Projekt sieci

[Małgorzataaa]

Witam

Jestem w trakcie wykonywania projektu sieci (na zaliczenie w szkole) firmy zawierającej 50 stanowisk komputerowych Lan i Wlan,z dostepem zdalnym VPN, oraz udosteniajaca swoja strone WWW. Projekt z wykorzystaniem Windows 2003 serwer.
Serwer WWW bedzie znajdowal sie w strefie DMZ, ograniczona 2 firewallami. uzytkownicy beda uwierzytelniani przy pomocy tokenów z certyfikatami. Serwer uwierzytelniajacy to serwer z usluga Radius na windows 2003 serwer.
I teraz zaczynaja sie schody i bardzo prosze o pomoc:
1- Czy serwer VPN znajdujacy sie w strefie DMZ moze byc zainstalowany na
serwerze uwierzytelniajacym, tak aby dzialaly obie uslugi uwierzytelniania i
dostepu zdalnego, czy to musi byc osobny serwer, ewentualnie router
pelniacy taka role?
2- To samo pytanie odnosi sie serwerow w wydzielonym intranecie, bedzie
tam serwer Echange i DNS z Active Directory, czy może to byc jeden
serwer czy 2 osobne?
3- z uwagi na bezpieczenstwo, serwery w strefie DMZ nie beda czlonkami
domeny, wiec czy serwer uwierzytelniajacy moze rowniez uwierzytelniac
urzytkownikow LAN i WLAN nalezacych do domeny? Czy on bedzie
uwierzytelnial tylko klientów VPN, a uwierzytelnianie w intranecie zajmie się
serwer domenowy z Active Directory?

Bardzo prosze o pomoc.
z góry dziękuję

[yoshi37]

Ogolnie rzecz ujmując jest tak, ze wszystkie uslugi mozesz uruchomic na jednej maszynie, ale porty na których uruchamiasz usługi nie moga sie pokrywać...

1. Czy tego DMZ będzie bezpośrednie połączenie z netu (forward lub NAT)? Mówiąc o serverze uwierzytelniającym masz na myśli server CA z certyfikatami? Osobiście serwer CA "umieściłbym" w osobnej strefie lub intranecie. Tak, mogą być
2. Teoretycznie TAK - usługi działają na innych portach, ale chyba z portem 135 jest coś nie tak. Praktycznie, obie usługi obciążają strasznie system i powinny być oddzielnie.
3. Użytkownikom w intranecie tez chcesz rozdać tokeny

[markossx]

rodzi sie pytanie przede wszystkim ile możesz wykorzystać instalacji/licencji 2k3 i ile jest dostępnych maszyn na serwery w tym projekcie...
serwer www oparty na IIS koniecznie umieścił bym w DMZ i na tej maszynie nie dokładał bym żadnych dodatkowych usług, 2x firewall - mocne ale w/g mnie zbędne - wystarczy jeden porządnie skonfigurowany... pamiętaj ze tylko zapytania z LAN do www mogą przychodzic jako nowe, z serwera www zabronić nowych połączeń do LAN.

ad1

Czy serwer VPN znajdujacy sie w strefie DMZ moze byc zainstalowany na
serwerze uwierzytelniajacym

i tu właśnie jest kwestia licencji na 2k3 i ilość maszyn, bo teoretycznie możesz postawić www, ras i ias/radius na jednej maszynie ale to nie bedzie dobre rowiązanie imo, www i ras na jednej maszynie w dmz a uwierzytelnienie juz w lan
ad2 AD nie zainstalujesz nie mając działającego DNS-a więc tu masz sprawe jasną - exchange - jeśli już musi być też bym wyrzucił na oddzielną maszynę bo jego awaryjność z moich doświadczeń może mieć złe skutki na reszte
ad3 AD zajmie się uwierzytelnieniem userów do domeny radius i ras do sieci, więc najpierw musisz wpuścić ruch do sieci w ogóle a potem uwierzytelniać dane pule adresowe do domeny lub jedynie kierować je na przykład do osobnego VLAN-u by dać im dostep do netu...
jeśli nie ma wystarczającej ilości serwerów możesz iść w stronę wirtualizacji i pogodzić kilka instalacji na jednej maszynie ale musi być to mocny sprzęt bo dzieci M$ szczególnie uwielbiają RAM
scenariuszy może być w tym wypadku co najmniej kilka, wszystko zależy od wymagań, wiedzy i czasu,
good luck