7
Netzwerkzugriff vom lokalen DMZ - User
Hallo Community,
Ich habe folgendes Problem:
Mein Webserver steht in der DMZ und hat nur eine lokale Anmeldung.
Jetzt muss ich aber auf ein Netzlaufwerk einen Zugriff haben.
Ich kann aber bei Sicherheit nur user aus der Domäne auswählen.
kleines Beispiel was das Problem eher anzeigt.
Mein Webserver heisst Server01 und der lokae User Webserver. ( Windows Server 2008 )
Mein Fileserver heisst Server11 und das laufwerk e$ ( Windows Server 2003 )
Also würde ich gerne dem Laufwerk e$ unter Sicherheit den User Server01\Webserver lese rechte geben.
Ist das irgendwie möglich oder ist sowas eher schlecht wegen der Sicherheit?
Vielen Dank für eure Antworten
Ich habe folgendes Problem:
Mein Webserver steht in der DMZ und hat nur eine lokale Anmeldung.
Jetzt muss ich aber auf ein Netzlaufwerk einen Zugriff haben.
Ich kann aber bei Sicherheit nur user aus der Domäne auswählen.
kleines Beispiel was das Problem eher anzeigt.
Mein Webserver heisst Server01 und der lokae User Webserver. ( Windows Server 2008 )
Mein Fileserver heisst Server11 und das laufwerk e$ ( Windows Server 2003 )
Also würde ich gerne dem Laufwerk e$ unter Sicherheit den User Server01\Webserver lese rechte geben.
Ist das irgendwie möglich oder ist sowas eher schlecht wegen der Sicherheit?
Vielen Dank für eure Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226854
Url: https://administrator.de/contentid/226854
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Du beschreibst hier eine reine Winblows User Authentisierungs Problematik die ja nichts mit der Rubrik LAN, WAN Wireless zu tun hat und gehört somit eher in die Rubrik Microsoft, Winblows Server.
Zudem teilst du uns auch nicht mit ob es ggf. zwischen deinem lokalen LAN und der DMZ, wie es sich gehört, eine Firewall steht. Damit sollte dann, wie bei einer DMZ üblich, auch Netzwerk technisch der Zugang verwehrt sein.
Eigentlich sollte da also noch mehr auf dich zukommen als eine reine Windows Rechte Problematik wenn es um eine "richtige" DMZ geht aber hier bist du leider etwas oberflächlich, sorry ?!
Zudem teilst du uns auch nicht mit ob es ggf. zwischen deinem lokalen LAN und der DMZ, wie es sich gehört, eine Firewall steht. Damit sollte dann, wie bei einer DMZ üblich, auch Netzwerk technisch der Zugang verwehrt sein.
Eigentlich sollte da also noch mehr auf dich zukommen als eine reine Windows Rechte Problematik wenn es um eine "richtige" DMZ geht aber hier bist du leider etwas oberflächlich, sorry ?!
Rein technisch ist Dein Problem einfach zu lösen:
Du legst einfach eine domainuser an, der genauso heißt und das gleiche Paßwort wie der lokale User des Webservers hat.
Allerdings hat aqui recht, daß das dann schon ein komsiches DMZ-konzept ist, wenn Du aus der "DMZ ins LAN zugreifen dürfen" kannst. ein ordentliches Konzept trennt DMZ und LAN udn definiert auch genau, welche Datenpfade erlaubt sind.
lks
Du legst einfach eine domainuser an, der genauso heißt und das gleiche Paßwort wie der lokale User des Webservers hat.
Allerdings hat aqui recht, daß das dann schon ein komsiches DMZ-konzept ist, wenn Du aus der "DMZ ins LAN zugreifen dürfen" kannst. ein ordentliches Konzept trennt DMZ und LAN udn definiert auch genau, welche Datenpfade erlaubt sind.
lks
1
Hallo
Ich kenne nicht den Grund weshalb der Zugriff braucht, aber vielleicht gibt es auch Möglichkeiten aus dem internen auf das DMZ zugreifen.
Was ich ich persönlich für sicherer halten würde.
Falls es eine Firewall dazwischen gibt, könnte der Zugriff DMZ --> intern möglicherweise auch abgesichert werden.
