22.07.2025
477
8
0Fragen zu Netzwerksegmentierung (DCs, Laptops mit Dock)
Hallo, zwei Fragen in die Runde.
Wir treiben unsere Netzwerksegmentierung voran, und ich würde gerne wiesen, wie es andere machen.
1. Ist es sinnvoll, jeden Domain Controller in sein eigenes VLAN/Netz zu verfrachten, oder verwendet ihr ein gemeinsames VLAN für alle DCs?
2. Laptops mit Dockingstation: die Geräte sollen, egal ob am Schreibtisch in der Dock angeschlossen oder wireless im Besprechungszimmer, auf die selben Ressourcen zugreifen. Eigene VLANs für wired/wireless, oder eines?
Bin gespannt auf Meinungen, und wie es andere umsetzen
Wir treiben unsere Netzwerksegmentierung voran, und ich würde gerne wiesen, wie es andere machen.
1. Ist es sinnvoll, jeden Domain Controller in sein eigenes VLAN/Netz zu verfrachten, oder verwendet ihr ein gemeinsames VLAN für alle DCs?
2. Laptops mit Dockingstation: die Geräte sollen, egal ob am Schreibtisch in der Dock angeschlossen oder wireless im Besprechungszimmer, auf die selben Ressourcen zugreifen. Eigene VLANs für wired/wireless, oder eines?
Bin gespannt auf Meinungen, und wie es andere umsetzen
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673957
Url: https://administrator.de/forum/netzwerksegmentierung-domain-controller-vlan-laptop-673957.html
Ausgedruckt am: 22.07.2025 um 15:07 Uhr
8 Kommentare
Neuester Kommentar
Ich würd sagen, das kommt ganz auf die Umgebung und den gewählten Sicherheitsaspekt an.
Da wird fast jeder eine eigene Meinung dazu haben.
Wenn das Wlan für die Laptops im Grunde nur eine "Verlängerung" des Lan ist, würde ich die wohl nicht trennen. Außer es gäbe da noch was anderes, was zum tragen kommt.
Da wird fast jeder eine eigene Meinung dazu haben.
Wenn das Wlan für die Laptops im Grunde nur eine "Verlängerung" des Lan ist, würde ich die wohl nicht trennen. Außer es gäbe da noch was anderes, was zum tragen kommt.
Moin,
Ich habe bspw. ein "Server" VLAN - da liegen, Achtung - festhalten, die Server drin. Also auch alle DCs.
GastWLAN -> kein Zugriff aufs lokale Netz (VLAN)
ProduktivWLAN -> Zugriff aufs lokale Netz (VLAN)
Kabel -> Zugriff aufs lokale Netz (VLAN)
ProdWLAN darf ins KabelVLAN und ServerVLAN. Natürlich eingeschränkt.
GastWLAN darf .. bisschen Internet (oder sogar nur Mail; je nach dem).
Gruß
gemeinsames VLAN für alle DCs?
Wüsste nicht, warum man diese separieren sollte.Ich habe bspw. ein "Server" VLAN - da liegen, Achtung - festhalten, die Server drin. Also auch alle DCs.
VLANs für wired/wireless
Klar.GastWLAN -> kein Zugriff aufs lokale Netz (VLAN)
ProduktivWLAN -> Zugriff aufs lokale Netz (VLAN)
Kabel -> Zugriff aufs lokale Netz (VLAN)
ProdWLAN darf ins KabelVLAN und ServerVLAN. Natürlich eingeschränkt.
GastWLAN darf .. bisschen Internet (oder sogar nur Mail; je nach dem).
Gruß
1
DC haben alle die gleichen Dienste, macht absolut 0 Sinn diese zu trennen.
Server Netz, was Sinn macht sind verschiedene Server Netze für zB. Produktions Server, Anwendungsserver, Datenbank Server, aber das kommt meiner Meinung sehr auf die Größe des Netzwerkes deiner Umgebung an.
Wenn du jetzt nur 5 - 10 Server hast, pack sie alle in ein Servernetz. Wenn du jetzt 100+ hast, kann man das schon stärker und sinnvoller segmentieren.
