Forum

domain Controller'ı...
 
Bildirimler
Hepsini Temizle

domain Controller'ı DMZ tutmak

4 Yazılar
2 Üyeler
0 Reactions
1,431 Görüntüleme
(@CenkBALCI)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Herkese selamlar benim bir sorum olacaktı .

Ben networkumde güvenliği sağlamak için DMZ network'u ve Serverlar içinde ayrı bir DMZ network'ü düşünüyorum. Bu şekilde yapılacak bir işlemde DMZ'e AD konumlandırmak ne gibi sorunlar getirir böyle bir yapıyı kuran arkadaşlar var ise onlardan yaşadıkları tecrübeleri anlatmalarını rica edeceğim. 

 

Teşekkürler.

 

 
Gönderildi : 15/04/2009 19:41

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

DMZ ağınız içinde DC makine dağıtma kararı bence çok doğru.Çünkü , DMZ ağına alarak güvenliği daha da arttırmış oluyorsunuz.Fakar DC Makineyi DMZ ağına koyarak bazı sıkıntılar geliyor.Bunun nedeni sonuçta iç ağdaki makineler DC ile kimlik doğrulama yapmak isteyecektir.Bunun için sizde DMZ makineyi internal ağla konuşturmanız gerekiyor.Fakat ,burada işin içinde kimlik doğrulama girdiği için burada güvenlik ayarları yapılmalıdır.Bunun için benim tavsiyem sadece spesifik bir makine için ( DC )  IPSec tarafında özel kurallar yazmanız olacaktır.Böylece Global Catalog üzerinde bulunan her nesnelere dışardan hackerlar giriş yapamayacaktır.Bunun için yapmanız gerekenler, (açılması gereken portlar)

  • Kerberos—TCP
    88, UDP 88
  • DNS—TCP
    53, UDP 53
  • LDAP—TCP 389, UDP 389
  • LDAP over SSL—TCP 636
  • SMB
    over IP—TCP 445, UDP 445

Bu ayarları   Start | Programs | Administrative Tools | Domain Controller Security Policy.   altından yapabilirsiniz.

 ISA Server varsa da bunun içinde portları içeriye doğru yönlendirmeniz gerekiyor.

Saygılar

 

 
Gönderildi : 16/04/2009 11:55

(@CenkBALCI)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Çok teşekkür ederim yardımlarınız için bu işlemi yapacağım ilk başta bir sanal ortamda bunun haricinde asılnda benim düşüncem bütün serverlarımı dmz networküne almak ama burda file server tarafında biraz sıkıntılar olacağını düşünüyorum. Bu konuda daha önce bir tecrübe yaşadınızmı acaba bununla ilgili bilginizi paylaşırsanız çok sevinirim.

 
Gönderildi : 16/04/2009 16:40

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

Yine aynı şekilde internal ağındaki kullanıcıların File Server ulaşması için gerekli  portları açarsınız.Böylece sıkıntı yaşamazsınız.

Saygılar,

 
Gönderildi : 17/04/2009 10:58

Paylaş: