Warum kein AD in der DMZ?
Hallo Ihr,
ich habe jetzt oft gelesen, dass die "berühmte" Benutzerverwaltung, aus dem Hause Microsoft "Active Directory", nicht in einer DMZ verwendet wird bzw. werden soll.
Warum ist das so?
Klar, es ist logisch, dass z.B. ein Standard-User nichts auf einem Server, der sich in der DMZ befindet, zu suchen hat. Aber z.B. Admins, wie z.B. ein Serveradmin oder Domänenadmin sollten ja zugreifen können. Die Frage ist schwierig zu formulieren, ich hoffe ihr wisst, was ich meine..
Über Antworten würde ich mich freuen, danke.
2 Antworten
Das AD ist die Benutzer und Computerdatenbank der gesamten Domäne und des gesamten Forest. Damit ein Server in der DMZ Mitglied einer Domäne werden kann, müsste sich entweder ein DomänenController in der DMZ befinden oder es müssten in der Firewall zahlreiche Ports geöffnet werden. Beides ist normalerweise nicht gewünscht.
Entweder man macht in der DMZ ein eigenes AD oder man hat in der DMZ nur Stand-Alone Server, die keiner Domäne angehören. Ein Administrator, braucht dann einen separaten Benutzeraccount und muss sich separat mit Benutzername/Passwort authentifizieren, wenn auf auf Ressourcen in der DMZ zugreifen möchte.
Sicherheitskritische Anwendungen haben in einer DMZ nicht zu suchen. Diese Zone ist geschaffen, um einen geregelten und kontrollierten Zugriff aus dem Internet auf interne Ressourcen (und in die Gegenrichtung) möglich zu machen. In einem AD sind nicht nur die gesammelten internen User enthalten sondern auch Rollen und Rechtestrukturen. Aus einem AD kann man seeehr viel über das Unternehmen ablesen. Es ist also eine kritische Anwendung, die besonders geschützt werden muss. Das ist nur im internen Netz möglich.