none
Domain Controller hinter Firewall RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Ich habe vor 1-2 Jahren mal auf einer Microsoft-Seite gelesen, dass es nicht empfohlen ist, einen Domain Controller hinter eine eigene Firewall zu packen. Ich finde die Aussage nicht wieder, dafür eine riesen Portliste die man freigeben muss.

    Wie lautet Microsofts aktuelle Meinung zu Domain Controller hinter einer eigenen Firewall? Gute Idee oder schlechte Idee?

    Bitte mit Beleg. Danke!

    Montag, 16. Februar 2015 21:31
    |

Antworten

  • Question
    Anmelden
    3
    Anmelden
    Hi,
     
    Am 16.02.2015 22:31, schrieb zuzsz:
    > Wie lautet Microsofts aktuelle Meinung zu Domain Controller hinter
    > einer eigenen Firewall? Gute Idee oder schlechte Idee?
    > Bitte mit Beleg. Danke!
     
    Sie haben keine Meinung. Warum sollte MS eine haben?
    Die Liste der Ports/Protokolle ist das einzige um das es geht.
     
    Es ist egal, ob der DC hinter einer Firewall steht, oder nicht. Das
    macht überhaupt keinen Unterschied.
    Der Unterschied ist: Kann er noch replizieren und mit anderen DCs reden,
    oder ist er eine Insel und du hast in 180 Tagen Probleme mit Lingering
    Objects ...
     
    Aus Microsoft Sicht macht eine Firewall nur Sinn, wenn er weiterhin mit
    den anderen DCs reden kann. Wenn keine Clients, ausser denen in seinem
    Subnetz mit ihm reden, macht es aus MS Sicht auch keinen Sinn, da du
    damit die Redundanz verlierst, die DCs bereitstellen sollen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 16. Februar 2015 22:00
    |
  • Question
    Anmelden
    2
    Anmelden

    Hi

    Microsoft wird wohl auch empfehlen die interne FW zu aktivieren...
    Meiner Meinung nach müsste die Frage anders Formuliert werden resp. an den Netzgegebenheiten angepasst werden:

    - Wie ist Dein Netzwerk aufgebaut? Gibt es verschiedene Zonen mit verschiedenen Sicherheitsanforderungen?
    - Welche Sicherheitsanforderungen gibt es generell?

    Entschuldige, aber Du könntest Dich auch Fragen ob Du zu Hause an Deiner Haustüre ein Schloss brauchst oder nicht? Falls Du auf einer einsamen Insel wohnst eher nicht, falls Du in einer Stadt wohnst eher schon. Entscheidend sind die Anforderungen.

    Gruss

    Dienstag, 17. Februar 2015 07:58
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    wie Mark schon geschrieben hat, ist das kein Problem solange die DCs miteinander kommunizieren können.

    Für DMZ Konfigurationen schau bitte in https://technet.microsoft.com/de-de/library/dd728034(v=ws.10).aspx und http://blogs.technet.com/b/deds/archive/2011/02/08/rodc-in-dmz.aspx

    Firwewalls müssen gem. https://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx konfiguriert sein.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 17. Februar 2015 08:57
    |

Alle Antworten

  • Question
    Anmelden
    3
    Anmelden
    Hi,
     
    Am 16.02.2015 22:31, schrieb zuzsz:
    > Wie lautet Microsofts aktuelle Meinung zu Domain Controller hinter
    > einer eigenen Firewall? Gute Idee oder schlechte Idee?
    > Bitte mit Beleg. Danke!
     
    Sie haben keine Meinung. Warum sollte MS eine haben?
    Die Liste der Ports/Protokolle ist das einzige um das es geht.
     
    Es ist egal, ob der DC hinter einer Firewall steht, oder nicht. Das
    macht überhaupt keinen Unterschied.
    Der Unterschied ist: Kann er noch replizieren und mit anderen DCs reden,
    oder ist er eine Insel und du hast in 180 Tagen Probleme mit Lingering
    Objects ...
     
    Aus Microsoft Sicht macht eine Firewall nur Sinn, wenn er weiterhin mit
    den anderen DCs reden kann. Wenn keine Clients, ausser denen in seinem
    Subnetz mit ihm reden, macht es aus MS Sicht auch keinen Sinn, da du
    damit die Redundanz verlierst, die DCs bereitstellen sollen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 16. Februar 2015 22:00
    |
  • Question
    Anmelden
    2
    Anmelden

    Hi

    Microsoft wird wohl auch empfehlen die interne FW zu aktivieren...
    Meiner Meinung nach müsste die Frage anders Formuliert werden resp. an den Netzgegebenheiten angepasst werden:

    - Wie ist Dein Netzwerk aufgebaut? Gibt es verschiedene Zonen mit verschiedenen Sicherheitsanforderungen?
    - Welche Sicherheitsanforderungen gibt es generell?

    Entschuldige, aber Du könntest Dich auch Fragen ob Du zu Hause an Deiner Haustüre ein Schloss brauchst oder nicht? Falls Du auf einer einsamen Insel wohnst eher nicht, falls Du in einer Stadt wohnst eher schon. Entscheidend sind die Anforderungen.

    Gruss

    Dienstag, 17. Februar 2015 07:58
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    wie Mark schon geschrieben hat, ist das kein Problem solange die DCs miteinander kommunizieren können.

    Für DMZ Konfigurationen schau bitte in https://technet.microsoft.com/de-de/library/dd728034(v=ws.10).aspx und http://blogs.technet.com/b/deds/archive/2011/02/08/rodc-in-dmz.aspx

    Firwewalls müssen gem. https://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx konfiguriert sein.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 17. Februar 2015 08:57
    |
  • Question
    Anmelden
    2
    Anmelden
    Hi,
     
    Am 17.02.2015 08:58, schrieb dahawei:
    > Microsoft wird wohl auch empfehlen die interne FW zu aktivieren...
     
    Das auf jedenfall. Aber das ist irgendwie nicht "hinter" der Firewall!?
    Ich dachte bei "hinter" eher an ein weiteres Gerät, aber das ist
    spekulation.
     
    Der Standpunkt zur internen Firewall ist klar, aber ich dachte um die
    gehts nicht ...?
     
    externe Firewall -> Kommunikation erlauben, sonst Tür nach draussen zu,
    intern aktivieren aber Türen öffnen ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 17. Februar 2015 17:01
    |