Serveur d'acces RDS WEB en DMZ
Serveur d'acces RDS WEB en DMZ - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 11-08-2017 à 11:39:36
Salut!
Personnellement j'ai fais mon serveur RDS sans le joindre au domaine, si les users ont besoin d'accéder à des ressources AD, ils ont juste à se connecter.
Marsh Posté le 11-08-2017 à 12:11:48
Intégrer au domaine un serveur en DMZ ça nullifie l'intérêt d'une DMZ, idem pour y coller un contrôleur ou un domaine enfant.
Jusqu'ici j'ai toujours fait ça avec un simple NAT vers le serveur RDS Gateway
---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Marsh Posté le 11-08-2017 à 15:47:54
| CK Ze CaRiBoO a écrit : Intégrer au domaine un serveur en DMZ ça nullifie l'intérêt d'une DMZ, idem pour y coller un contrôleur ou un domaine enfant. |
Tout à fait d'accord avec le fait de ne pas exposer l AD sur le net ... actuellement cela fonctionne avec du NAT mais je trouve pas trop sécure d'ouvrir une porte directe sur mon réseau interne d’où la recherche d'une solution annexe.
je vais tenter l'approche par le Web Application Proxy + services AD FS
en tout cas merci de vos retours
Marsh Posté le 11-08-2017 à 15:58:58
Voilà la doc officielle pour les meilleures pratiques (c'est pour du 2016 ceci dit)
https://docs.microsoft.com/en-us/wi [...] rds-poster
Sur le poster, ils parlent bien de la présence d'un pare-feu entre les serveurs RD Gateway/RD Web Access et le reste de l'infra mais pourtant tous les serveurs sont joints à l'AD.
Donc ma compréhension est qu'il faut faire une config firewall stricte sur les RD WEB et GATEWAY. Cette conf doit être détaillée dans la doc.
---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Sujets relatifs:
- SERVEUR suppression session
- serveur VPS pour TPE
- Bitlocker sur VM serveur de fichiers Windows
- QNAP - Choix: ISCSI ou serveur de fichier
- Configuration LAN et DMZ sur la même machine physique
- logiciel de gestion serveur gaming
- Windows 2012 serveur DHCP ne fonctionne pas
- Gestion des Identités et des Accès (IAM) produit
- Client Windows VPN et serveur VPN
Marsh Posté le 10-08-2017 à 17:08:29
Bonjour,
Je suis actuellement en train de mettre en place une DMZ sur notre infrastructure.
Je souhaite mettre en place un accès RDPWEB sur un serveur dans cette DMZ.
(Nous avons déjà un serveur RDSWeb en place mais juste avec une règle de NAT sur notre routeur principal)
à force de glaner des informations sur le net je me pose maintenant la question de savoir quelle est la façon la plus sécure et la plus flexible pour cette mise en place :
- serveur de la dmz intégré au domaine ? le plus simple mais franchement je n'ai pas envie de mettre un serveur du domaine en DMZ
- mettre un serveur AD en read-only ? toujours le même problème de mon domaine sur la DMZ
- monter un domaine enfant avec une relation d'approbation avec mon domaine principal ? plus sécuritaire mais la conf du serveur RDS ne sera t'elle pas plus compliquée ?
- ou simplement monter un reverse proxy pour de la redirection d'Url vers mon serveur déjà existant ?
n'ayant pas suffisamment de recul je n'arrive pas à voir quelle solution est la plus fiable et efficace et souhaiterai donc avoir différents retour si des personnes ont déjà éprouvé ces solutions.
Pour info je m'oriente vers une DMZ ouvert sur une deuxième ip publique : web -- routeur / FW -- DMZ -- routeur / FW -- Lan
merci d'avance pour vos retours