MS Terminalserver 2008 als Gateway in einer DMZ

04/03/2009 - 11:25 von Gernot Meyer | Report spam
Hallo zusammen,

eine Frage zum Konzept von MS Terminalserver 2008 als Gateway.
In den Konzeptpapieren wird das immer so beschrieben, dass man das TS
Gateway in das BK LAN stellt und via z.B. ISA Server veröffentlicht.
Ist es nicht sinnvoller, das Gateway in eine DMZ zu stellen? Also nicht
direkt ins BK LAN.
Wenn ja, dann ist es natürlich nötig, unbedingt AD Access zum BK AD zu
haben. Gibt's hier eine Lösung via ADAM o.à., um einem TS Gateway in einer
DMZ Zugriff auf das interne (durch den ISA Server geschütze) AD zu
ermöglichen?

Oder ist diese Lösung nicht sinnvoll/praktikabel?

Danke für Input
Gernot Meyer
 

Lesen sie die antworten

#1 Udo Gruner
05/03/2009 - 08:39 | Warnen spam
Hallo Gernot,

"Gernot Meyer" schrieb im
Newsbeitrag news:
Hallo zusammen,

eine Frage zum Konzept von MS Terminalserver 2008 als Gateway.
In den Konzeptpapieren wird das immer so beschrieben, dass man das TS
Gateway in das BK LAN stellt und via z.B. ISA Server veröffentlicht.
Ist es nicht sinnvoller, das Gateway in eine DMZ zu stellen? Also nicht
direkt ins BK LAN.
Wenn ja, dann ist es natürlich nötig, unbedingt AD Access zum BK AD zu
haben. Gibt's hier eine Lösung via ADAM o.à., um einem TS Gateway in einer
DMZ Zugriff auf das interne (durch den ISA Server geschütze) AD zu
ermöglichen?



TS Gateway benötigt das AD und damit kommt es imho nicht in Frage es in die
DMZ zu stellen.
Wenn wir uns jetzt nurmal auf die sicherheitstechnischen Fragen stürzen,
dann kann durch einen belibigen anderen Rechner in Deiner DMZ über das TS
Gateway aufs AD zugegriffen werden. Demnach sollte wenn Du auf eine DMZ
bestehst das TS Gateway das einzigste Device in dieser sein oder die IPSEC
Richtlinie festgeschnürt werden und das NAT nach innen nicht aktiviert
werden. Die Ports die Du durchreichen musst findest Du hier:
http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
http://support.microsoft.com/kb/179442

Schonmal über ein SSL VPN mit Widows 2008 Bordmitteln nachgedacht?

Viele Grüße

Udo

Ähnliche fragen