toni005
Goto Top

Virtualisierung einer kleinen Zweigstelle

Der Ist- Bestand stellt sich wie folgt dar:
Router>ISA Server als Gateway mit http/smtp/pop Proxy ( Trendmicro Virus Wall ) >PDC Win2003>Hub>Clients

Da die Hardware in die Tage gekommen ist, sollen der PDC und der ISA Server ausgetauscht werden. Da nur ca. 6 Clients connecten kam der Ruf nach Virtualisierung via VMWare Workstation.
Soweit sogut.
Handicap: Tobit wird eingesetzt = das heist, Tobit muss auf der physikalischen Maschine installiert werden ( mit eigenem pingbarem Webserver!!!: feste IP vorhanden) da hardwarenahe Funktionen wie z.b. ISDN Karte genutzt werden.

Die -Glaubensfrage- ist nun: was wird nun am besten virtualisiert ?!?!:

A) ISA Server auf die phys. Maschine mit Tobit - PDC auf der virt. Maschine.
Pro: Tägliche Sicherung des PDC simpel da Image via Vmware vorhanden. Keine zusätzlichen Softwarekosten für z.B. Acronis. Server.
Contra: Ist vmware sicher!!! genug um darauf einen PDC laufen zu lassen ?! Geht der Isa Server hopps - ist der PDC nicht erreichbar.
Frage: Auf welchen Rechner mit den Trendmicro Proxy Diensten ( s.o ) Oder sogar hierfür eine weitere virt. Maschine ?

B) PDC auf phys. Maschine mit Tobit ( und dem dazugehörigem Webserver !!! ) - ISA auf virt. Maschine.
Pro: Stabiles Hostsystem für den PDC. PDC ist unabhängig von Softwarefehlern in VMWare. Wenn ISA kompromitiert wird, einfaches Backup zum Originalzustand.
Contra: Wie den PDC sichern ? => also zusätzliche Soft/Hardware ( Band / Acronis ). Offener Webserver läuft auf dem PDC !!!
Frage: Auf die virt. Maschine die TrendMicro Proxydienste installieren und den Tobit Webserver hierüber laufen lassen. ? Ist das sicher genug ?

Ich hatte dieses Posting vor ein paar Tagen in die VmWare Newsgroup gestellt. 120 Antworten - 50/50 Ergebnisse. Dies ist eine "Glaubensfrage" deswegen Leute vor, die sich hiermit auskennen !!!

CÜ TONI

Content-Key: 65257

Url: https://administrator.de/contentid/65257

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: Rafiki
Rafiki 03.08.2007 um 21:21:52 Uhr
Goto Top
Hi Toni,
hier meine Gedanken zum Thema, keine Antwort zu deiner Glaubensfrage. *

Ein PDC ist zugleich auch für die Zeit in der Domain zuständig. In einer VM ist es nicht trivial die Uhr exakt gehen zulassen. Es gibt bei VMware einen Artikel zu diesem Thema.

So weit ich das weiß ist VMware z.Zt. sicher. Ich will damit sagen, dass aus einer VM heraus keine Angriffe gegen eine andere VM oder den host möglich sind. Mal abgesehn von den logischen Angriffen wenn sich die beteiligten VM’s ungeschützt ein Netzwerkteilen.

Schlechte Software in einer VM die sehr viel CPU Leistung frisst (Webserver mit BUG in einem ASP, oder ein perl Script das im Kreis läuft usw.) beeinflusst die Leistungsfähigkeit anderer VM's und des Hosts. Es gab einen Bug, der es ermöglichte aus einer VM heraus einen Bufferoverflow auf dem Host auszulösen. Damit wäre es wohl auch möglich auf dem Host ein Programm zu starten. In den aktuellen Versionen ist dieser Bug behoben ist.

Wenn ich mich recht entsinne muss der ISA Server seine Benutzer an einem DomainController authentifizieren. z.B. auch um Dienste wie ein VMware Server zu starten. Du musst bei der Konfiguration entsprechend sorgfältig arbeiten und auf dem VMware host einen lokalen Benutzer anlegen.

Grundsätzlich würde ich in jeder Domain mindestens zwei DomainController betreiben.

Als ganz andere alternative überlege dir ob der DC in der Firmenzentrale bleibt und nur über das VPN erreichbar ist.

Gruß Rafiki


  • Zur Glaubensfrage: Im gerade angelaufenen Simpsons Film blättert in einer Szene in der Kirche Homer ganz hektisch in der Bibel und sagt: "In diesem Buch stehen keine Antworten."
Mitglied: Toni005
Toni005 08.08.2007 um 16:57:37 Uhr
Goto Top
@Rafiki

vielen Dank für Dein Kommentar. Und ala Matt Groening ist meine Frage zwar nicht unbedingt tivial aber hier in diesem Forum wird es in der Tat keine "einheitliche" Lösung geben.

Zum Thema:
Die Bugs ( Buffer Overflow, Time etc ) sind mir bekannt und/aber auch lösbar. Ich hab mich nun trotzdem für die 2 Alternative entschieden.
Da die Zweigstelle nur 6 Clients hat, wird es auch keinen 2ten DC geben. Vorerst. Nächstes Jahr kommen 18 Stationen dazu - dann wird der 2 DC virtualisiert. ( sorry in meinem Eingangsposting bin ich wieder in die NT Welt abgeglitten von wegen PDC - BDC - > man(n) möge mir verzeihen face-smile
Das Sicherheitsloch "Tobit auf DC" versuche ich mit Acronis und täglichen Backups in einer Secure Zone zu stopfen. Ich denke die 500€ für die Server Version sind gut investiert.

Leider gibt es bisher hier keine weiteren Erfahrungsberichte face-sad
Werde also Acronis in dieser Konstellation einmal testen. Denke nächste Woche. Würde mich aber trotzdem freuen, wenn weitere Leute hier Ihre Meinung abgeben. face-smile

CÜ TONI