136167
Nov 12, 2018
1771
1
0
Active Directory Anfragen in andere Domäne weiterleiten
Hallo zusammen,
ich stehe vor folgendem Problem:
Für unser Monitoring (PRTG) habe ich einen Webserver in unserer Service-DMZ installiert. In der DMZ ist eine Windows-Domäne mit DC, Exchange und dem Webserver.
Für die Anmeldung am Monitoring-Server möchte ich die integrierte AD-Abfrage nutzen, funktioniert auch mit der Service-Domäne einwandfrei.
Zur leichteren Administrierung möchte ich allerdings meinen Management-AD-User in einer anderen Domäne nutzen. Die Domänen sind durch ein Firewall getrennt.
Ich weiß noch, dass man solche Anfragen auf dem DC weiterleiten kann. Nur an der Umsetzung hapert es.
Die Frage ist, wie kann ich diese Weiterleitung konfigurieren und wie sieht es mit dem Thema Sicherheit dabei aus, da ich ja Anfragen aus der DMZ in mein Management-Netz zulassen muss.
ich stehe vor folgendem Problem:
Für unser Monitoring (PRTG) habe ich einen Webserver in unserer Service-DMZ installiert. In der DMZ ist eine Windows-Domäne mit DC, Exchange und dem Webserver.
Für die Anmeldung am Monitoring-Server möchte ich die integrierte AD-Abfrage nutzen, funktioniert auch mit der Service-Domäne einwandfrei.
Zur leichteren Administrierung möchte ich allerdings meinen Management-AD-User in einer anderen Domäne nutzen. Die Domänen sind durch ein Firewall getrennt.
Ich weiß noch, dass man solche Anfragen auf dem DC weiterleiten kann. Nur an der Umsetzung hapert es.
Die Frage ist, wie kann ich diese Weiterleitung konfigurieren und wie sieht es mit dem Thema Sicherheit dabei aus, da ich ja Anfragen aus der DMZ in mein Management-Netz zulassen muss.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 392442
Url: https://administrator.de/contentid/392442
Printed on: April 25, 2024 at 17:04 o'clock
1 Comment
Hi,
also, dass direkt vom DC an eine andere Domäne außerhalb des Forest "weitergeleitet" wird, wüßte ch jetzt nicht, wie das gehen soll. Wenn es eine andere Domäne im selben Forest ist, dann kann dieser DC auch die Konten anderer Domänen authentifizieren, vorausgesetzt. er kann einen DC dieser Domäne erreichen. Das gleiche sollte für extern vertraute Domänen gelten.
Könnte es sein, dass Du eher an einen "AD-Proxy" denkst? Falls ja, dann geht sowas (in Grenzen) mit AD LDS (ADAM). Das ist eine Rolle, welche man auf Nicht-DC's installieren kann und welche einen einfachen LDAP-Dienst ohne Active Directory bereitstellt. Diesen kann man konfigurieren, dass er bestimmte Konten zwischen seiner LDAP-DB und der einer oder mehrerer Domänen synchronisert und dann Proxy für die Authentifizierung spielt.
E.
also, dass direkt vom DC an eine andere Domäne außerhalb des Forest "weitergeleitet" wird, wüßte ch jetzt nicht, wie das gehen soll. Wenn es eine andere Domäne im selben Forest ist, dann kann dieser DC auch die Konten anderer Domänen authentifizieren, vorausgesetzt. er kann einen DC dieser Domäne erreichen. Das gleiche sollte für extern vertraute Domänen gelten.
Könnte es sein, dass Du eher an einen "AD-Proxy" denkst? Falls ja, dann geht sowas (in Grenzen) mit AD LDS (ADAM). Das ist eine Rolle, welche man auf Nicht-DC's installieren kann und welche einen einfachen LDAP-Dienst ohne Active Directory bereitstellt. Diesen kann man konfigurieren, dass er bestimmte Konten zwischen seiner LDAP-DB und der einer oder mehrerer Domänen synchronisert und dann Proxy für die Authentifizierung spielt.
E.
