dmz サーバーから (NFS を使用して) ファイルをエクスポートしたいと考えています。showmount コマンドの出力は、同じサーバー上で問題ありません。しかし、ネットワークに接続されている他のサーバーでエラーが発生します。

エラーは「

clnt_create: RPC: 不明なホスト

" 注: dmz サーバーへの ssh 接続を行うことができます。

クライアント 2 の TCP ポート 8080 を介して DMZ から LAN に接続したいと考えています。

の

iptables -t nat -A PREROUTING -p tcp -i eth0.1 -s DMZ_IP --dport 80 -j DNAT --to LAN_IP:8080 iptables -A FORWARD -p tcp -d LAN_IP --dport 8080 -j ACCEPT

アウト

iptables -A FORWARD -p tcp -i br-lan -s LAN_IP -o eth0.1 -d DMZ_IP -j ACCEPT

最初の 2 つのルールは、DMZ サーバー S1 からの要求が LAN クライアント C2 に到達することを示しています。これはうまくいくようです。ここで、C2 は応答を S1 に送り返す必要があります。これはうまくいかないようです。

iptablesでこれを実現するにはどうすればよいですか?

外部の顧客に対して sftp を行うアプリケーションがあります。現在、これは、ファイルの sftp で使用される sftp の実際の宛先/ユーザー ID パスワードを実際にルックアップする DMZ プロキシとして機能する IBM Datapower を経由します。datapower ボックスは DMZ 上にあります。現在、sftp を IBM Connect Direct に置き換えています。Datapower には、直接接続するための FSH がないようです。これをデータパワーで機能させる方法について何か考えはありますか?

Active Directory に対してユーザー資格情報を検証する方法があります。この方法を SSL で使用したいのですが、うまくいきません。

主な問題は、サーバーがネットワークの外部にあることです (DMZ と呼ばれますか?)。そこからアクティブ ディレクトリに接続したいので、SSL を使用したいと考えています。

(DMZ からではなく) ローカル コンピューターでこれを使用すると、次のエラーが発生します。

System.DirectoryServices.AccountManagement.PrincipalServerDownException: サーバーに接続できませんでした。---> System.DirectoryServices.Protocols.LdapException: LDAP サーバーを利用できません。
System.DirectoryServices.Protocols.LdapConnection.Connect()
で System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper (DirectoryRequest 要求、Int32& messageID)
で System.DirectoryServices.Protocols.LdapConnection.SendRequest (DirectoryRequest 要求、TimeSpan requestTimeout)
で System.DirectoryServices .Protocols.LdapConnection.SendRequest(DirectoryRequest 要求)
で System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig (文字列 serverName、ServerProperties& プロパティ)

--- 内部例外スタック トレースの終わり ---
System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig(String serverName, ServerProperties& properties)
で System.DirectoryServices.AccountManagement.PrincipalContext.DoServerVerifyAndPropRetrieval()
で System.DirectoryServices.AccountManagement.PrincipalContext で。 .ctor(ContextType contextType, String name, String container, ContextOptions options, String userName, String password)
System.DirectoryServices.AccountManagement.PrincipalContext..ctor(ContextType contextType, String name, String container, ContextOptions options)
at Authorization.AuthorizeAD. ValidateCredentials(文字列のユーザー名、文字列のパスワード)

サーバーから試す前に、ローカルからSSLで動作させるのが良いと思いました。

私の方法：

前に述べたように、それがなくContextOptions.SecureSocketLayerても正常に動作します (パラメーターが null の場合、他の 3 つはデフォルトで動作します)。

PrincipalContextSSLで正しい使用方法を知っている人はいますか?

ユーザーが AD グループのメンバーであるかどうかを確認する方法があります。自分の AD アカウントを資格情報として使用してみましたが、ユーザープリンシパルに関する情報 (電子メールなど) を取得しました。しかし、ユーザープリンシパルグループにアクセスすると、次のエラーメッセージが表示されます。

例外:
メッセージ: サーバーが動作していません。
ソース: System.DirectoryServices.AccountManagement
ターゲット サイト: System.DirectoryServices.AccountManagement.ResultSet GetGroupsMemberOf(System.DirectoryServices.AccountManagement.Principal)

STACKTRACE:
System.DirectoryServices.AccountManagement.ADStoreCtx.GetGroupsMemberOf(プリンシパル p)
で Authorization.AuthorizeAD.IsMemberOfGroup(文字列ユーザー)
で PVM.Controllers.SecurityController.IsMemberOfGroup(文字列ユーザー)

InnerException: System.Runtime.InteropServices.COMException (0x8007203A): サーバーが動作していません。

