none
Patchmanagement für DMZ-Server RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo und guten Morgen,

    nachdem unser Patchmanagement für die internen Server nun soweit läuft sind unsere Server in der DMZ nun dran.
    Erstes Problem ist das diese Systeme nicht in der Domäne sind (sollen aber aufgenommen werden) Das zweite Problem ist die Firewall. Kann mir jemand detailiert sagen welche Ports zwingend bzw. max. notwendig sind?
    Ich habe schon einige Beiträge gelesen aber so ganz klar ist mir das noch nicht.


    Was ich herausgefunden habe ist folgendes:
    Client to MP: 80 mixed mode, 443 for native mode (Management Server)
    Client to SUP: 80/8530 or 443/8531 (Software Update Point)
    Client to DP: 80/443 and 445 (SMB)  (Distribution Point)
    Client to SLP: 80 (was bedeutet das genau?)

    Wie gesagt sollen nur die notwendigen Ports geöffnet werden, möglich soll die Push-Installation sein, die Zuweisung zu den bestehenden Collections, automatische Updates sowie WMI, und der Zugriff per SCCM Client Center.

    Danke im Voraus für die Hilfe.


    Gruß Thorsten

    Donnerstag, 12. Januar 2012 07:28
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hier gibt es leider keine "one-fits-all" Antwort. Sicher kann man eine Site in der DMZ installieren - oder eben die Ports in der Firewall öffnen. Dazu muss man die genauen Anforderungen kennen (Netz, Budget, Anzahl Server usw). Solch ein Design geht IMHO über die Möglichkeiten eines Forums hinaus.
    Torsten Meringer | http://www.mssccmfaq.de
    Donnerstag, 12. Januar 2012 15:08
    |
    Beantworter

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Siehe dazu dieses Dokument: http://technet.microsoft.com/en-us/library/bb632618.aspx
    Torsten Meringer | http://www.mssccmfaq.de
    Donnerstag, 12. Januar 2012 08:17
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Torsten,
    Danke für die Antwort. Gibt es einen empfohlenen Weg die Server in der DMZ zu Patchen bzw. zu behandeln?
    Macht es Sinn in der DMZ einen separaten Server für SCCM zu installieren?
    Hintergrund ist das nicht alle Ports an der Firewall geöffnet werden sollen. ich habe einen Beitrag im Internet gefunden der so ein Szenario vorsieht!

    wichtig ist hier die Sicherheit unserer internen Server.
    Danke

    Donnerstag, 12. Januar 2012 15:03
    |
  • Question
    Anmelden
    0
    Anmelden
    Hier gibt es leider keine "one-fits-all" Antwort. Sicher kann man eine Site in der DMZ installieren - oder eben die Ports in der Firewall öffnen. Dazu muss man die genauen Anforderungen kennen (Netz, Budget, Anzahl Server usw). Solch ein Design geht IMHO über die Möglichkeiten eines Forums hinaus.
    Torsten Meringer | http://www.mssccmfaq.de
    Donnerstag, 12. Januar 2012 15:08
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,
    momentan stehen bei uns in der DMZ 3 Windows Server die nicht in der Domäne sind. Weitere könnten hinzukommen.
    Intern haben wir einen SCCM-Server und einen WSUS-Server. Aus Sicherheitssicht meint der Beauftragte wenn möglich die Ports nocht alle öffnen sondern eher die Variante mit zusätzlichem Server in der DMZ.
    Eine Idee war auch schon eine weitere DMZ für den SCCM-Zusatzserver einzurichten. hauptsache das ganze ist Sicher.


    Wir haben auch für unsere Niederlassungen weitere DMZs mit Windows-Systemen, in naher Zukunft sollen alle Systeme in allen Niederlassungen in den Patchprozess einbezogen werden daher wird in diesen DMZs dann auch noch was kommen.

    Donnerstag, 12. Januar 2012 15:26
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann ist die Entscheidung doch schon gefallen ...
    Torsten Meringer | http://www.mssccmfaq.de
    Freitag, 13. Januar 2012 10:55
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Wie meinst du das? Bezogen auf den SCCM-Zusatzserver in der DMZ?

    Gibt es irgenwo ein Best Practice oder so von MS?

    Freitag, 13. Januar 2012 10:59
    |
  • Question
    Anmelden
    0
    Anmelden
    ... wenn möglich die Ports nocht alle öffnen sondern eher die Variante mit zusätzlichem Server in der DMZ.
    Eine Idee war auch schon eine weitere DMZ für den SCCM-Zusatzserver einzurichten. hauptsache das ganze ist Sicher.
    Also bleibt nur, eine weitere Site zu installieren.
    Wie schon gesagt: "best practise" gibt's an dieser Stelle nicht, da einfach die Anforderungen viel zu unterschiedlich sind.
    Torsten Meringer | http://www.mssccmfaq.de
    Freitag, 13. Januar 2012 11:35
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Alles klar dann mach ich mich über das Thema mal schlau!
    Freitag, 13. Januar 2012 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo noch mal,

    ich hätte da mal noch ein zwei Fragen zu dem Thema:
    Wir wollen nun also folgendes Durchführen:

    - Aufnahme aller DMZ-Server in die AD
    -Push-Installation des SCCM-Clients wenn möglich
    -Patchmanagement via SCCM
    -SCCM-Server mit Secondary Site installieren (geht ja da gleicher Forest richtig?)
    -die Ports zwischen den beiden SCCM-Servern öffnen, genau hier ist nun aber mein Problem. Welche Ports sind das nun denn genau? ist das nur SMB 445 und 1723?
    -Kommunizieren die Clients in der DMZ dann nur mit der Secondary Site oder auch mit der Primary?

    Denke dann habe ich eine saubere und relativ sichere  Lösung da ich ja nur von einem DMZ System ins LAN Ports an der Firewall öffnen muss

    Vielleicht kann mir das jemand noch beantworten dann bin ich glücklich.
    Danke

    Gruß Thorsten


    Donnerstag, 19. Januar 2012 11:55
    |
  • Question
    Anmelden
    0
    Anmelden
    Secondary vs domain/forest: ja: http://technet.microsoft.com/en-us/library/bb694003.aspx
    Ports: http://technet.microsoft.com/en-us/library/bb632618.aspx: #1, also SMB/445, 1723 nur, wenn Du den RAS-Sender verwendest (was eher unwahrscheinlich ist).
    Client müssen auch den MP der Primary kontaktieren: #17: http/https (je nach Konfiguration)
    Torsten Meringer | http://www.mssccmfaq.de
    Donnerstag, 19. Januar 2012 13:29
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    OK dann scheidet das wohl auch aus!
    Bleibt mir dann ja wohl nur zusätzliche Primary Site in der DMZ übrig wenn ich das richtig sehe und hier die Ports 445 zu öffnen.
    Richtig?

    Donnerstag, 19. Januar 2012 13:32
    |