Server Netz, was Sinn macht sind verschiedene Server Netze für zB. Produktions Server, Anwendungsserver, Datenbank Server, aber das kommt meiner Meinung sehr auf die Größe des Netzwerkes deiner Umgebung an.
Wenn du jetzt nur 5 - 10 Server hast, pack sie alle in ein Servernetz. Wenn du jetzt 100+ hast, kann man das schon stärker und sinnvoller segmentieren.
Hi,
Thema Security bedeutet aktuell Mikrosegmentierung. Bedeutet alle Server in kleine VLANs unterteilen. Selbst bei einer kleinen Umgebung ist dies dann sinnvoll, da bei einem Befall eines Servers deine anderen dann u.U. sofort mit betroffen sind. Die Server können aber nach Funktion zusammengefasst werden. In deinem Fall können die DC's dann in ein Netzwerksegment rein.
Wir bauen aktuell auch noch unser Netzwerk um zusammen mit einem Security Anbieter und das Vorgehen ist aktuell Best Practise
Gruß
Thema Security bedeutet aktuell Mikrosegmentierung. Bedeutet alle Server in kleine VLANs unterteilen. Selbst bei einer kleinen Umgebung ist dies dann sinnvoll, da bei einem Befall eines Servers deine anderen dann u.U. sofort mit betroffen sind. Die Server können aber nach Funktion zusammengefasst werden. In deinem Fall können die DC's dann in ein Netzwerksegment rein.
Wir bauen aktuell auch noch unser Netzwerk um zusammen mit einem Security Anbieter und das Vorgehen ist aktuell Best Practise
Gruß
1
Vielen Dank für die Meinungen. Ich sehe auch den Vorteil durch eine starke Mikrosegmentierung, welche wir auch so durchsetzen.
Nur eben bei den DCs frage ich mich, welchen Gewinn hätte man? Man sieht den Traffic zwischen den DCs, und kann ihn regulieren. Wobei, wenn ein Angreifer schon auf einem der DCs sitzt hat er den Jackpot eh, da bringt es wohl auch nicht mehr viel, wenn ich z.B. RDP auf den anderen DC unterbinde...
Nur eben bei den DCs frage ich mich, welchen Gewinn hätte man? Man sieht den Traffic zwischen den DCs, und kann ihn regulieren. Wobei, wenn ein Angreifer schon auf einem der DCs sitzt hat er den Jackpot eh, da bringt es wohl auch nicht mehr viel, wenn ich z.B. RDP auf den anderen DC unterbinde...
DCs voneinander zu isolieren ist IMO sinnlos. Die Trennung sollte sich an Aufgabenbereichen/Zugriffsbereichen orientieren. Eine (gemeinsame) Abtrennung der DCs bringt u.a. den Vorteil, dass später nicht irgendjemand ohne weiteres weitere Dienste drauf packen kann. Aber das sollte in geordneten Umgebungen eh nicht passieren. In kleineren Umgebungen sollte ein einheitliches Servernetz reichen.
Ansonsten ist es wahrscheinlich wichtiger, die Rechner zu schützen, die das AD tatsächlich administrieren, als die DCs selbst.
Das produktive WLAN kann zum produktiven LAN. Gast-LAN natürlich getrennt. Telefonie getrennt. Backup getrennt. Netzwerkadministration getrennt. Abteilungen möglichst getrennt. IoT/unsichere Geräte getrennt. I.Ü. Orientierung an Struktur und Bedarf.
Viele Grüße, commodity
Ansonsten ist es wahrscheinlich wichtiger, die Rechner zu schützen, die das AD tatsächlich administrieren, als die DCs selbst.
Das produktive WLAN kann zum produktiven LAN. Gast-LAN natürlich getrennt. Telefonie getrennt. Backup getrennt. Netzwerkadministration getrennt. Abteilungen möglichst getrennt. IoT/unsichere Geräte getrennt. I.Ü. Orientierung an Struktur und Bedarf.
Viele Grüße, commodity
Von wievielen DCs sprechen wir hir?
Nein, du willst bestimmt nicht das Prod-LAN im selben Vlan wie das WLAN haben. Nicht aus Security sondern aus Netzwerksicht.
Zb broadcast Domäne.
Zb broadcast Domäne.
