DMZ - demilitarized zone - best practice webserver и SQL Server

@Alexey · Регистрация: 27.03.2012

Студворк — интернет-сервис помощи студентам

Что-то не могу найти ничего путнего на тему каким образом лучше всего настроить работу вебсервера (Win) и SQL Server в DMZ. Если у кого есть ссылочки, киньте плиз сюда

03.11.2009, 10:12

http://www.nsa.gov/snac/win2k/index.html
Там типа есть ...
Была еше какая-то книга 'Разработка защищенных веб - приложений на платформе MS Windows 2000' авторы - Ховард М./Леви М.
Правда не понял что такое '... best practice ..'
Вообщем то в таком вопросе вроде как стандартные решения есть.
Два брандмауэра с соответсвующими фильтрами на концах.
Между IIS и SQL серваками разрешаешь свободное общение DCOM.

Надеюсь хоть как-то помог.

@Alexey · 03.11.2009, 10:44

под 'best practice' я имел ввиду какие-нибудь стандартные решения по организации подобого рода систем. потому как сама система уже существует, но че то в ней намудрено, что она не работает - задумывалось что обращение к БД будет происходить через COM+ сервер - все работает пока сервера находятся в интранете, как только помещаешь вебсервер в DMZ - COM+ перестает работать...

вот думаю, может ну его на фиг этот COM+

за ссылки спасибо, посмотрю на досуге

03.11.2009, 11:05

Я так понял что COM+ сервер - это сервер приложений, на котором логика 'крутится' (и собственно к БД обращается). Если в LAN работет, то проблема как раз с DCOM между COM+ и SQL серверами. Надо копать с этого места. Может фильтры работают. У DCOM там какой то стек портов есть необходимых, может их на фильтрах разрешить.

Ну и хоть ошибки бы узнать.

@Alexey · 03.11.2009, 11:40

ошибка возникает при попытке обращения к COM

Server object error 'ASP 0177 : 800706ba'
Server.CreateObject Failed

про то, что где-то что-то с портами, трастами и т.п. админу понятно, только ошибку он вместе с суппортом из Microsoft найти не может уже с месяц

меня в общем такая ситуация не устраивает и я предпочел бы сделать как-нибудь попроще но чтобы работало - пока вот хочу посмотреть можно ли как нибудь все организовать попроще - м.б. вебсервер и БД на одном сервере или на разных, но без COM+ и т.п. поэтому хотел посмотреть что думают на этот счет теоретики

@pl · 03.11.2009, 11:54

Трехуровневая система:
1. Web Server (IIS+ASP)
2. Application Server (COM+)
3. Database Server (MS SQL)

Все компы поместить в один домен, настроить делегирование, при этом может использоваться только Kerberos, поэтому и необходим домен.

Вся эта кухня подробно описана в книге
'Разработка защищенных Web-приложений на платформе Microsoft Windows 2000' (+ CD-ROM)
М. Ховард, М. Леви, Р. Вэймир

http://www.ozon.ru/context/detail/id/126448/
http://www.bolero.ru/product-2452406.html

03.11.2009, 13:21

Вроде как никакого домена не надо. Просто на серваках рулишь необходимые правила при помощи Local Security Policy.

Новые блоги и статьи Все статьи Все блоги /
Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012

	DMZ - demilitarized zone - best practice webserver и SQL Server 02.11.2009, 11:05. Показов 1584. Ответов 6 Метки нет (Все метки) Что-то не могу найти ничего путнего на тему каким образом лучше всего настроить работу вебсервера (Win) и SQL Server в DMZ. Если у кого есть ссылочки, киньте плиз сюда 0

inferno
	03.11.2009, 10:12
	http://www.nsa.gov/snac/win2k/index.html Там типа есть ... Была еше какая-то книга 'Разработка защищенных веб - приложений на платформе MS Windows 2000' авторы - Ховард М./Леви М. Правда не понял что такое '... best practice ..' Вообщем то в таком вопросе вроде как стандартные решения есть. Два брандмауэра с соответсвующими фильтрами на концах. Между IIS и SQL серваками разрешаешь свободное общение DCOM. Надеюсь хоть как-то помог.

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	03.11.2009, 10:44
	под 'best practice' я имел ввиду какие-нибудь стандартные решения по организации подобого рода систем. потому как сама система уже существует, но че то в ней намудрено, что она не работает - задумывалось что обращение к БД будет происходить через COM+ сервер - все работает пока сервера находятся в интранете, как только помещаешь вебсервер в DMZ - COM+ перестает работать... вот думаю, может ну его на фиг этот COM+ за ссылки спасибо, посмотрю на досуге 0

inferno
	03.11.2009, 11:05
	Я так понял что COM+ сервер - это сервер приложений, на котором логика 'крутится' (и собственно к БД обращается). Если в LAN работет, то проблема как раз с DCOM между COM+ и SQL серверами. Надо копать с этого места. Может фильтры работают. У DCOM там какой то стек портов есть необходимых, может их на фильтрах разрешить. Ну и хоть ошибки бы узнать.

@Alexey 0 / 1 / 3 Регистрация: 27.03.2012
	03.11.2009, 11:40
	ошибка возникает при попытке обращения к COM Server object error 'ASP 0177 : 800706ba' Server.CreateObject Failed про то, что где-то что-то с портами, трастами и т.п. админу понятно, только ошибку он вместе с суппортом из Microsoft найти не может уже с месяц меня в общем такая ситуация не устраивает и я предпочел бы сделать как-нибудь попроще но чтобы работало - пока вот хочу посмотреть можно ли как нибудь все организовать попроще - м.б. вебсервер и БД на одном сервере или на разных, но без COM+ и т.п. поэтому хотел посмотреть что думают на этот счет теоретики 0

@pl 51 / 17 / 6 Регистрация: 18.05.2007 Сообщений: 1,322
	03.11.2009, 11:54
	Трехуровневая система: 1. Web Server (IIS+ASP) 2. Application Server (COM+) 3. Database Server (MS SQL) Все компы поместить в один домен, настроить делегирование, при этом может использоваться только Kerberos, поэтому и необходим домен. Вся эта кухня подробно описана в книге 'Разработка защищенных Web-приложений на платформе Microsoft Windows 2000' (+ CD-ROM) М. Ховард, М. Леви, Р. Вэймир http://www.ozon.ru/context/detail/id/126448/ http://www.bolero.ru/product-2452406.html 0

inferno
	03.11.2009, 13:21
	Вроде как никакого домена не надо. Просто на серваках рулишь необходимые правила при помощи Local Security Policy.