen. Dazu haben wir auf Basis VMWare View 4.6 eine gute Lösung, die uns in die Lage versetzt, den Internetzugriff auf die Maschinen schnell und einfach bereitzustellen.

ABER die liebe Sicherheit. Aktuell sind diese Demomaschinen in der gleichen Domäne wie unsere internen Rechner und auch im gleichen Netz. Unsere ESX-Server haben aktuell nur jeweils ein Netzwerkadapter - also alles irgendwie ein wenig "begrenzt" und auch schon ziemlich durchgenudelt...

Insgesamt müssen wir den Aufwand auf einem sinnvollen Niveau halten. Eine "verträgliche" Lösung für unsere Sicherheitsprobleme wäre z.B. irgendwas mit Gruppenrichtlinien. Aber genau kann ich's nicht einschätzen.

Es gibt hier folgende Aspekte zu betrachten:

a) Die Infrastruktur
Wir haben VMWare View als Basis für die Demo-Maschinen, die wir aber auch für eigene, interne Zwecke nutzen. Mir ist nicht bekannt, ob ein View-Server mit 2 Domänen arbeiten kann. Auch erscheint mir der Aufwand, das ganze System in 2 Netzen zu betreiben als sehr hoch. Zumal unsere ESX-Server bereits im Grenzbereich laufen. Nächstes Jahr wollen wir neue Hardware anschaffen - nicht aber dieses Jahr...

b) Die Windows-Domäne
Aktuell haben wir nur einen Domänencontroller auf Basis Win2k8R2. Eine zweite Domäne wäre gut möglich, allerdings mit einer neuen Gesamtstruktur oder in der gleichen Gesamtstruktur?!? Keine Ahnung, was sinnvoll wäre...
Und im gleichen Netz?

c) Unsere Firewall
sie erlaubt schon eine DMZ. Aber ich scheue so ein wenig den Aufbau einer Demo-Domäne in der DMZ. Das Problem dürfte vermutlich sein, dass unsere ESX-Server nur ein Netzwerkadapter haben und wir von den Switches auch unterentwickelt sind. Nicht managebar und kein vLan...

c) Die Demo-Anwender
Die Demo-Anwender sind in einem separaten AD-Ordner organisiert. Vielleicht gibt es ja eine Möglichkeit, über eine Gruppenrichtlinie die Demo-Anwender so in ihrem Netzwerkzugriff und in ihren Rechten zu begrenzen, dass sie zwar auf die Demo-Maschine dürfen (das ist ja bereits von VMWare View so vorgegeben) und dann aber dürfen sie sich nicht weiter bewegen - sprich: kein Zugriff auf das interne Netz etc...

Hat jemand von Euch mal schon ein ähnliches Problem bewältigt oder hat jemand von Euch eine Idee?

Das ist doch mal eine nette Herausforderung für Leute, die glauben, dass sie's drauf haben....

Viele Grüße
SteveB
Mitglied: kopie0123
04.06.2011 um 21:57 Uhr
Guten Abend,

wenn Du das Thema Sicherheit ernst nimmst gibt es nur eine Lösung:

Alles was für Zugriffe auf aus dem bösen Internet erreichbar sein muss, kommt in die DMZ mit seperater Infrastruktur. Der Rest ist nur gemauschel und nichts vernüftiges.

Firewallzonen auf einem ESX/Xenserver zu mischen ist auch Mist...

Gruß
Bitte warten ..
Mitglied: danielfr
05.06.2011 um 10:31 Uhr
Also:
- es darf nix kosten
- kein Aufwand sein
- irgendwie mit Gruppenrichtlinien
... wenn Du ein Lösung gefunden hast, sag mir bitte Bescheid
Was ich nur zu bedenken geben wollte und zwar vollkommen unabhängig davon, ob es dann sicher ist oder nicht:
- (b) niemand kann wissen, welcher Domainaufbau in deinem Fall sinnvoll ist, weil niemand außer dir die Anwendung und das was du damit machst kennt
- auch in ESX Server sollte man doch eine weitere Netzwerkkarte einbauen können (obwohl es das auch nicht besser macht)
Des weiteren ich gebe StingerMAC vollkommen Recht... der ganze Kladdaradatsch gehört in ne DMZ.
Mit Gefrickel wirds auch von der Administration her aufwändiger... und somit auch teuer.
VG Daniel
Bitte warten ..
Mitglied: steveb
05.06.2011 um 13:08 Uhr
1. Ihr habt ja absolut Recht, im Rahmen einer neuen Lösung kann man das auch nächstes Jahr z.B. so machen...
2. Ich brauche aber leider eine schnelle Lösung...

Ich bin jetzt momentan soweit, dass ich die Windows-Firewall über Gruppenrichtlinien irgendwie so auf den Demo-Clients einschränke, dass bestimmte Dinge halt nicht mehr gehen.
Allerdings bringt das das Problem mit sich, dass dann der Anwender sich auch nicht mehr anmelden kann, wenn ich's zu stark einschränke...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst Proxmox Netzwerk: LAN Netz ohne Router (2)

Frage von sebastian2608 zum Thema Router & Routing ...

Netzwerkgrundlagen
Netzwerk Routing mit Fritzbox als 192er Netz in ein 10er Netz (9)

Frage von kronos88 zum Thema Netzwerkgrundlagen ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...