domain Controller'ı DMZ tutmak

Merhaba,

DMZ ağınız içinde DC makine dağıtma kararı bence çok doğru.Çünkü , DMZ ağına alarak güvenliği daha da arttırmış oluyorsunuz.Fakar DC Makineyi DMZ ağına koyarak bazı sıkıntılar geliyor.Bunun nedeni sonuçta iç ağdaki makineler DC ile kimlik doğrulama yapmak isteyecektir.Bunun için sizde DMZ makineyi internal ağla konuşturmanız gerekiyor.Fakat ,burada işin içinde kimlik doğrulama girdiği için burada güvenlik ayarları yapılmalıdır.Bunun için benim tavsiyem sadece spesifik bir makine için ( DC )  IPSec tarafında özel kurallar yazmanız olacaktır.Böylece Global Catalog üzerinde bulunan her nesnelere dışardan hackerlar giriş yapamayacaktır.Bunun için yapmanız gerekenler, (açılması gereken portlar)

• Kerberos—TCP
  88, UDP 88
• DNS—TCP
  53, UDP 53
• LDAP—TCP 389, UDP 389
• LDAP over SSL—TCP 636
• SMB
  over IP—TCP 445, UDP 445

Bu ayarları   Start | Programs | Administrative Tools | Domain Controller Security Policy.   altından yapabilirsiniz.

 ISA Server varsa da bunun içinde portları içeriye doğru yönlendirmeniz gerekiyor.

Saygılar

Çok teşekkür ederim yardımlarınız için bu işlemi yapacağım ilk başta bir sanal ortamda bunun haricinde asılnda benim düşüncem bütün serverlarımı dmz networküne almak ama burda file server tarafında biraz sıkıntılar olacağını düşünüyorum. Bu konuda daha önce bir tecrübe yaşadınızmı acaba bununla ilgili bilginizi paylaşırsanız çok sevinirim.

Merhaba,

Yine aynı şekilde internal ağındaki kullanıcıların File Server ulaşması için gerekli  portları açarsınız.Böylece sıkıntı yaşamazsınız.

Saygılar,