duda arquitectura de red

04/03/2010 - 12:23 por inyakigil | Informe spam
hola compañeros
tengo una pequeña duda de diseño de un directorio activo
la cosa es que tenemos un cortafuegos adquirido ahora, por lo que
tengo en mente securizar la red ya existente, mi idea era separar
físicamente las estaciones de trabajo y los servidores en dos redes
distintas,
una para las estaciones de trabajo y otra para el servidor de
directorio activo
todo ello enrutado y conectado mediante el cortafuegos, en dos
interfaces distintas
la idea es cambiar el direccionamiento ip a las estaciones de trabajo
y ponerles en otra
subred, ejemplo:
estaciones de trabajo: 192.168.1.x
servidor : 192.168.2.x
luego añadiriamos reglas de firewall entre la red del servidor a la
red de las estaciones de trabajo y viceversa, para consultas dns,
ldap, cifs
claro, entiendo que para cada subred, en directorio activo tiene que
existir un sitio en (sitios y servicios) y para cada sitio un dc
mi pregunta es si es posible dividir la red y securizar mi servidor
serparándolo de las estaciones de trabajo con un servidor
únicamente????
se podría dejar todas las máquinas en un sitio aunque sean redes
distintas???
muchas gracias

Preguntas similare

Leer las respuestas

#1 Marcos Paione
04/03/2010 - 18:43 | Informe spam
En mi opinion yo no colocaría un DC detras de un firewall o habilitaría el
firewall en un DC a no ser que trabajes con 2008 en el cual el asistente de
instalación de roles modifica las reglas del firewall de 2008 para permitir
full funcionalidad.

Algunos vinculos sobre puertos para AD y otras yerbas..

http://technet.microsoft.com/en-us/...27063.aspx

http://technet.microsoft.com/en-us/...y/dd772723(WS.10).aspx


Saludos
Marcos Paione
MCSA,MCSE,MCDBA,MCITP,CCNA


"inyakigil" wrote in message
news:
hola compañeros
tengo una pequeña duda de diseño de un directorio activo
la cosa es que tenemos un cortafuegos adquirido ahora, por lo que
tengo en mente securizar la red ya existente, mi idea era separar
físicamente las estaciones de trabajo y los servidores en dos redes
distintas,
una para las estaciones de trabajo y otra para el servidor de
directorio activo
todo ello enrutado y conectado mediante el cortafuegos, en dos
interfaces distintas
la idea es cambiar el direccionamiento ip a las estaciones de trabajo
y ponerles en otra
subred, ejemplo:
estaciones de trabajo: 192.168.1.x
servidor : 192.168.2.x
luego añadiriamos reglas de firewall entre la red del servidor a la
red de las estaciones de trabajo y viceversa, para consultas dns,
ldap, cifs
claro, entiendo que para cada subred, en directorio activo tiene que
existir un sitio en (sitios y servicios) y para cada sitio un dc
mi pregunta es si es posible dividir la red y securizar mi servidor
serparándolo de las estaciones de trabajo con un servidor
únicamente????
se podría dejar todas las máquinas en un sitio aunque sean redes
distintas???
muchas gracias
Respuesta Responder a este mensaje
#2 Guillermo Delprato [MS-MVP]
04/03/2010 - 20:13 | Informe spam
Salvo casos muy muy particulares no es conveniente separar los clientes de
los DCs con cortafuegos. Tendrás que abrir tantos puertos que no vale la
pena. Piensa solamente que tienes que abrir RPC que usa puertos en forma
aleatoria.
Y si fijas el puerto de RPC se te cae la seguridad por otro lado.

Más que en cortafuegos yo invertiría en tener más de un DC ;-)

Hay que crear sitios en AD para las redes que tienen DC. Si no hay DC no
conviene crear Sitios para dichas redes.



Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________



"inyakigil" wrote in message
news:
hola compañeros
tengo una pequeña duda de diseño de un directorio activo
la cosa es que tenemos un cortafuegos adquirido ahora, por lo que
tengo en mente securizar la red ya existente, mi idea era separar
físicamente las estaciones de trabajo y los servidores en dos redes
distintas,
una para las estaciones de trabajo y otra para el servidor de
directorio activo
todo ello enrutado y conectado mediante el cortafuegos, en dos
interfaces distintas
la idea es cambiar el direccionamiento ip a las estaciones de trabajo
y ponerles en otra
subred, ejemplo:
estaciones de trabajo: 192.168.1.x
servidor : 192.168.2.x
luego añadiriamos reglas de firewall entre la red del servidor a la
red de las estaciones de trabajo y viceversa, para consultas dns,
ldap, cifs
claro, entiendo que para cada subred, en directorio activo tiene que
existir un sitio en (sitios y servicios) y para cada sitio un dc
mi pregunta es si es posible dividir la red y securizar mi servidor
serparándolo de las estaciones de trabajo con un servidor
únicamente????
se podría dejar todas las máquinas en un sitio aunque sean redes
distintas???
muchas gracias




__________ Information from ESET NOD32 Antivirus, version of virus signature database 4916 (20100304) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com
Respuesta Responder a este mensaje
#3 inyakigil
05/03/2010 - 10:20 | Informe spam
On 4 mar, 20:13, "Guillermo Delprato [MS-MVP]"
wrote:
Salvo casos muy muy particulares no es conveniente separar los clientes de
los DCs con cortafuegos. Tendr s que abrir tantos puertos que no vale la
pena. Piensa solamente que tienes que abrir RPC que usa puertos en forma
aleatoria.
Y si fijas el puerto de RPC se te cae la seguridad por otro lado.

M s que en cortafuegos yo invertir a en tener m s de un DC ;-)

Hay que crear sitios en AD para las redes que tienen DC. Si no hay DC no
conviene crear Sitios para dichas redes.


Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentinahttp://w2k8-server.spaces.live.com

Este mensaje se proporciona "como est " sin garant as de ninguna clase, ni
otorga ning n derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________

"inyakigil" wrote in message

news:



> hola compa eros
> tengo una peque a duda de dise o de un directorio activo
> la cosa es que tenemos un cortafuegos adquirido ahora, por lo que
> tengo en mente securizar la red ya existente, mi idea era separar
> f sicamente las estaciones de trabajo y los servidores en dos redes
> distintas,
> una para las estaciones de trabajo y otra para el servidor de
> directorio activo
> todo ello enrutado y conectado mediante el cortafuegos, en dos
> interfaces distintas
> la idea es cambiar el direccionamiento ip a las estaciones de trabajo
> y ponerles en otra
> subred, ejemplo:
> estaciones de trabajo: 192.168.1.x
> servidor : 192.168.2.x
> luego a adiriamos reglas de firewall entre la red del servidor a la
> red de las estaciones de trabajo y viceversa, para consultas dns,
> ldap, cifs
> claro, entiendo que para cada subred, en directorio activo tiene que
> existir un sitio en (sitios y servicios) y para cada sitio un dc
> mi pregunta es si es posible dividir la red y securizar mi servidor
> serpar ndolo de las estaciones de trabajo con un servidor
> nicamente????
> se podr a dejar todas las m quinas en un sitio aunque sean redes
> distintas???
> muchas gracias

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4916 (20100304) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com



gracias por ambas respuestas
tenia en cuenta que entre la red de "estaciones de trabajo" y la red
"servidores" tenia que permitir mucho tráfico, pero también
tengo en cuenta que las reglas de firewall hace internet y desde
internet serán completamente distintas en ambas redes, securizando
al máximo y haciendo que el tráfico entre ambas redes sea
"inspeccionado".
lo tendré muy en cuenta, por cierto, yo también invertiria en otro dc,
muchas graciassss
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida