arohwedder
Goto Top

Active Directory über Internet

Hallo Liebe Leute,

ich habe noch die den Bedarf gehabt folgenden Punkt umzusetzen:
ich habe einen Kunden mit 30 Notebooks, die nie in die Firma kommen, aber trotzdem sich an der Domäne authentifizieren sollen um sich aktuelle GPOs zu ziehen, etc.
Da auf VPN verzichtet werden soll, meine Frage, gibt es eine Möglichkeit dies ausschlisslich über das Internet zu regeln?

Gruß
arohwedder

Content-ID: 208528

Url: https://administrator.de/forum/active-directory-ueber-internet-208528.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

benpunkt
benpunkt 24.06.2013 aktualisiert um 13:58:38 Uhr
Goto Top
Hallo,

nein, Du kannst Deinen Verzeichnisdienst/Internen DNS nicht im Internet veröffentlichen ohne massive Sicherheitslöcher zu öffnen (Scheunentore!).

Damit sich die Clients an der Domäne authentifizieren können müssen diese schon initial in die Domäne genommen werden. Das geht nur, wenn die Clients in der Domäne sind.

Die Clients authentifizieren sich mit einer vom AD zugeteilten SID und nicht mit dem Namen des Computerkontos. Die SID brauchen sie.

Also erst musst die Domänenmitgliedschaft herstellen, dann können die Clients auch mal für einige Zeit on tour sein und beziehen bei der Rückkehr die neuen Domäneneeintellungen

grüße
Pjordorf
Pjordorf 24.06.2013 um 14:07:07 Uhr
Goto Top
Hallo,

Zitat von @arohwedder:
Da auf VPN verzichtet werden soll
OK.

meine Frage, gibt es eine Möglichkeit dies ausschlisslich über das Internet zu regeln?
Ja.

IPv6 und DirectAccess sind deine Freunde.

Gruß,
Peter
benpunkt
benpunkt 24.06.2013 um 14:35:16 Uhr
Goto Top
Hallo Pjordorf,

stimmt, Direct Access wäre eine Lösung. Aber ist das auch praxistauglich?
Ich habe bisher noch keine Erfahrung mit DA gemacht
.
Hast Du Direct Access schon mal implementiert? Funktioniert's zuverlässig, auch im Alltag?

Grüße
psannz
psannz 24.06.2013 um 15:40:43 Uhr
Goto Top
Sers,

DA in 2008r2 ist noch etwas hakelig (IPv6 Pflicht!!!), habe ich selbst nur mal im Testbetrieb gehabt und war nicht begeistert.
Mitm 2012er Server funktioniert es recht angenehm (IPv4 & v6 i.O.) und Problemfrei.

Was hast du denn für Clients? DA geht unter Windows nur mit 7+ Enterprise/Ultimate Clients.

Grüße,
Philip
Gansterjo2
Gansterjo2 24.06.2013 um 15:54:43 Uhr
Goto Top
Hallo Pjordorf

Mir würde nur einfallen einen Port mit Portweiterleitung auf den ACDC-Server einfallen. Auf dem ACDC-Server Remote-Anmeldung zulassen und dann via RDP (ich frage mich warum kein VPN erwünscht ist) auf den Active Directory Server zugreiffen.

Man könnte aber auch eine SSH-Verbindung herstellen und dann über die einen Tunnel machen (Schaue Putty) und dann dort drüber mit RDP oder sonstwas versuchen auf den ACDC-Server zuzugreiffen.

Freundliche Grüsse

Gansterjo2
Coreknabe
Coreknabe 24.06.2013 um 17:02:20 Uhr
Goto Top
Moin,

vielleicht hilft das ja auch weiter, habe mich allerdings bislang nicht wirklich damit beschäftigt und so ganz trifft es Dein Problem ja auch nicht:http://www.windowsazure.com/de-de/services/identity/

Gruß