DC in der Cloud lässt keinen Domänenbeitrit zu
Hallo Forum.
Ich hab ein Problem bei dem ich einfach nicht mehr weiterkomme. Vielleicht hat jemand von Euch einen Ansatz.
Bitte schreibt mir einen Kommentar, wenn etwas unklar sein sollte. Vielen Dank schon mal vorab...
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse.
DNS ist aktiv, DHCP nicht...
Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es (ich weiß es wird kritisch gesehen, aber der technische Hintergrund interessiert mich erstmal).
Folgendermaßen gehe ich vor:
• Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
• In den IP Einstellungen gebe ich den DC in der Cloud als bevorzugten DNS mit
• IPV6 ist auf Client und Server deaktiviert
...
Domänenbeitritt Client: Dieser PC-Eigenschaften-Einstellungen für... Domäne... Netzwerk ID
Hier findet er auch das Adminkonto auf dem DC in der Cloud und frägt, ob das verwendet werden soll.
Sobald ich das bestätige erscheint ein Wartesymbol, Nach einer Weile erscheint jedesmal die Meldung:
Der Domänenname "DOMÄNENNAME" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein,
stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt,
können folgende Informationen bei der Behandlung von Problemen mit der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten,
der zur Suche eines Active Directory-Domänencontrollers für die Domäne "DOMÄNENNAME" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.DOMÄNENNAME.
Häufigste Fehlerursachen:
- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert.
Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird.
Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert.
Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:
IP Adresse 1 (DNS1)
IP Adresse 2 (DNS2)
IP Adresse 3 (DNS3)
- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:
DOMÄNENNAME
. (die Stammzone)
Ich hab ein Problem bei dem ich einfach nicht mehr weiterkomme. Vielleicht hat jemand von Euch einen Ansatz.
Bitte schreibt mir einen Kommentar, wenn etwas unklar sein sollte. Vielen Dank schon mal vorab...
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse.
DNS ist aktiv, DHCP nicht...
Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es (ich weiß es wird kritisch gesehen, aber der technische Hintergrund interessiert mich erstmal).
Folgendermaßen gehe ich vor:
• Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
• In den IP Einstellungen gebe ich den DC in der Cloud als bevorzugten DNS mit
• IPV6 ist auf Client und Server deaktiviert
...
Domänenbeitritt Client: Dieser PC-Eigenschaften-Einstellungen für... Domäne... Netzwerk ID
Hier findet er auch das Adminkonto auf dem DC in der Cloud und frägt, ob das verwendet werden soll.
Sobald ich das bestätige erscheint ein Wartesymbol, Nach einer Weile erscheint jedesmal die Meldung:
Der Domänenname "DOMÄNENNAME" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein,
stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt,
können folgende Informationen bei der Behandlung von Problemen mit der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten,
der zur Suche eines Active Directory-Domänencontrollers für die Domäne "DOMÄNENNAME" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.DOMÄNENNAME.
Häufigste Fehlerursachen:
- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert.
Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird.
Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert.
Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:
IP Adresse 1 (DNS1)
IP Adresse 2 (DNS2)
IP Adresse 3 (DNS3)
- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:
DOMÄNENNAME
. (die Stammzone)
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 388992
Url: https://administrator.de/forum/dc-in-der-cloud-laesst-keinen-domaenenbeitrit-zu-388992.html
Ausgedruckt am: 30.04.2025 um 06:04 Uhr
44 Kommentare
Neuester Kommentar
Moin,
gibst Du den Domänenname ohne tld an? Wenn ja, dann gib die tld mal mit.
hth
Erik
gibst Du den Domänenname ohne tld an? Wenn ja, dann gib die tld mal mit.
hth
Erik
Hallo,
Welchen DNS soll er nutzen?
Wie wird dein Server in der Wolke erreicht? Routing, Bridging, VPN?
Gruß,
Peter
Zitat von @Destination:
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wie ist dessen IP?Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es
Wie ist dessen IP?Welchen DNS soll er nutzen?
• IPV6 ist auf Client und Server deaktiviert
Wie und wo genau hast du IPv6 Deaktiviert?Wie wird dein Server in der Wolke erreicht? Routing, Bridging, VPN?
