Hilfe bei der Erstellung einer DMZ

1. offizieller Beitrag

    Hallo Leute


    Es geht um folgendes, ich habe hier einen Server auf dem Windows Server 2008 R2 Enterprise installiert ist.


    Das alles sieht insgesamt wie folgt aus:



    Server 1 ( Physikalische Maschine )
    Rollen:
    Active Directory-Domänendienste
    DHCP-Server
    DNS-Server
    Hyper-V


    Server 2 ( 1. Virtueller Windows Server 2008 R2 Enterprise auf Server 1 )
    Rollen:
    Webserver (IIS)


    Server 3 ( 2. Virtueller Windows Server 2008 R2 Enterprise auf Server 1 )




    Ich möchte jetzt ein Netzwerk wie folgt Konstruieren


    Undzwar will ich Server 2 und den Router in eine DMZ stellen, Server 1 soll der DNS- und DHCP-Server sein und Server 2 soll dann als Weiterleitung an die restlichen Server dienen, d.h. dann also Server 1 und Server 3 bleiben dann im Lokalen Netzwerk.


    Ich hatte mir folgendes Konzept vorgestellt


    DMZ


    Router 192.168.2.1
    Server 2 192.168.2.2


    Lokaler Bereich


    Server 1 192.116.10.2
    Server 3 192.116.10.3


    Allerdings scheiter ich dann bei der Umsetzung, ich kriege momentan nur einen Ping von dem Virtuellen Server ( Server 2 und Server 3 ) an den Physikalischen Server ( Server 1 )
    jedoch nicht in die andere Richtung. Außerdem weiß ich nicht, wie ich die Adapter konfigurieren muss, welche bzw. wie viele Adapter brauche ich eigentlich, wo welche IP reingehört, wer der Gateway ist usw.


    Brauche ich für die DMZ zwingend zwei Router?

    Was heißt für dich Testumgebung?


    Ich habe hier einen richtigen Server mit den erforderlichen Gerätschaften, Verkabelung usw.


    Im Prinzip ist es eine Testumgebung, ich will das hier alles konfigurieren, so das es funktioniert wie ich es haben möchte und danach wird der Server richtig in Betrieb genommen.

    Das heißt also, ich müsste das Active Directory auf die zweite Virtuelle Maschine legen sprich der Virtuelle Server 3


    Sagen wir, ich habe das jetzt so gemacht alles wie gehabt nur ACDC ist jetzt nicht mehr auf der selben Maschine mit Hyper-V
    Was müsste ich tun, um das Netzwerk so zu konfigurieren, wie ich es vorhabe?

    Die DMZ brauche ich, da ich die anderen Server in einem anderen Netz betreiben möchte. Sie sollen geschützte sein und deshalb in einem anderen Netz liegen als der Server (IIS) in der DMZ.




    Jetzt habe ich noch ein paar Fragen:


    Warum soll man denn keine AD bzw. DC auf dem Host laufen lassen auf dem auch Hyper V läuft?


    Sollte ich den DC dann auch virtualisieren?


    Der Host dient dann nur noch als Hyper V und Sicherungsmaschine?

    • Offizieller Beitrag
    Zitat


    JonnySniper schrieb:
    Die DMZ brauche ich, da ich die anderen Server in einem anderen Netz betreiben möchte. Sie sollen geschützte sein und desshalb in einem anderen Netz liegen als der Server (IIS) in der DMZ.


    Noch schwammiger ging die Beschreibung nicht? ;) Was soll und wie sollen die denn geschützt werden? Nur durch die Trennung in verschiedene IP Segmente hat man wohl eher weniger Sicherheit, wenn dazwischen dann ein Router steht. Geht es hier um eine DMZ um Internetzugriffe nicht ins LAN zu lassen? Falls ja, wie soll das später aussehen?


    Zitat


    Jetzt habe ich noch ein paar Fragen:


    Warum soll man denn keine AD bzw. DC auf dem Host laufen lassen auf dem auch Hyper V läuft?


    Weil du einen DC nicht mit mehreren NICs betreiben willst (Stichwort Multihomed DC) und weil du im Recovery Fall genug Stress hast, als dass du dich auch noch um ein AD Recovery nebenbei kümmern willst.


    Zitat

    Sollte ich den DC dann auch virtualisieren?


    Wäre eine Möglichkeit.


    Zitat

    Der Host dient dann nur noch als Hyper V und Sicherungsmaschiene?


    Genau. Wobei Schiene? ;)


    Bye
    Norbert

    Die DMZ dient folgendermaßen, es werden von Außendienstmitarbeitern Daten über eine HTTPS Leitung an den IIS geleitet, der in seinem eigenem Netz (DMZ) liegt, es soll aber von außen keiner auf die anderen Server gelangen.


    Daten von Außen sollen einfach nicht weiter als bis zum IIS.