6
Active Directory über Internet
Hallo Liebe Leute,
ich habe noch die den Bedarf gehabt folgenden Punkt umzusetzen:
ich habe einen Kunden mit 30 Notebooks, die nie in die Firma kommen, aber trotzdem sich an der Domäne authentifizieren sollen um sich aktuelle GPOs zu ziehen, etc.
Da auf VPN verzichtet werden soll, meine Frage, gibt es eine Möglichkeit dies ausschlisslich über das Internet zu regeln?
Gruß
arohwedder
ich habe noch die den Bedarf gehabt folgenden Punkt umzusetzen:
ich habe einen Kunden mit 30 Notebooks, die nie in die Firma kommen, aber trotzdem sich an der Domäne authentifizieren sollen um sich aktuelle GPOs zu ziehen, etc.
Da auf VPN verzichtet werden soll, meine Frage, gibt es eine Möglichkeit dies ausschlisslich über das Internet zu regeln?
Gruß
arohwedder
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208528
Url: https://administrator.de/contentid/208528
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
nein, Du kannst Deinen Verzeichnisdienst/Internen DNS nicht im Internet veröffentlichen ohne massive Sicherheitslöcher zu öffnen (Scheunentore!).
Damit sich die Clients an der Domäne authentifizieren können müssen diese schon initial in die Domäne genommen werden. Das geht nur, wenn die Clients in der Domäne sind.
Die Clients authentifizieren sich mit einer vom AD zugeteilten SID und nicht mit dem Namen des Computerkontos. Die SID brauchen sie.
Also erst musst die Domänenmitgliedschaft herstellen, dann können die Clients auch mal für einige Zeit on tour sein und beziehen bei der Rückkehr die neuen Domäneneeintellungen
grüße
nein, Du kannst Deinen Verzeichnisdienst/Internen DNS nicht im Internet veröffentlichen ohne massive Sicherheitslöcher zu öffnen (Scheunentore!).
Damit sich die Clients an der Domäne authentifizieren können müssen diese schon initial in die Domäne genommen werden. Das geht nur, wenn die Clients in der Domäne sind.
Die Clients authentifizieren sich mit einer vom AD zugeteilten SID und nicht mit dem Namen des Computerkontos. Die SID brauchen sie.
Also erst musst die Domänenmitgliedschaft herstellen, dann können die Clients auch mal für einige Zeit on tour sein und beziehen bei der Rückkehr die neuen Domäneneeintellungen
grüße
Hallo,
OK.
IPv6 und DirectAccess sind deine Freunde.
Gruß,
Peter
OK.
meine Frage, gibt es eine Möglichkeit dies ausschlisslich über das Internet zu regeln?
Ja.IPv6 und DirectAccess sind deine Freunde.
Gruß,
Peter
1
Hallo Pjordorf,
stimmt, Direct Access wäre eine Lösung. Aber ist das auch praxistauglich?
Ich habe bisher noch keine Erfahrung mit DA gemacht
.
Hast Du Direct Access schon mal implementiert? Funktioniert's zuverlässig, auch im Alltag?
Grüße
stimmt, Direct Access wäre eine Lösung. Aber ist das auch praxistauglich?
Ich habe bisher noch keine Erfahrung mit DA gemacht
.
Hast Du Direct Access schon mal implementiert? Funktioniert's zuverlässig, auch im Alltag?
Grüße
Sers,
DA in 2008r2 ist noch etwas hakelig (IPv6 Pflicht!!!), habe ich selbst nur mal im Testbetrieb gehabt und war nicht begeistert.
Mitm 2012er Server funktioniert es recht angenehm (IPv4 & v6 i.O.) und Problemfrei.
Was hast du denn für Clients? DA geht unter Windows nur mit 7+ Enterprise/Ultimate Clients.
Grüße,
Philip
DA in 2008r2 ist noch etwas hakelig (IPv6 Pflicht!!!), habe ich selbst nur mal im Testbetrieb gehabt und war nicht begeistert.
Mitm 2012er Server funktioniert es recht angenehm (IPv4 & v6 i.O.) und Problemfrei.
Was hast du denn für Clients? DA geht unter Windows nur mit 7+ Enterprise/Ultimate Clients.
Grüße,
Philip
Hallo Pjordorf
Mir würde nur einfallen einen Port mit Portweiterleitung auf den ACDC-Server einfallen. Auf dem ACDC-Server Remote-Anmeldung zulassen und dann via RDP (ich frage mich warum kein VPN erwünscht ist) auf den Active Directory Server zugreiffen.
Man könnte aber auch eine SSH-Verbindung herstellen und dann über die einen Tunnel machen (Schaue Putty) und dann dort drüber mit RDP oder sonstwas versuchen auf den ACDC-Server zuzugreiffen.
Freundliche Grüsse
Gansterjo2
Mir würde nur einfallen einen Port mit Portweiterleitung auf den ACDC-Server einfallen. Auf dem ACDC-Server Remote-Anmeldung zulassen und dann via RDP (ich frage mich warum kein VPN erwünscht ist) auf den Active Directory Server zugreiffen.
Man könnte aber auch eine SSH-Verbindung herstellen und dann über die einen Tunnel machen (Schaue Putty) und dann dort drüber mit RDP oder sonstwas versuchen auf den ACDC-Server zuzugreiffen.
Freundliche Grüsse
Gansterjo2
1
Moin,
vielleicht hilft das ja auch weiter, habe mich allerdings bislang nicht wirklich damit beschäftigt und so ganz trifft es Dein Problem ja auch nicht:http://www.windowsazure.com/de-de/services/identity/
Gruß
vielleicht hilft das ja auch weiter, habe mich allerdings bislang nicht wirklich damit beschäftigt und so ganz trifft es Dein Problem ja auch nicht:http://www.windowsazure.com/de-de/services/identity/
Gruß