Gruß,
Peter
Moin,
die Config muss zu dem lokalen Netz passen - hat soweit erst einmal nichts mit dem DC zu tun
weiters muss am Client der Verbindungsspezifisches DNS-Suffix am Client gesetzt sein, oder aber du musst bei der Anmeldung den ganzen Namen des AD-Servers angeben (siehe @erikro)
Gruß
die Config muss zu dem lokalen Netz passen - hat soweit erst einmal nichts mit dem DC zu tun
• In den IP Einstellungen gebe ich den DC in der Cloud als bevorzugten DNS mit
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein• IPV6 ist auf Client und Server deaktiviert
exakt das Gegenteil von dem, was Microsoft empfiehltweiters muss am Client der Verbindungsspezifisches DNS-Suffix am Client gesetzt sein, oder aber du musst bei der Anmeldung den ganzen Namen des AD-Servers angeben (siehe @erikro)
Gruß
Moin...
wir reden doch darüber, das du die verbindung über ein VPN aufbaust, und dein netz ein 192.168.1.0/24 oder ähnlich ist... oder?
Frank
wir reden doch darüber, das du die verbindung über ein VPN aufbaust, und dein netz ein 192.168.1.0/24 oder ähnlich ist... oder?
Frank
Moin,
@Kraemer
@Destination
lg,
Slainte
@Kraemer
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein
Das ist Quatsch. Natürlich darf der Client mehrere DNS Server eingetragen haben, die müssen aber alle die AD-spezifischen Records aufweisen@Destination
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse.
...Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
Kannst du das mal genauer erläutern? Sind das Private IPs und Server/Client sind per VPN verbunden?lg,
Slainte
Zitat von @SlainteMhath:
Moin,
@Kraemer
Recht hast de - habe den Satz umgestellt und dabei ist Murks rausgekommen.Moin,
@Kraemer
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein
Das ist Quatsch. Natürlich darf der Client mehrere DNS Server eingetragen haben, die müssen aber alle die AD-spezifischen Records aufweisen
@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
@erikro
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?
Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
Zitat von @Destination:
Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
und du wunderst dich?Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
1Zitat von @Destination:
@erikro
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?
@erikro
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?
Ja, das meinte ich.
Was gibt denn
nslookup domainname.tldauf dem Client zurück?
Darf der Client überhaupt den DNS auf dem Server benutzen?
lks
Zitat von @Destination:
@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
ist jetzt nicht dein ernst.... oder ?@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
Frank
Zitat von @Pjordorf:
Hallo,
• 192.168.168.5Hallo,
Zitat von @Destination:
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wie ist dessen IP?Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es
Wie ist dessen IP?Welchen DNS soll er nutzen?
Vom Domänencontroller in der Cloud. Oder verstehe ich Deine Frage falsch?• IPV6 ist auf Client und Server deaktiviert
Wie und wo genau hast du IPv6 Deaktiviert?Wie wird dein Server in der Wolke erreicht? Routing, Bridging, VPN?
Gruß,
Peter
Zitat von @Vision2015:
• Doch ist mein Ernst. Wie sollte es anders gehen?Zitat von @Destination:
@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
ist jetzt nicht dein ernst.... oder ?@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
Frank
sag mal, hast du die Maschine mit nacktem Arsch im Internet hängen? Sprich ohne VPN oder ähnlicher Technik?
Zitat von @Kraemer:
• Könntest Du das etwas konkretisieren was Du meinst? Sorry, ich steh gerade etwas auf dem Schlauch.Zitat von @Destination:
Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
und du wunderst dich?Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
Zitat von @Kraemer:
sag mal, hast du die Maschine mit nacktem Arsch im Internet hängen? Sprich ohne VPN oder ähnlicher Technik?
• Nein. Es ist eigentlich ein vLAN. Mit einer Softwarefirewall. Davor hängt eine Hardwarefirewall (Ich verstehe Deine Einwände,sag mal, hast du die Maschine mit nacktem Arsch im Internet hängen? Sprich ohne VPN oder ähnlicher Technik?
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.