System.DirectoryServices.PropertyValueCollection.PopulateList()
で System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
で System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
で System.DirectoryServices.AccountManagement.ADStoreCtx.LoadDomainInfo() で
System.DirectoryServices.AccountManagement.ADStoreCtx.get_DnsForestName()
で System.DirectoryServices.AccountManagement.ADStoreCtx.GetGroupsMemberOf (プリンシパル p) で

コード：

パーミッションの問題ではないかと思いましたが、サーバーからldp.exeを使用すると、Active Directoryのクエリに問題はありませんでした。

すべてがローカルで正常に動作します。IIS AppPool ログインなどを変更しようとしましたが、結局、資格情報を PrincipalContext オブジェクトと共に送信することになりました。

ここで何が欠けているのか、誰にも分かりますか？

私はワークフローステークに不慣れで、ネットワーキングについて十分な知識がありません。DMZにないSQLサーバーインスタンスに接続するDMZにアプリケーションサーバーがあるかどうか教えてください.SQLサーバーまたはSQLサーバーインスタンスに接続する場合に違いはありますか. SQL Server に接続できますが、インスタンスを試してみると、インスタンスが見つかりません。つまり、sqlservername には接続できますが、sqlservername\instanename には接続できません。SQL Server インスタンスが見つからないというエラーが表示されます。インスタンスは、リモート接続を許可するようにセットアップされています。私の質問が理にかなっていることを願っています。よろしく

次のシナリオで、Web アプリケーション (IIS7 上の Asp.net) の構成に取り組んでいます。

1) DMZ サーバーは、DMZ 環境外でホストされている内部 Web サーバーにすべての要求をリダイレクトするルーティング サーバーとして機能します。代替案がない場合、これは実行可能なオプションですか?

2) 内部 Web サーバーがデータベースに接続し、応答を DMZ サーバーに送信します。

3) Web アプリケーションにアクセスする人は、DMZ サーバーを経由せずに、内部 Web サーバーへの直接 URL を介してアクセスします。

上記のシナリオは実行可能ですか?

DMZ サーバーが通常のサーバーとしてのみ機能するように上記の項目 1 を実装するにはどうすればよいですか? 次の URL に記載されているように、リバース プロキシを実装する必要がありますか

? http://www.iis.net/learn/extensions/url-rewrite- module/reverse-proxy-with-url-rewrite-v2-and-application-request-routing

Web アプリケーションを上記のセットアップにデプロイする際に考慮する必要があること。レポートを実行するために、Crystal レポート ランタイムもインストールされます。DMZ環境は初めてなので、ご容赦ください。ご協力いただきありがとうございます。

これが重複している場合はご容赦ください。答えが見つかりませんでした。

次のネットワーク設定があります

Internal | DMZ | Internet

セキュリティの標準だと思います。

次に、ビジネス ロジックと永続性の両方を持つ内部 WCFサービスを用意します。

データは理想的には DMZ でホストされるべきではないため、最善の解決策は、同じサービスの「ダム」シェルを DMZ に展開し、インターネットとの通信に必要なパラメーターを渡すことだと思います。

次のようになると思います。

Internal | DMZ | Internet WCF_Full <---> | <-- WCF_Thin --> | <----> (Third party)

1. 最善のアプローチは何ですか？

私の解決策は

• WCF_Thinを指すWCF_Fullにサービス参照があります。
• どちらも同一のインターフェイスを使用し、WCF_Thinはメッセージをインターネットに渡すだけです

WCF_Thinを機能させるには、より多くのデータ (構成 + ビジネス メッセージ)をネットワーク経由で渡さなければならないという課題がありました。

2. それは価値のあるトレードオフですか、それとも間違っていますか?

マイクロサービス アーキテクチャ (jhipster) にスプリング ブート アプリケーションをデプロイした後に問題が発生しました。アーキテクチャのプレゼンテーション:

• 保護されたゾーン (ユーザーは Web ブラウザーから使用できません): AdminApp、ServerApp
• DMZ (ユーザーが利用可能): UserApp

AdminApp と UserApp には websocket 実装 (spring-boot-starter-websocket) があります。ServerApp は、イベントを AdminApp/UserApp に送信します。FeignClient ServerApp を使用して、WebSocket イベントをフロントエンドに送信する AdminApp/UserApp から SocketController を呼び出します。

ローカルホストでは正常に動作します。アプリケーションが DMZ なしで 2 つの異なるサーバーにデプロイされている場合も正常に動作します。問題は DMZ で発生します。ServerApp が AdminApp (同じサーバー) にイベントを送信すると動作しますが、ServerApp が UserApp (DMZ を使用する別のサーバー) にイベントを送信すると、エラーが発生します: POST http://UserApp/api/websocket の実行を拒否した接続