Das du Zugriff auf die Adminfreigabe E$ geben willst halte ich jedoch für Bedenklich.
Du könntest einen Benutzer im AD ( sofern der Server11 im AD steht) oder auf dem Server anlegen
Dann einen Eintrag auf Sicherheit machen.
Und zu guter Letzt eine das Netzlaufwerk vom Server01 (mit der Option anderem Benutzer) auf den Server11 machen
Die Sicherheitsbedenken mußt du klären
Gruß
Hajowe
Ich kenne nicht den Grund weshalb der Zugriff braucht, aber vielleicht gibt es auch Möglichkeiten aus dem internen auf das DMZ zugreifen.
Was ich ich persönlich für sicherer halten würde.
Falls es eine Firewall dazwischen gibt, könnte der Zugriff DMZ --> intern möglicherweise auch abgesichert werden.
Das du Zugriff auf die Adminfreigabe E$ geben willst halte ich jedoch für Bedenklich.
Du könntest einen Benutzer im AD ( sofern der Server11 im AD steht) oder auf dem Server anlegen
Dann einen Eintrag auf Sicherheit machen.
Und zu guter Letzt eine das Netzlaufwerk vom Server01 (mit der Option anderem Benutzer) auf den Server11 machen
Die Sicherheitsbedenken mußt du klären
Gruß
Hajowe
1
Die Frage ist doch: Warum muss das so sein?
Hallo , erstmal vielen Dank für die Antworten.
Sicher haben wir eine Firewall die die das LAN von der DMZ bzw umgekehrt trennt.
Auf dem Webserver in der DMZ haben wir auch unser Intranet und dort sind Bilder drin diese sind aber auf einem Laufwerk abgelegt von dem Server11 der in der Domäne eingebunden ist.
Ich möchte eigentlich nur das der Webserver Server01 sich diese Bilder holen kann. Also Leserechte auf eine gewisse Freigabe in diesem Fall e$ hat.
Evtl. gibt es dazu auch eine andere Lösung, oder prinzipiell macht man sowas nicht.
Aber weil ich es nicht weiss und gerne Erfahrungen und Meinungen von anderen darüber höhre habe ich es hier ins Forum gestellt.
gruß ChristianM
Sicher haben wir eine Firewall die die das LAN von der DMZ bzw umgekehrt trennt.
Auf dem Webserver in der DMZ haben wir auch unser Intranet und dort sind Bilder drin diese sind aber auf einem Laufwerk abgelegt von dem Server11 der in der Domäne eingebunden ist.
Ich möchte eigentlich nur das der Webserver Server01 sich diese Bilder holen kann. Also Leserechte auf eine gewisse Freigabe in diesem Fall e$ hat.
Evtl. gibt es dazu auch eine andere Lösung, oder prinzipiell macht man sowas nicht.
Aber weil ich es nicht weiss und gerne Erfahrungen und Meinungen von anderen darüber höhre habe ich es hier ins Forum gestellt.
gruß ChristianM
Zitat von @Kr1sLXXV:
Ich möchte eigentlich nur das der Webserver Server01 sich diese Bilder holen kann. Also Leserechte auf eine gewisse Freigabe
in diesem Fall e$ hat.
Evtl. gibt es dazu auch eine andere Lösung, oder prinzipiell macht man sowas nicht.
Aber weil ich es nicht weiss und gerne Erfahrungen und Meinungen von anderen darüber höhre habe ich es hier ins Forum
gestellt.
Ich möchte eigentlich nur das der Webserver Server01 sich diese Bilder holen kann. Also Leserechte auf eine gewisse Freigabe
in diesem Fall e$ hat.
Evtl. gibt es dazu auch eine andere Lösung, oder prinzipiell macht man sowas nicht.
Aber weil ich es nicht weiss und gerne Erfahrungen und Meinungen von anderen darüber höhre habe ich es hier ins Forum
gestellt.
warum schaufelst Du die Bilder nicht einfach auf den Webserver, gerne auch mit regelmäßigem sync per robocopy oder rsync ode rper stick. Dann muß auch kein Loch in die firewall gebohrt werden.
lks
2
Jo das scheint die einfachere und bessere Lösung zu sein.
Vielen Dank :D
Vielen Dank :D