Darf der Client überhaupt den DNS auf dem Server benutzen?
• Ich hab den Rechner dem DC im ActiveDirectory hinzugefügt. In der Reversezone hab ich einen PTR Zeiger auf die IP erstellt.
lks
Darf der Client überhaupt den DNS auf dem Server benutzen?
lks
Zitat von @Kraemer:
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
Moin..
kollidiert mit:
wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
und noch was... falls du deine öffentliche Internet apparatur, im auftrag eines kunden zusammelötest, schreib das besser nicht...
ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt
aber ich kenne da wen (nicht ich), der certifiziert in der IT gegen geld unterwegs ist
(sorry Cristian, aber der mußte jetzt raus....)
Frank
kollidiert mit:
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
richtig wäre es aber genau umgekehrt....wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
und noch was... falls du deine öffentliche Internet apparatur, im auftrag eines kunden zusammelötest, schreib das besser nicht...
ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt
aber ich kenne da wen (nicht ich), der certifiziert in der IT gegen geld unterwegs ist
(sorry Cristian, aber der mußte jetzt raus....)
Frank
1
Moin...
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
mit welcher IP steht der DC den drin?
Frank
Zitat von @Destination:
sagst du uns auch deine öffentliche IP?Zitat von @Kraemer:
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
Frank
Zitat von @Vision2015:
Moin..
kollidiert mit:
wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
• Jeder hat mal an einem Punkt angefangen. Und wie gesagt, geht es erst mal darum hier KnowHow aufzubauen.Moin..
kollidiert mit:
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
richtig wäre es aber genau umgekehrt....wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
und noch was... falls du deine öffentliche Internet apparatur, im auftrag eines kunden zusammelötest, schreib das besser nicht...
ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt
• Ist es auch nicht. Es ist zu Testzwecken.ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt
aber ich kenne da wen (nicht ich), der certifiziert in der IT gegen geld unterwegs ist
• Kenn ich auch. Ist aber nicht Sinn der Sache.(sorry Cristian, aber der mußte jetzt raus....)
Frank
Frank
Von Dir kam bis jetzt:
- "Moin...
Frank"
Und
"ist jetzt nicht dein ernst.... oder ?
Frank"
OK. Es gibt noch einen weiteren Kommentar von Dir (hatte ich übersehen), aber der bringt mich nicht weiter. Es kann sein, dass hier sehr viele viel mehr Fachwissen haben, als ich. Aber deshalb hab ich mich ja an das Forum gewendet ;)
Und wenn Du keine Antworten liefern willst, ist das OK.
Aber bitte: Belehrungen brauch ich nicht.
Hallo,
Klar hat jeder IT-Administrator sein Wissen auch erst Aneignen müssen. Aber ein Server, der direkt am Netz hängt, ist nun mal kein Spielzeug und kann im schlimmsten Fall ernsthafte Konsequenzen haben. Aber gut, muss jeder selber wissen. Das Thema wurde ja schon tausend mal hier diskutiert.
Allerdings hast du vor dem Server eine Hardware Firewall? Dann ist doch alles gut. Dann befindet sich dein Server in der DMZ hinter der Firewall?
Was ich nicht verstehe: wenn du schon ohnehin eine Hardware Firewall vor deinem Server hast, warum nicht direkt ein VPN einrichten und das richtig machen?
Insbesondere wenn man erstmal was ausprobieren möchte, hat solch eine Umgebung nichts am Netz verloren. Generell Testumgebungen nur lokal in einem internen Netz. Auch wenn du vielleicht jetzt noch denkst, dass dein System in der Zeit definitiv nicht angegriffen wird. Das kann schneller gehen als man denkt. Und die Folgen sind sehr Unschön für andere Netz Teilnehmer und letztendlich für dich und dein Unternehmen.
Aber nun zum Thema zurück:
Nunja, dann kann der Client den Namen nicht auflösen. Das heißt, dein Client kann vermutlich keine Verbindung zu dem DNS herstellen.
Dadurch, dass du das über den öffentlichen Weg machen möchtest, muss bei deinem Client die öffentliche IP des DCs in den DNS Einstellungen hinterlegt werden. Hast du das gemacht?
