12
AD in der DMZ
Moin Zusammen
Vielleicht mal kurz zu unserer aktuellen Situation:
Wir haben ein LAN und eine DMZ. Im LAN steht ein DC und in der DMZ stehen mehrere Server, welche verschiedenste Anwendungen bereitstellen. Diese Anwendungen können alle entweder Authentifizierung mit lokalen Benutzern oder via LDAP. Aktuell hat jeder Mitarbeiter pro Anwendung einen separaten Zugang und jeder Server hat einen bzw. zwei lokale Admin-Zugänge.
Zwei Dinge stören mich dabei:
1. Jeder Benutzer braucht pro Anwendung einen Zugang, welcher separat gepflegt werden muss. Dies ist sehr umständlich.
2. Auf jedem Server hat man einen separaten Zugang. Dies ist sehr umständlich und entweder nimmt man übrall das selbe Passwort und muss es bei einer Änderung auf jedem Server manuell ändern, oder man wählt verschiedene Passwörter was eine aufwändige Passwort-Verwaltung bedeutet.
Ich habe nun überlegt einen RODC in der DMZ einzurichten. Jedoch gibt es mir ein wenig ein ungutes Gefühl von der DMZ ins LAN etwas zu öffnen, auch wenn es nur beschränkt wäre. Gibt es noch alternative Lösungen, welche sicherer sind?
Eine Überlegung wäre noch ein eigenes AD in der DMZ zu erstellen. Damit liesse sich der zweite Punkt teilweise lösen. Dann hat man wenigstens für alle Server in der DMZ nur noch einen Zugang. Jedoch lässt sich damit der erste Punkt nicht lösen, denn immerhin können sich die Benutzer nirgendswo im DMZ-AD anmelden um Ihr Passwort zu ändern.
Wie habt ihr solche Szenarien bei euch gelöst?
LG Ludaku
Vielleicht mal kurz zu unserer aktuellen Situation:
Wir haben ein LAN und eine DMZ. Im LAN steht ein DC und in der DMZ stehen mehrere Server, welche verschiedenste Anwendungen bereitstellen. Diese Anwendungen können alle entweder Authentifizierung mit lokalen Benutzern oder via LDAP. Aktuell hat jeder Mitarbeiter pro Anwendung einen separaten Zugang und jeder Server hat einen bzw. zwei lokale Admin-Zugänge.
Zwei Dinge stören mich dabei:
1. Jeder Benutzer braucht pro Anwendung einen Zugang, welcher separat gepflegt werden muss. Dies ist sehr umständlich.
2. Auf jedem Server hat man einen separaten Zugang. Dies ist sehr umständlich und entweder nimmt man übrall das selbe Passwort und muss es bei einer Änderung auf jedem Server manuell ändern, oder man wählt verschiedene Passwörter was eine aufwändige Passwort-Verwaltung bedeutet.
Ich habe nun überlegt einen RODC in der DMZ einzurichten. Jedoch gibt es mir ein wenig ein ungutes Gefühl von der DMZ ins LAN etwas zu öffnen, auch wenn es nur beschränkt wäre. Gibt es noch alternative Lösungen, welche sicherer sind?
Eine Überlegung wäre noch ein eigenes AD in der DMZ zu erstellen. Damit liesse sich der zweite Punkt teilweise lösen. Dann hat man wenigstens für alle Server in der DMZ nur noch einen Zugang. Jedoch lässt sich damit der erste Punkt nicht lösen, denn immerhin können sich die Benutzer nirgendswo im DMZ-AD anmelden um Ihr Passwort zu ändern.
Wie habt ihr solche Szenarien bei euch gelöst?
LG Ludaku
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3165082909
Url: https://administrator.de/contentid/3165082909
Printed on: May 4, 2024 at 13:05 o'clock
12 Comments
Latest comment
Wenn alle Server in der DMZ per LDAP den internen fragen der die zentrale Nutzerdatenbank hat musst du doch lediglich LDAP in der FW freigeben. Ein übliches und vielfach genutztes Verfahren.
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Moin
Naja... Eine Kröte wirst Du wohl schlucken müssen, wen Du das irgendwie umsetzen willst. Wie soll das sonst funktionieren?!
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Damit ist die RODC-Idee sicher komplett vom Tisch...
Gruß
Zitat von @ludaku:
(...) es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).Naja... Eine Kröte wirst Du wohl schlucken müssen, wen Du das irgendwie umsetzen willst. Wie soll das sonst funktionieren?!
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Damit ist die RODC-Idee sicher komplett vom Tisch...
Gruß
Zitat von @Hubert.N:
Vermutlich. Aber da ich nicht sicher bin ob es nicht auch eine Lösung gibt, bei welcher man keine Ports öffnen muss dachte ich, frage mal nett hier nach Zitat von @ludaku:
(...) es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Naja... Eine Kröte wirst Du wohl schlucken müssen, wen Du das irgendwie umsetzen willst. Wie soll das sonst funktionieren?!(...) es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Also ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?
Damit ist die RODC-Idee sicher komplett vom Tisch...
Womit? Meinst du weil man für RODC auch Ports öffnen muss?
Ich habe grade heute wieder das selbe Problem. Einige Clients (Medien-PCs in Besprechungsräumen) zicken nur rum ohne AD Kommunikation, bisher habe ich auch bestimmte Ports (AD membership) für bestimmte Geräte für die Kommunikation geöffnet.
Wenn ich das richtig verstehe ist doch ein RODC am Ende auch ein DC der 1) mit der AD sprechen muss, d.h. alle Ports für AD replication müssen für den Server geöffnet sein und 2) ist das ein Windows Server den man eigentlich nicht in der DMZ exponieren möchte. Sollte der mal durch eine Lücke kompromitiert werden wäre das vermutlich gravierender als bei einem AD member.
Sichert man die RODC-Kommunikation dann mit SSL weiter ab oder die Identität des RODC gegenüber der Firewall oder wie wäre das?
Wenn ich das richtig verstehe ist doch ein RODC am Ende auch ein DC der 1) mit der AD sprechen muss, d.h. alle Ports für AD replication müssen für den Server geöffnet sein und 2) ist das ein Windows Server den man eigentlich nicht in der DMZ exponieren möchte. Sollte der mal durch eine Lücke kompromitiert werden wäre das vermutlich gravierender als bei einem AD member.
Sichert man die RODC-Kommunikation dann mit SSL weiter ab oder die Identität des RODC gegenüber der Firewall oder wie wäre das?
Wer sagt denn, dass man nur eine DMZ haben kann?
DCs sind Hochwertziele und gehören geschützt.
RODC sind eine gute Sache und bringen richtig ins Feld geführt viel zusätzliche Sicherheit.
DCs sind Hochwertziele und gehören geschützt.
RODC sind eine gute Sache und bringen richtig ins Feld geführt viel zusätzliche Sicherheit.
Hallo,
Warum steht dort überhaupt der DC, ich meine was ist dem Seine Aufgabe dort?
AD, DC und DHCP in das LAN und Web, FTP und Mail in die DMZ.
Dobby
Warum steht dort überhaupt der DC, ich meine was ist dem Seine Aufgabe dort?
AD, DC und DHCP in das LAN und Web, FTP und Mail in die DMZ.
Dobby
Warum sollte er nicht dort stehen? Man muss es ja nicht DMZ nennen, aber einfach ins LAN ist keine gute Empfehlung für jeden.
Bei uns heißt das ganze Zone. Wir haben hunderte Zonen und die die die DCs beherbergen sind sehr aufwändig geschützt.
Bei uns heißt das ganze Zone. Wir haben hunderte Zonen und die die die DCs beherbergen sind sehr aufwändig geschützt.
Moin,
Gruß,
Dani
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Mit einem Port kommst du nicht. Du wirst dich gleich wundern, wie viele Ports notwendig sind: How to configure a firewall for Active Directory domains and trustsVermutlich. Aber da ich nicht sicher bin ob es nicht auch eine Lösung gibt, bei welcher man keine Ports öffnen muss dachte ich, frage mal nett hier nach
Ohne Ports wird keine Lösung funktionieren, wenn die Authentifizierung über das Active Directory im LAN laufen soll.Sichert man die RODC-Kommunikation dann mit SSL weiter ab oder die Identität des RODC gegenüber der Firewall oder wie wäre das?
Siehe Link von Kollege @Hubert.N. Kurzfassung mit IPSEC.Also ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?
In großen Firmen wird meistens ein dediziertes Active Directory dafür betrieben. Damit verbunden werden alle Server nochmals schärfer konfiguriert (Applocker, Bitlocker, Windows Firewall Rules, lokale Sicherheitsrichtlinien) als bereits im LAN. Zudem wird mit Jump Hosts gearbeitet, so dass die Löcher für die administrative Tätigkeiten so klein wie möglich sind. Letztes könntes du auch ohne eigenes AD abbilden.1. Jeder Benutzer braucht pro Anwendung einen Zugang, welcher separat gepflegt werden muss. Dies ist sehr umständlich.
2. Auf jedem Server hat man einen separaten Zugang.
Von wie vielen Servern reden wir denn, 10, 40 oder 500?2. Auf jedem Server hat man einen separaten Zugang.
Gruß,
Dani
Zitat von @Dani:
Moin,
Ich hatte da auch nur LDAP für die Anwendungen (1.) im Kopf, und nicht Active Directory (2.).Moin,
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Mit einem Port kommst du nicht. Du wirst dich gleich wundern, wie viele Ports notwendig sind: How to configure a firewall for Active Directory domains and trustsAlso ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?
In großen Firmen wird meistens ein dediziertes Active Directory dafür betrieben.Von wie vielen Servern reden wir denn, 10, 40 oder 500?
Siehe oben, ist eine ganz kleine Infrastruktur...
Moin,
Gruß,
Dani
Ich hatte da auch nur LDAP für die Anwendungen (1.) im Kopf, und nicht Active Directory (2.).
das würde aber dem Punkt 2) in der Frage wiedersprechen, oder?! Daran habe ich auch schon gedacht, allerdings lohnt sich das kaum mit nur 3 Anwendungen (1.) und 4 Server.
Siehe oben, ist eine ganz kleine Infrastruktur...
Und von wielen ITler sprechen wir, zwei? Da hast du vermutlich länger an der Frage geschrieben wie die Zeit die du dieses Jahr für die Administration der Accounts investiert hast...Siehe oben, ist eine ganz kleine Infrastruktur...
Gruß,
Dani
Zeit das der TO den Thread als erledigt schliesst:
How can I mark a post as solved?
How can I mark a post as solved?
