Rumak18 Geschrieben 7. September 2007 Geschrieben 7. September 2007 Hallo. Möchte demnächst ein Netzwerk ausbauen und wollte das Konzept einfach nochmals bestätigen lassen. Es geht um diese Netzwerkinfrastruktur (Natürlich habe ich einiges weggelassen): Nun möchte ich eben die RAS Einwahl auf einer Hardware als Radius Client und Server realisieren. Meine Frage(n) nun: 1. Sollte ich das ganze nicht lieber in einer DMZ realisieren, in der noch eine zusätzliche Firewall "hinter" (Auf der Seite des internen Netzwerks) dem IAS Server vorhanden ist oder reicht die Sicherheit aus? 2. Bezogen auf die DMZ: Würde es auch Sinn machen einen "ISA" Server direkt auf dem IAS Server aufzusetzen um so eine DMZ zu kreieren (Um sich so eine Hardware zu sparen)? 3. MUSS in diesem Fall der Router die Fähigkeit der Weiterleitung an einen Radius Server besitzen (So wie es WLAN Radius Clients beispielsweise tun) oder könnte ich das ganze auch anderweitig realisieren? Z.B. indem der IAS Server auch die Radius Client Funktion auf der Internetseite mit Routing und RAS übernimmt und ich den Cisco Router stattdessen als interne Firewall für die DMZ aufstellen, so dass also letztendlich der IAS (Radius Client und Server) Server auch als ISA Server fungiert und dennoch eine DMZ vorhanden ist, da mir nur diese Hardware für diesen Zweck zur Verfügung steht. Ich freue mich auf euere Vorschläge und bedanke mich gleichzeitig. Zitieren
runningback81 Geschrieben 10. September 2007 Geschrieben 10. September 2007 Schmeiß die Pix raus und nimm nur den ISA Server als Firewall. ISA Server in die Domäne und schon brauchste auch den IAS Server nicht mehr. Ju Zitieren
Thanks-and-Goodbye Geschrieben 10. September 2007 Geschrieben 10. September 2007 @ runningback: Das heisst, du willst ein Windows-Netzwerk ohne DMZ offen ans Netz hängen? Zitieren
runningback81 Geschrieben 10. September 2007 Geschrieben 10. September 2007 Wenn du jetzt eine DMZ zwischen einer ersten und einer zweiten Firewall meinst dann Ja. Warum auch nicht?? Wenn man mit der Firewall umgehen kann, ist das kein Problem. Ju Zitieren
hades Geschrieben 10. September 2007 Geschrieben 10. September 2007 Eine Firewall ist aus Sicherheitsgruenden nie Mitglied einer Domaene. Nicht umsonst hat der ISA 2006 eine zusaetzliche LDAP-Anbindung ans AD, ohne Mitglied der Domaene zu sein. Ueber RADIUS (IAS) ist es mit dem ISA 2004 auch moeglich, User am AD zu authentifizieren. Ein Konzept mit zwei Firewalls unterschiedlicher Hersteller ist vom Ansatz her sicherer als eine Firewall. Auch wenn der ISA Server 2004/2006 als ziemlich sicher gilt. Zitieren
runningback81 Geschrieben 10. September 2007 Geschrieben 10. September 2007 stimmt zusätzlich kann man LDAP anbinden. Microsft selber sagt aber das man ISA Server in die Domäne einbinden soll/kann. vgl. msisafaq Zitieren
hades Geschrieben 10. September 2007 Geschrieben 10. September 2007 Microsft selber sagt aber das man ISA Server in die Domäne einbinden soll/kann. Ja, weil die grosse Ausnahme -der SBS- das so hat und dementsprechend unterstuetzt werden muss. Zitieren
Rumak18 Geschrieben 10. September 2007 Autor Geschrieben 10. September 2007 OK. Aber wie wäre das ganze ohne Radius zu realisieren und mit ISA sowohl als Firewall (Externe Anbindung) als auch mit RRAS Dienst zur Authentifizierung? Zitieren
hades Geschrieben 10. September 2007 Geschrieben 10. September 2007 Dann muss der ISA in der Domaene sein. Ein RRAS ohne Radius funktioniert nur innerhalb einer Domaene. Du brauchst Radius bzw. LDAP (AD) auf einem alleinstehendem ISA-Server, um auf die Domaene im internen Netz zuzugreifen. Zitieren
Rumak18 Geschrieben 10. September 2007 Autor Geschrieben 10. September 2007 Wie ist das mit LDAP zu realisieren? Bei Radius müsste ja der IAS Dienst installiert werden richtig? Zitieren
hades Geschrieben 10. September 2007 Geschrieben 10. September 2007 Radius-Server = Microsoft IAS LDAP (AD) kurz: Du musst neben einem oder mehreren LDAP-Servern auch Authentifizierungsdaten zum Zugriff aufs AD angeben. Geht nur ab ISA 2006. lang: siehe OWA mit LDAP Zitieren
Rumak18 Geschrieben 11. September 2007 Autor Geschrieben 11. September 2007 OK, aber wie wäre das mit einer DMZ zu lösen? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.