Sind die anderen DNS Server auch DC's?
Auf jeden Fall solltest du mal die Verbindung zum DNS von dem DC testen. z.B. Du gibst folgendes ein:
nslookup
server <dc ip>
google.de
Wenn das nicht klappen sollte, dann kannst du von deinem Client keine Verbindung zum DC DNS herstellen. Dann prüfen, wo's hängt. Zum Beispiel bei deiner Firewall. Ich vermute mal, dass nur die Hardware Firewall eine öffentliche IP hat und alle Server in der DMZ nur private IP Adressen? Dann musst du auch NAT bzw. PAT einrichten, damit der Port von außen erreichbar ist.
Viele Grüße,
Exception
Jeder hat mal an einem Punkt angefangen. Und wie gesagt, geht es erst mal darum hier KnowHow aufzubauen.
Es ist zu Testzwecken.
Es ist zu Testzwecken.
Klar hat jeder IT-Administrator sein Wissen auch erst Aneignen müssen. Aber ein Server, der direkt am Netz hängt, ist nun mal kein Spielzeug und kann im schlimmsten Fall ernsthafte Konsequenzen haben. Aber gut, muss jeder selber wissen. Das Thema wurde ja schon tausend mal hier diskutiert.
Allerdings hast du vor dem Server eine Hardware Firewall? Dann ist doch alles gut. Dann befindet sich dein Server in der DMZ hinter der Firewall?
Was ich nicht verstehe: wenn du schon ohnehin eine Hardware Firewall vor deinem Server hast, warum nicht direkt ein VPN einrichten und das richtig machen?
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
Insbesondere wenn man erstmal was ausprobieren möchte, hat solch eine Umgebung nichts am Netz verloren. Generell Testumgebungen nur lokal in einem internen Netz. Auch wenn du vielleicht jetzt noch denkst, dass dein System in der Zeit definitiv nicht angegriffen wird. Das kann schneller gehen als man denkt. Und die Folgen sind sehr Unschön für andere Netz Teilnehmer und letztendlich für dich und dein Unternehmen.
Aber nun zum Thema zurück:
Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.
Nunja, dann kann der Client den Namen nicht auflösen. Das heißt, dein Client kann vermutlich keine Verbindung zu dem DNS herstellen.
Dadurch, dass du das über den öffentlichen Weg machen möchtest, muss bei deinem Client die öffentliche IP des DCs in den DNS Einstellungen hinterlegt werden. Hast du das gemacht?
Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
Sind die anderen DNS Server auch DC's?
Auf jeden Fall solltest du mal die Verbindung zum DNS von dem DC testen. z.B. Du gibst folgendes ein:
nslookup
server <dc ip>
google.de
Wenn das nicht klappen sollte, dann kannst du von deinem Client keine Verbindung zum DC DNS herstellen. Dann prüfen, wo's hängt. Zum Beispiel bei deiner Firewall. Ich vermute mal, dass nur die Hardware Firewall eine öffentliche IP hat und alle Server in der DMZ nur private IP Adressen? Dann musst du auch NAT bzw. PAT einrichten, damit der Port von außen erreichbar ist.
Viele Grüße,
Exception
Danke für das Feedback. Ich werde jetzt mal die Tipps sortieren und meine Einstellungen hierzu abklopfen. Das Ergebnis werde ich dann posten.
Moin...
wir haben dir doch schon mitgeteilt, das dein aufbau so nicht geht....
da sind so worte wie VPN gefallen.... das sollte dir erstmal zu denken geben!
Frank
Das zeugt ja von sehr viel Fachwissen. Und wenn Du keine Antworten liefern willst, ist das OK.
Aber bitte: Belehrungen brauch ich nicht.
...irgendwie doch!Aber bitte: Belehrungen brauch ich nicht.
wir haben dir doch schon mitgeteilt, das dein aufbau so nicht geht....
da sind so worte wie VPN gefallen.... das sollte dir erstmal zu denken geben!
