Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu Webserver bzw. Domänen Einrichtung. AD

Frage Microsoft Windows Server

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

20.04.2008, aktualisiert 03.05.2008, 6680 Aufrufe, 7 Kommentare

Guten Morgen und einen schönen Sonntag.
Sagt, ich würde gerne mal was abwägen.

In unserem LAN gibt es einen Physikalischen WebServer der für unsere Intranet Seite seine Dienste erfüllt. Er hat somit viele Files die nicht für die öffentlichkeit sind. Das Server OS ist ein Server 2003 mit Apache 2xx. Der Server ist in der Domäne aufgenommen und läuft unter dem domänen admin account.

Jetzt wollen wir einen Webserver für die öffentl. Webpage installieren. Was ist nun das sinnvollste um die größtmögliche sicherheit zu genießen, Kosten sind mom. nicht von Bedeutung??

1. Wir könnten einen virtuellen Server auf Server 1 einrichten. Nur sind auf diesem halt auch Daten gespeichert die nicht veröffentlich werden sollten, oder bei einem Angriff nicht erreichbar seien sollten.

2. Sollten wir den neuen Webserver physikalisch von dem Intranet-Webserver trennen, also einen 2. Server aufsetzten. Sollte dann der neue Webserver auch in die Domäne aufgenommen werden? Welches Account würdet ihr dann auf diesem nutzen, sollte ein eingeschränktes Account für den Öfftl.-Webserver genutzt werden? Oder gar das lokale Admin-Account od. Domänen Admin-Account.

Wie kann am wenigsten Schaden angerichtet werden, wenn der Server -gehackt- würde???

Ich weiß leider nicht wie wir es am besten realisieren sollten, daher hier mein posting, wäre schön wenn ihr eure Meinungen oder Vorschläge äußern würdet.

Was sind Vor und Nachteile???

Danke,
Tommy
Mitglied: Top44
20.04.2008 um 12:28 Uhr
Moin,

wie wäre es mit Linux ? Einfach zu Handhaben, leicht alles Dienste zu Installieren und jut is.

Währe mein Vorschlag.

grüße
Bitte warten ..
Mitglied: tom1234
20.04.2008 um 12:38 Uhr
Hi,
danke für dein Statement, leider bin ich noch nicht so fit, dass ich mich an Linux produktiv dran wage. Ich arbeite dran, solange muss der Server 03 herhalten!!!
Da wir leider nicht die Zeit haben zu warten bis mir Linux besser liegt, würde mich die Micro$oft Lösung schon interessieren.
Aber trotzdem Danke,
Bitte warten ..
Mitglied: nils-0401
20.04.2008 um 12:55 Uhr
hallo,
ich werfe einfach mal das Stichwort DMZ in den Raum.

Damit läuft ein Server in einer von Außen zugänglichen Zone ist aber vom Rest des Netzwerkes abgeschottet. Aber bitte nicht die DMZ Funktion eines billig Routers, sondern ordentlich.
Daraus resultierend:
unabhängig vom AD und komplett selbstständig.
Wenn er dann geknackt wird hat der jenige einen Server, kommt aber nicht an den Rest ran.

Nils
Bitte warten ..
Mitglied: Dani
20.04.2008 um 13:13 Uhr
Moin Nils, Moin tom1234,
Nils hat es richtig erwähnt....eine richtige DMZ aufbauen. Nicht das "Feature" der Router benutzen". Das kann schnell mal in die Hose gehen.

So sollte das ausehen:
e2a17af5a59b2370785169f75f453ea1-dmz - Klicke auf das Bild, um es zu vergrößern

Die 1. Firewall kann ruhig dein Router sein. Spricht nichts dagegen. Die DMZ hat ein völlig anderes IP-Subnetz wie das LAN! Also gut überlegen...

Die 2. Firewall kann ein Server mit 2 Netzwerkkarten sein und mit einem Squid (kostenlos) oder ISA (Kostet). Hier ist zu überlegen, ob du Windows oder Linux laufen lassen möchtest. Der Firewalldienst muss eben sauber konfiguiert sein....ansonsten bringt das nichts.

Der Webserber sollte mit Debian 4r2 laufen...gilt zur Zeit am sichersten. Mit den notwenigsten Diensten (z.B. Apache, PHP, SSH). Somit ist erstmal sichergestellt, dass die Angriffsfläche so klein wie möglich ist.
Im Router machst du dann einfach n Portforwarding auf den Server und gut ist.


Grüße
Dani
Bitte warten ..
Mitglied: tom1234
20.04.2008 um 18:28 Uhr
Hallo nils, hallo dani,
danke für eure antworten. Diese DMZ Geschichte gefällt mir!
Ich bin ja noch ein kleiner anfänger, werde mich da aber gut einlesen. Danke nochmal an Dani, du hast mir jetzt schon ein paar mal gut geholfen.
Da ich glücklicherweise in der Lage bin eine Vielzahl von teurer Software privat nutzen zu dürfen, da mein Haupt-Arbeitgeber eine öffentl. Einrichtung ist, und ich somit als Angestellter die meisten Campus/EDU Lizenzen privat nutzen darf, werde ich mich wahrscheinlich für die ISA Nummer entscheiden.
Mein Netzwerk "zu Hause" fing mit der selbständigkeit meiner Frau enorm an zu wachsen, weshalb ich mich nun sehr intensiv damit beschäftige.
An vielen Ecken fehlts mir noch an know how, hoffe das aber bald füllen zu können.
Genug gequatscht...
Ich benötige also noch einen Rechner auf dem ich die Firewall/ISA Server installiere. Darauf teile ich die Netze in zwei Subnetz auf meintwegen Netz-A 255.255.255.0, Netz-B 255.255.240.0, richtig?
In Netz A sind mein FileServer, Domain, DNS, DHCP und Intranet Server, Richtig?
Hierzu noch eine Frage? (wenn ich 2 Server in dem selben Netz habe, z.B. DNS läuft auf Server 1 mit dem Domain Admin als angemeldeten User. Soll dann auf Server 2 auf dem zB der Intranet Server läuft, auch der Domain Admin angemeldet sein?? Versteht ihr meine Frage?? Also bei unterschiedlichen Server 2003 die local mehrere Dienste ausführen, wer sollte da als aktiver User angemeldet sein, und sollten alle localen Server auch in dem AD aufgenommen sein?

...und in Netz B setze ich dan den Webserver im Subnet 255.255.240.0 auf richtig? Nehme ich diesen dann auch in die Domäne, geht das überhaupt?
Denke ich habs noch nicht richtig verstanden, kann mir jemand evtl. ein gutes Infomaterial zeigen?? Ich scheue keine langen Lesereien o.ä.

Wenn ich nun zusätzlich noch einen VPN Server haben möchte, wie sollte ich das machen?? Kann ich VPN Server in Netz B laufen lassen und mit AD User aus Netz A arbeiten???

Fragen über Fragen, kann im moment nicht so schnell denken wie mir die Fragen kommen,
hoffe ihr stütz mich ein wenig,
tausend Dank schonmal!!!!

...achso, eine Bitte. Bedenkt das ich leider keine IT Ausbildung genossen habe, das bischen was ich so weiß habe ich in kurzer Zeit selbst erlernen müssen, mit lesen,lesen,lesen.
Also evtl. ab und an mal die einfache Variante!! Da ich die meisten Zusammenhänge erst nachlesen muss. Bis jetzt klappts aber schon ganz gut.
Also nochmal Danke an alle geduldigen Admin Menschen da draußen!!!!
Bitte warten ..
Mitglied: Dani
20.04.2008 um 18:52 Uhr
Danke nochmal an Dani, du hast mir jetzt schon ein paar mal gut geholfen.
Danke für die Blumen..

Genau...du hast 2 unterschiedliche Netze. Das DMZ Netz bitte nur so groß machen wie es notwenig ist. Also am Fang reicht eine SnM von 255.255.255.248. => Du hast 4 IP-Adressen zur Verfügung. Bringt einfach ein bisschen mehr Sicherheit mit sich.

Ich benötige also noch einen Rechner auf dem ich die Firewall/ISA Server installiere.
Genau...das ist am Einfachsten. Du kannst aber auch - wenn der Rechner genug Leistung hat - die Server virtualisieren. Das hat den Vorteil sie lassen sich später einfach umziehen, wenn die Hardware getauscht werden muss bzw. bei einem Hardwareausfall schnell auf einem anderne Rechner wieder hochgezogen werden.

Ich würde 2x Windows Server 2003 aufsetzen. 1x für den ISA und nichts anderes und den 2. für Dateiserver, DNS, DHCP, etc....

Also bei unterschiedlichen Server 2003 die local mehrere Dienste ausführen, wer sollte da als
aktiver User angemeldet sein, und sollten alle localen Server auch in dem AD aufgenommen
sein?
Aktuell angemeldet sein muss kein User. Das sollte imemr so sein...ein Benutzer sollte nur aktiv angemeldet sein, wenn arbeiten durchgeführt werden. Alles andere ist eine Sicherheitsaspekt.

und sollten alle localen Server auch in dem AD aufgenommen sein?
Ja, wenn diese im LAN stehen, ist das am einfachsten. Denn die NTFS-Rechte für Freigaben, etc... kannst du dann an den AD Benutzer festlegen. Vereinfacht den Zeitaufwand enorm.

Nehme ich diesen dann auch in die Domäne, geht das überhaupt?
Ja nicht! Auf der Kiste lässt du am besten Linux laufen und den Apache, DB, etc... einfach alles löschen, was du nicht benötigst.

Wenn ich nun zusätzlich noch einen VPN Server haben möchte, wie sollte ich das machen??
Kann ich VPN Server in Netz B laufen lassen und mit AD User aus Netz A arbeiten???
Also am Einfachsten wäre es wenn dein Router als VPN-Server konfiguriert werden kann. Ansonsten wird der Zugang auf dem ISA Server konfiguriert und die entsprechenden Ports auf den ISA weitergeleitet (Forwarding). Aber das ist wieder eine andere Baustelle!


Grüße
Dani
Bitte warten ..
Mitglied: tom1234
03.05.2008 um 21:29 Uhr
Hallo,
nacj langer Zeit, ich nochmal..... also diese DMZ Lösung ist sehr interessant, hoffe dieses mal virtuell ausprobieren zu können.
Um das bei mir möglichst gut/sicher und schnell über die Bühne zu bringen, was haltet ihr denn von V-LANs? Ist das besser als eine DMZ? oder gar schlechter?
Ich habe diesen Router http://www-de.linksys.com/servlet/Satellite?c=L_CASupport_C2&childp ...
Der kann auf allen Ports ein anderes V-LAN einrichten. Er hat angeblich auch eine DMZ Möglichkeit, ist aber meiner Meinung keine "echte".

Achja VPN Server hat er auch, aber lt. Linksys und Tests von mir momentan noch keine Firmware mit der das zuverläsig läuft, daher die Frage wegen der VPN Sache!!

Danke für eure Tips und Meinungen!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
Outlook Adressbuch abgleichen Domänen übergreifend AD Abgleich (1)

Frage von iPhoneDan zum Thema Exchange Server ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Voice over IP
(Frage) Einrichtung Asterisk und LDAP (Windows Server) (3)

Frage von jeschero zum Thema Voice over IP ...

Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...