[KristianE]

Var kommer "1 st Netgear FVS318G brandvägg/router med DMZ möjlighet på port #8" in i allt?

Antar att du slänger den på tippen eftersom du ska köra pfSense?

[MickePersson]

KristianE: Well, det är bara att den FINNS bland mina grejor som jag har. Tog mest upp den ifall någon här tyckte man skulle ha något i stil med t.ex Internet -> Pfsense -> Switch (med ett antal servrar med publika ip-adresser) -> FVS318G -> ett antal servrar med privata ip-adresser. Dvs för att skydda privata delen från den publika även om den också är skyddad för sig själv. Och möjligtvis även för att VPN:a in till för att därifrån arbeta med fjärrskrivbord för administration av servrarna.

[KristianE]

Det är såklart aldrig fel att fysiskt separera publika (DMZ) och privata (LAN) nät. Även om man kan få samma funktion med VLAN så är det såklart väldigt enkelt att dra igång en extra brandvägg.

Har du redan den på hyllan och du vet att den funkar bra - varför inte. Den kostar inte många tior i ström.

[lazat]

Ska du inte fixa en backup och UPS till servrarna?

Man slipper många problem där när olyckan är framme..

[MickePersson]

Jo en UPS finns redan också, och backuplösning med för den delen Jag såg dock det som lite irrelevant i sammanhanget och därför nämnde jag inget om det - jag var mest nyfiken på hur folk här hade byggt o figgat ett system med de grejor jag tog upp som var själva grunden.

Kan dock nämna att jag till slut valde att köra DC på namnservrarna, efter massor av läsning på nätet kom jag fram till att det faktiskt ska vara säkrare än att köra rena DNS:er eftersom AD:t handskakar alla zonöverföringar med domänanslutna maskiner och att överföringarna sker krypterat. Säkrar man bara upp så domänanslutningar bara kan ske innanför huvudbrandväggen ska det vara lugnt. Och då kör jag ns2 som RODC (Read-Only; AD:ts version av sekundär zon).

Utöver det har jag kommit fram till att HyperV-värdarna får ha två virtuella nätverk figgade; ett på vardera NIC (ett för publika IP-adresser och ett för privata). Då kan jag ha t.ex. (virtuella) sql-servrar på privata IP och (virtuella) servrar som behöver åtkomst till dessa, t.ex. web-server, får två virtuella nätverkskort där det privata dock inte har någon gateway figgad, men genom att då vara på samma subnet kan accessa sql-server via privata adresser (som då går genom fvs318g routern där jag säkrar upp trafiken ytterligare).

Någon som har några kommentarer på det, vad nackdelar och risker kan vara med detta i förhållande till andra möjliga lösningar?

[Westman]

Citat:

Ursprungligen postat av MickePersson

Jo en UPS finns redan också, och backuplösning med för den delen Jag såg dock det som lite irrelevant i sammanhanget och därför nämnde jag inget om det - jag var mest nyfiken på hur folk här hade byggt o figgat ett system med de grejor jag tog upp som var själva grunden.

Kan dock nämna att jag till slut valde att köra DC på namnservrarna, efter massor av läsning på nätet kom jag fram till att det faktiskt ska vara säkrare än att köra rena DNS:er eftersom AD:t handskakar alla zonöverföringar med domänanslutna maskiner och att överföringarna sker krypterat. Säkrar man bara upp så domänanslutningar bara kan ske innanför huvudbrandväggen ska det vara lugnt. Och då kör jag ns2 som RODC (Read-Only; AD:ts version av sekundär zon).

Utöver det har jag kommit fram till att HyperV-värdarna får ha två virtuella nätverk figgade; ett på vardera NIC (ett för publika IP-adresser och ett för privata). Då kan jag ha t.ex. (virtuella) sql-servrar på privata IP och (virtuella) servrar som behöver åtkomst till dessa, t.ex. web-server, får två virtuella nätverkskort där det privata dock inte har någon gateway figgad, men genom att då vara på samma subnet kan accessa sql-server via privata adresser (som då går genom fvs318g routern där jag säkrar upp trafiken ytterligare).