Ist es auch nicht. Es ist zu Testzwecken.
auch zu Testzwecken ist es keine gute idee, den Server mit dem nacktem arsch in´s Internet zu hängen.Frank
Zitat von @Destination:
also von Protokollen noch nichts gehört? Egal - auch deine Ports - Hausaufgaben nicht gemacht! http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/active_di ...Zitat von @Kraemer:
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.Tu dir selber einen Gefallen und lösch die Kiste und bau dir erst einmal eine Testumgebung! Das Problem ist: Du verstehst ja nicht einmal das wir dir hilfreiche Tipps geben weil du dir Materie nicht im Ansatz verstehst. Kauf dir nen Buch oder besorg dir nen Openbook un mach das Ganze zu Hause in einer virtualisierten Umgebung.
Moin,
Aha. Erste Regel: Das AD steht und fällt mit DNS. Wenn Dein Client die Domäne nicht findet, wie soll er sich dann bei ihr anmelden?
Darf der Client überhaupt den DNS auf dem Server benutzen?
• Ich hab den Rechner dem DC im ActiveDirectory hinzugefügt. In der Reversezone hab ich einen PTR Zeiger auf die IP erstellt.
Die korrekte Antwort auf die Frage lautet: Nein. Dass Du den Rechner serverseitig vorbereitet hast - nein, hinzugefügt hast Du ihn noch nicht - hat mit der Frage, ob der Client den DNS-Server findet, benutzen darf und auch benutzt, nichts zu tun. Wie (fast) immer liegt hier der Hund begraben, wenn sich ein Client nicht in die Domain einbinden lässt: DNS ist falsch konfiguriert.
Liebe Grüße
Erik
Zitat von @Destination:
• Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.
• Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.
Aha. Erste Regel: Das AD steht und fällt mit DNS. Wenn Dein Client die Domäne nicht findet, wie soll er sich dann bei ihr anmelden?
Darf der Client überhaupt den DNS auf dem Server benutzen?
Die korrekte Antwort auf die Frage lautet: Nein. Dass Du den Rechner serverseitig vorbereitet hast - nein, hinzugefügt hast Du ihn noch nicht - hat mit der Frage, ob der Client den DNS-Server findet, benutzen darf und auch benutzt, nichts zu tun. Wie (fast) immer liegt hier der Hund begraben, wenn sich ein Client nicht in die Domain einbinden lässt: DNS ist falsch konfiguriert.
Liebe Grüße
Erik
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
@Kraemer
Danke für Dein Feedback. Ich werde mir das mal anschauen was Du schreibst.
Danke für Dein Feedback. Ich werde mir das mal anschauen was Du schreibst.
@erikro
Danke. Ich werde mir das mal anschauen.
Danke. Ich werde mir das mal anschauen.
Zitat von @Destination:
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
Nichts für ungut aber die Erfahrung zeigt leider etwas anderes. Sobald ein System funktioniert - egal ob gut oder schlecht konzeptiert, dann wird das meistens beibehalten. Testumgebungen werden produktiv verwendet. Erst wenn das bei einem Ausfall nicht mehr läuft und/oder aufgrund des schlechten IT Sicherheitskonzepz Daten geklaut werden bzw. die Infrastruktur kompromittiert wird, dann geht das Gehäule los.
Wie gesagt: Testumgebungen haben nichts am Netz verloren. Und wenn die Angreifer deine gekaperten Systeme für weitere Angriffe auf andere Systeme und/oder andere illegale Tätigkeiten missbrauchen, dann kann das auch ggf. ein juristisches Nachspiel für dich haben. Du bist als Betreiber verantwortlich. Wie gesagt...Systeme am Netz sind kein Spielzeug. ;)
Und das ganze richtig mit VPN umzusetzen ist Mehraufwand von max. 5 Minuten. Sollte eigentlich sogar einfacher sein, als ein DC öffentlich erreichbar machen zu wollen.
Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Das sollte aber immer der erste Schritt sein! Anders herum lässt du sämtlichen Traffic zwischen DC und Client nämlich ohne weitere Vorkehrungen (wie erzwungenes IPSec) unverschlüsselt durchs Netz sausen, schon deswegen die schlechteste Idee überhaupt!!!Zitat von @Destination:
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
nee...du bist beratungsresistent!
ich bin dann mal raus...
