Pokaż wyniki 1 do 3 z 3

Temat: Projekt sieci

  1. #1
    Zarejestrowany
    Jul 2008
    Postów
    1

    Lightbulb Projekt sieci

    Witam

    Jestem w trakcie wykonywania projektu sieci (na zaliczenie w szkole) firmy zawierającej 50 stanowisk komputerowych Lan i Wlan,z dostepem zdalnym VPN, oraz udosteniajaca swoja strone WWW. Projekt z wykorzystaniem Windows 2003 serwer.
    Serwer WWW bedzie znajdowal sie w strefie DMZ, ograniczona 2 firewallami. uzytkownicy beda uwierzytelniani przy pomocy tokenów z certyfikatami. Serwer uwierzytelniajacy to serwer z usluga Radius na windows 2003 serwer.
    I teraz zaczynaja sie schody i bardzo prosze o pomoc:
    1- Czy serwer VPN znajdujacy sie w strefie DMZ moze byc zainstalowany na
    serwerze uwierzytelniajacym, tak aby dzialaly obie uslugi uwierzytelniania i
    dostepu zdalnego, czy to musi byc osobny serwer, ewentualnie router
    pelniacy taka role?
    2- To samo pytanie odnosi sie serwerow w wydzielonym intranecie, bedzie
    tam serwer Echange i DNS z Active Directory, czy może to byc jeden
    serwer czy 2 osobne?
    3- z uwagi na bezpieczenstwo, serwery w strefie DMZ nie beda czlonkami
    domeny, wiec czy serwer uwierzytelniajacy moze rowniez uwierzytelniac
    urzytkownikow LAN i WLAN nalezacych do domeny? Czy on bedzie
    uwierzytelnial tylko klientów VPN, a uwierzytelnianie w intranecie zajmie się
    serwer domenowy z Active Directory?

    Bardzo prosze o pomoc.
    z góry dziękuję

  2. #2
    Zarejestrowany
    Feb 2008
    Postów
    19

    Domyślnie

    Ogolnie rzecz ujmując jest tak, ze wszystkie uslugi mozesz uruchomic na jednej maszynie, ale porty na których uruchamiasz usługi nie moga sie pokrywać...

    1. Czy tego DMZ będzie bezpośrednie połączenie z netu (forward lub NAT)? Mówiąc o serverze uwierzytelniającym masz na myśli server CA z certyfikatami? Osobiście serwer CA "umieściłbym" w osobnej strefie lub intranecie. Tak, mogą być
    2. Teoretycznie TAK - usługi działają na innych portach, ale chyba z portem 135 jest coś nie tak. Praktycznie, obie usługi obciążają strasznie system i powinny być oddzielnie.
    3. Użytkownikom w intranecie tez chcesz rozdać tokeny
    Ostatnio edytowane przez yoshi37 : 07-27-2008 - 00:56

  3. #3
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    rodzi sie pytanie przede wszystkim ile możesz wykorzystać instalacji/licencji 2k3 i ile jest dostępnych maszyn na serwery w tym projekcie...
    serwer www oparty na IIS koniecznie umieścił bym w DMZ i na tej maszynie nie dokładał bym żadnych dodatkowych usług, 2x firewall - mocne ale w/g mnie zbędne - wystarczy jeden porządnie skonfigurowany... pamiętaj ze tylko zapytania z LAN do www mogą przychodzic jako nowe, z serwera www zabronić nowych połączeń do LAN.

    ad1
    Czy serwer VPN znajdujacy sie w strefie DMZ moze byc zainstalowany na
    serwerze uwierzytelniajacym
    i tu właśnie jest kwestia licencji na 2k3 i ilość maszyn, bo teoretycznie możesz postawić www, ras i ias/radius na jednej maszynie ale to nie bedzie dobre rowiązanie imo, www i ras na jednej maszynie w dmz a uwierzytelnienie juz w lan
    ad2 AD nie zainstalujesz nie mając działającego DNS-a więc tu masz sprawe jasną - exchange - jeśli już musi być też bym wyrzucił na oddzielną maszynę bo jego awaryjność z moich doświadczeń może mieć złe skutki na reszte
    ad3 AD zajmie się uwierzytelnieniem userów do domeny radius i ras do sieci, więc najpierw musisz wpuścić ruch do sieci w ogóle a potem uwierzytelniać dane pule adresowe do domeny lub jedynie kierować je na przykład do osobnego VLAN-u by dać im dostep do netu...
    jeśli nie ma wystarczającej ilości serwerów możesz iść w stronę wirtualizacji i pogodzić kilka instalacji na jednej maszynie ale musi być to mocny sprzęt bo dzieci M$ szczególnie uwielbiają RAM
    scenariuszy może być w tym wypadku co najmniej kilka, wszystko zależy od wymagań, wiedzy i czasu,
    good luck
    ***********
    * markossx *
    ***********

Podobne wątki

  1. Anonimowość w sieci
    By tosz11 in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 03-11-2008, 21:32
  2. GG - obsługa sieci
    By ShutDown in forum Komunikatory
    Odpowiedzi: 3
    Autor: 02-28-2008, 19:51
  3. Anonimowośc w Sieci
    By hubizak in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 7
    Autor: 01-06-2008, 22:09
  4. Przeciążenia sieci!!
    By northdakota in forum Off Topic
    Odpowiedzi: 9
    Autor: 11-12-2007, 15:47
  5. Javascript Library - projekt
    By pwasikiewicz in forum Java Script/Flash/Inne
    Odpowiedzi: 0
    Autor: 06-09-2007, 12:46

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj