Am Fre, 2002-04-26 um 07.30 schrieb Konrad Neitzel:
Peter Kuechler
schrieb: Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Beileid :( ... Leider kann ich Dir zu Active Directory nichts gross sagen. Tut mir leid.
Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die:
1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?)
Nein. Sie wollen den inneren der beiden Firewallrechner auf Windows umstellen.
2) Die Firewall / Router zum Netz soll auf Windows liegen?
Nein, vom internen Netz in die DMZ.
Zu beiden Dingen muss ich sagen: Ich bin ratlos.
Ich auch.
a) Ich würde NIE Windows als Firewall für ein Netzwerk nehmen.
Ich auch nicht.
Begründung: [Deiner Gründe] (Und ich wüsste noch zusätzlich ein paar mehr;-) )
Hier ein kurzer Auszug aus dem Papier: ---------------------------------------------------------------------- An die innere Firewall, die den Abschluss des LAN an die DMZ darstellt, werden höhere Anforderungen gestellt als an die äussere. Neben Funktionen Portfilter, NAT und ggf. Applikationsfirewall kommen zusätzlich die Dienste Proxy und Zugriffsadministration hinzu. Wärend der Dienst Proxy unkritisch ist, erfordert die Zugriffsadministration sorgfältige Überlegungen: Die Benutzer melden sich einheitlich im Active-Directory an. Dieses verwaltet zentral die im Netz bereitgestellten Resourcen. Unter 2 ist das Ziel beschrieben, eine möglichts einheitliche Administration zu erhalten, die von jedem im Team durchgeführt werden kann. Ausßerdem ist ein Ziel, dass der Internetzugriff benutzerbezogen und nicht IP.bezogen ist. Es zwei, vieleicht drei Wege, das Ziel zu erreichen: 1. man verwendet als innere Firewall eine Linuxfirewall, die über geignete Software verfügt, die Berechtigungen aus dem Active Directory zu ziehen. 2. Man verwendet als innere Firewall eine Linuxfirewall, die lediglich einfachste Dienste und Ports filtert, wie die äussere Linuxfirewall und setzt einen eigenen ISA-Server auf, der die genannten Anforderungen erfüllt. 3. Man verzichtet auf dei zusätzliche Firewall und verwendet für die innere Firewall den ISA-Server. ---------------------------------------------------------------------- Frage: Lässt sich Weg 1 realisieren? Was braucht man dazu? Macht das sinn? Was gibt es eurer Meinung nach zu Punkt 2 und 3 zu sagen Bin für jede moralische und technische Unterstützung dankbar!! Wenn ihr der Meinung seit, ich soll die Jungs lieber laufen lassen, dann widme ich mich eben dem schnitzen von Zahnstochern oder so.... -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main