Någon som har några kommentarer på det, vad nackdelar och risker kan vara med detta i förhållande till andra möjliga lösningar?

Ska du köra hyper-v som kluster eller var för sig? Annars så är det bra att ha interna "nätet" på egna kort och helst i en egen switch. Kanske lite overkill i en relativt liten miljö men det kan vara värt det.

Du har inte funderat på att göra webbservrarna redundanta med hjälp av Microsofts ARR?

EDIT: Såg att du ska köra RODC på ns2, kommer den att vara den du exponerar mot internet (dns) och att ns1 endast är åtkomlig internt?

[ah-berg]

Låter vettigt att ha två separata nät ett publikt och helt lokalt utan routing .
Då måste du ha intern smtp,NTP och och patchserver alternativt kanske möjlighet att aktivera gateway(internet) vid behov.
Glöm inte att windows 2008 kommer snacka en hel del lokalt ipv6 mellan sig. Vill du skulle du kanske klara dig på ipv6 på det lokala nätet.

[MickePersson]

Citat:

Ursprungligen postat av Westman

Ska du köra hyper-v som kluster eller var för sig? Annars så är det bra att ha interna "nätet" på egna kort och helst i en egen switch. Kanske lite overkill i en relativt liten miljö men det kan vara värt det.

Inledningsvis var för sig då det inte finns något SAN ännu att ha VHD-filerna på centralt för båda att komma åt och ha failover ens med varandra (helst skulle det väl behövas ytterligare åtminstone en fysisk burk ytterligare för ett kluster också) så VHD-filerna ligger "lokalt" på speglade diskar på varje hyper-v värd.

Citat:

Ursprungligen postat av Westman

Du har inte funderat på att göra webbservrarna redundanta med hjälp av Microsofts ARR?

Det är faktiskt en punkt jag ännu inte löst eller rättare sagt ägnat tid åt att lösa, men tankarna har funnits där. Måste dock erkänna att jag inte hört talas om ARR så det får jag tacka för tipset om och kolla upp lite närmare

Citat:

Ursprungligen postat av Westman

EDIT: Såg att du ska köra RODC på ns2, kommer den att vara den du exponerar mot internet (dns) och att ns1 endast är åtkomlig internt?

Det var ju smart tänkt och vore naturligtvis optimalt, men inledningsvis blir båda exponerade mot Internet där ns2 mest är en första backup som kan svara om ns1 går ner tillfälligt. Men jag tänkte så småningom ha en virtuell server (privat adress) för övervakningsmjukvara och liknande interna funktioner på. Den kan jag ju då även installera DC och DNS på och ha som enda redigerbara så kan både ns1 och ns2 bli RODC som exponerade publikt så säkrar man upp det ytterligare lite

[MickePersson]

Citat:

Ursprungligen postat av ah-berg

Låter vettigt att ha två separata nät ett publikt och helt lokalt utan routing . Då måste du ha intern smtp,NTP och och patchserver alternativt kanske möjlighet att aktivera gateway(internet) vid behov.

Japp, det är det jag tänkt ha den extra icke tidigare nämnda interna servern till, som jag skrev om i föregående inlägg som kan bli den redigerbara DNS/DC:n. Och precis som du nämner så är det redan genomfört att lätt kunna aktivera gateway vid behov genom att bara ange den (!)

Citat:

Ursprungligen postat av ah-berg

Glöm inte att windows 2008 kommer snacka en hel del lokalt ipv6 mellan sig. Vill du skulle du kanske klara dig på ipv6 på det lokala nätet.

Ahhh... DET var ju något riktigt smart som jag absolut inte ens har tänkt på ö.h.t.! Det får jag nog fundera lite på och köra tester med! :-)

[KristianE]

Men asså. Ska du fortfarande köra båda DNS:erna på samma ställe? Eller missade jag nåt?