c0d3.r3d
08.07.2025
view1473
view6
0

HeidiSQL auf RDS-Server mit Zugriff auf MariaDB Server

gelöstFrageWindows Server
Hi zusammen,

ich betreue ein Schul-/Lehrnetzwerk und habe eine Frage zum Setup von HeidiSQL und MariaDB auf RDS-Servern (Server 2019).

Die Situation:

  • Lehrkräfte und Schüler arbeiten über mehrere Windows Server (RDS)
  • Programm "HeidiSQL" soll auf den RDS laufen und auf einen MariaDB-Server (Linux) zugreifen können (VM)
  • Lehrkräfte erstellen Datenbanken für Lernsitutationen auf denen die Schüler zugreifen können
  • WLAN/LAN und RDS-Netz sind per Firewall voneinander getrennt (nur 3389 ist offen)
  • Geplant ist, den MariaDB-Server in ein eigenes Netz zu packen, also separate Zone (DMZ o. Ä.)
  • Zugriff auf den MariaDB-Server soll nur vom RDS-Netz über Port 3306 erlaubt werden (FW-Regel)

Jetzt die Frage:

Ist das so sinnvoll gelöst oder gibt’s bessere Ideen?
Gibt’s vielleicht einfachere Alternativen zur Umsetzung (HeidiSQL + MariaDB sind vorgegeben)?
Lokale Windows Clients fallen leider raus.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673759

Url: https://administrator.de/forum/heidisql-mariadb-rds-server-673759.html

Ausgedruckt am: 17.07.2025 um 03:07 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
aqui
Lösung aqui 08.07.2025 aktualisiert um 17:39:30 Uhr
Goto Top
Segmentierung ist grundsätzlich immer sinnvoll wenn man den SQL Server schützen und ihn in einem abgesicherten Segment betreiben möchte. Ein klassisches Konzept an dem es generell nichts auszusetzen gibt. Eine Firewall oder Layer 3 Switch mit entsprechendem Regelwerk oder Accesslisten vorausgesetzt.
c0d3.r3d
c0d3.r3d 08.07.2025 um 17:52:44 Uhr
Goto Top
Vielleicht noch als Ergänzung: Das Netzwerk ist bereits fertig und seit Jahren im Einsatz.
Mit dem Beitrag geht es mir darum, wie ich den Datenbanken Server am besten integriere und den Zugriff darauf steuere, falls nicht sofort ersichtlich.

Insgesamt gibt es derzeit 4 RDS Server und geplant ist 1 SQL Server (nicht "produktiv" System).

Die grundsätzliche Netzwerksegmentierung ist vollumfänglich umgesetzt. Teilweise gibt es vereinzelte Fat-Clients die sich gegen die Domäne Authentifizieren und auch einzelne Programme per RDP vom RDS erhalten.

Ich hatte kurz überlegt ein komplettes V-Netz aufzubauen mit anderem IP Bereich als das Produktivnetz (Sabotageschutz etc.) und den RDS Servern einen zweiten vNIC zugeben und an den vSwitch anzubinden. Es sollte aber auch mit einem getrennten VLAN wo nur der SQL Server angeschlossen ist funktionieren.
aqui
aqui 08.07.2025 aktualisiert um 18:45:21 Uhr
Goto Top
Vielleicht noch als Ergänzung:
Umso besser... Was hindert dich also noch das umzusetzen? face-wink
Mit der geplanten Segmentierung und einem entsprechenden Regelwerk im Router zwischen den beiden Netzen hast du dann doch alle Optionen einer umfänglichen Zugriffssteuerung.
Ich hatte kurz überlegt ein komplettes V-Netz aufzubauen mit anderem IP Bereich als das Produktivnetz
Dieser Satz ist nun leider wieder verwirrend?? face-sad
Was soll ein "V-Netz" sein? VLAN? Wenn ja haben unterschiedliche VLANs doch immer einen anderen IP Bereich. Das eine bedingt also auch immer das andere. Und da ja nach deiner Aussage alles vollumfänglich mit VLANs eingerichtet ist gibt es da ja auch keinerlei Handlungsbedarf. Du musst dann nur noch machen...
Eine vNIC im Server ist bekanntlich keine gute Idee, denn damit bürdest du dem RDS Server Netzwerkfunktionen und auch netzbasierte Security auf die da definitiv nicht hingehören. Ein RDS Server macht RDS. Punkt...
Netzwerk Security gehört in einem guten Design auf die Infrastruktur, sprich Router oder Firewall.
Es sollte aber auch mit einem getrennten VLAN wo nur der SQL Server angeschlossen ist funktionieren.
Das tut es auch und ist entgegen deiner Formulierung auch die deutlich bessere Variante!
Michi91
Lösung Michi91 09.07.2025 um 08:06:08 Uhr
Goto Top
Ich hatte kurz überlegt ein komplettes V-Netz aufzubauen mit anderem IP Bereich als das Produktivnetz (Sabotageschutz etc.) und den RDS Servern einen zweiten vNIC zugeben und an den vSwitch anzubinden. Es sollte aber auch mit einem getrennten VLAN wo nur der SQL Server angeschlossen ist funktionieren.

unnötig kompliziert. Setz einfach deinen Plan um: VM ins separate Netz, Firewall restriktiv nur 3306.

Ich weiß Schüler versuchen alles, aber eine Sicherheitslücke die es den Schülern erlaubt aus dem SQler auszubrechen ist doch eher unwahrscheinlich ( zumindest wenn sie auch nur "ganz normale" SQL-Nutzerrechte haben)

Grüße
c0d3.r3d
c0d3.r3d 14.07.2025 um 17:21:22 Uhr
Goto Top
Danke für euren Input.

Der SQL Server sitzt in einem seperaten VLAN, Port 3306 ist Freigegeben im RDS-Netz sowie der Administrative SSH Zugang zum Server (für das Admin-VLAN).
aqui
aqui 14.07.2025 um 19:12:54 Uhr
Goto Top
Dann kanns ja losgehen... face-wink
gelöstFrageWindows Server
Mehr von c0d3.r3dc0d3.r3dFritzbox Telefonie hinter OpnSense zur Verfügung stellenc0d3.r3d - 10 Kommentarec0d3.r3dLWL Switch 10G gesuchtc0d3.r3d - 12 Kommentarec0d3.r3dSoftware zum Inhaltsvergleich von PDF-Dateien von verschiedenen Scannernc0d3.r3d - 3 Kommentarec0d3.r3dScanSnapIX500 - Wifi Verbindungc0d3.r3d - 6 Kommentare
Heiß diskutiert
Michl16(Neues) Backup Programm gesuchtMichl16 - 42 KommentareNer.CoIPv6 an Client hinter SophosNer.Co - 42 KommentarenachgefragtWindows Server 2025 VM startet nicht nach Patchday CU202507nachgefragt - 38 KommentareAbstrackterSystemimperatorEmpfehlung für einen passenden Monitor und eine Tastatur gesuchtAbstrackterSystemimperator - 32 Kommentaretian1974Der neue Servertian1974 - 28 KommentarefritzoDiskussion: im Juni 2026 ablaufende SecureBoot-Zertifikate von Microsoftfritzo - 26 Kommentarewusa88Exchange SE und Office 2024wusa88 - 26 KommentarePablo1978Stetige Netzwerktrennung am Windows 11 PCPablo1978 - 23 KommentareTschakalakaLAPS Umstellung - Probleme mit der Administratoranmeldung bei DomänenbenutzerTschakalaka - 17 Kommentare