Zitat von @129580:
Nichts für ungut aber die Erfahrung zeigt leider etwas anderes. Sobald ein System funktioniert - egal ob gut oder schlecht konzeptiert, dann wird das meistens beibehalten. Testumgebungen werden produktiv verwendet. Erst wenn das bei einem Ausfall nicht mehr läuft und/oder aufgrund des schlechten IT Sicherheitskonzepz Daten geklaut werden bzw. die Infrastruktur kompromittiert wird, dann geht das Gehäule los.
Wie gesagt: Testumgebungen haben nichts am Netz verloren. Und wenn die Angreifer deine gekaperten Systeme für weitere Angriffe auf andere Systeme und/oder andere illegale Tätigkeiten missbrauchen, dann kann das auch ggf. ein juristisches Nachspiel für dich haben. Du bist als Betreiber verantwortlich. Wie gesagt...Systeme am Netz sind kein Spielzeug. ;)
Und das ganze richtig mit VPN umzusetzen ist Mehraufwand von max. 5 Minuten. Sollte eigentlich sogar einfacher sein, als ein DC öffentlich erreichbar machen zu wollen.
Zitat von @Destination:
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
Nichts für ungut aber die Erfahrung zeigt leider etwas anderes. Sobald ein System funktioniert - egal ob gut oder schlecht konzeptiert, dann wird das meistens beibehalten. Testumgebungen werden produktiv verwendet. Erst wenn das bei einem Ausfall nicht mehr läuft und/oder aufgrund des schlechten IT Sicherheitskonzepz Daten geklaut werden bzw. die Infrastruktur kompromittiert wird, dann geht das Gehäule los.
Wie gesagt: Testumgebungen haben nichts am Netz verloren. Und wenn die Angreifer deine gekaperten Systeme für weitere Angriffe auf andere Systeme und/oder andere illegale Tätigkeiten missbrauchen, dann kann das auch ggf. ein juristisches Nachspiel für dich haben. Du bist als Betreiber verantwortlich. Wie gesagt...Systeme am Netz sind kein Spielzeug. ;)
Und das ganze richtig mit VPN umzusetzen ist Mehraufwand von max. 5 Minuten. Sollte eigentlich sogar einfacher sein, als ein DC öffentlich erreichbar machen zu wollen.
• Ich hab jetzt einige Kommentare gelesen, die mich auch überzeugen, dass ich vielleicht mit dem falschen Ansatz an die Sache herangegangen bin. Wahrscheinlich ist es schon erstmal besser ein VPN aufzubauen und danach den Client an das AD zu binden. Ich werde das Konzept nochmal neu ausarbeiten. Es ist auch so, dass ich bisher in einer Firma hinter einer Firewall und mit VPN gearbeitet habe.
Heureka
Und das am Freitag . Dann bitte auch den Haken setzen.
. Dann bitte auch den Haken setzen.Zitat von @Kraemer:
wie schon mehrfach erwähnt - wenn auch nur einer der 3en den AD-Spezifischen Teil nicht enthält ist das Ganze ein Glücksspiel. Mach es richtig!
Tu dir selber einen Gefallen und lösch die Kiste und bau dir erst einmal eine Testumgebung! Das Problem ist: Du verstehst ja nicht einmal das wir dir hilfreiche Tipps geben weil du dir Materie nicht im Ansatz verstehst. Kauf dir nen Buch oder besorg dir nen Openbook un mach das Ganze zu Hause in einer virtualisierten Umgebung.
• Nicht falsch verstehen. Ich in über Eure Tips dankbar. Es ist ja zu Testzwecken und der Server wird danach gelöscht. Es ging mir in erster Linie aber erstmal darum das technische KnowHow für eine DC in der Cloud zu erarbeiten.Zitat von @Destination:
also von Protokollen noch nichts gehört? Egal - auch deine Ports - Hausaufgaben nicht gemacht! http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/active_di ...Zitat von @Kraemer:
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.Tu dir selber einen Gefallen und lösch die Kiste und bau dir erst einmal eine Testumgebung! Das Problem ist: Du verstehst ja nicht einmal das wir dir hilfreiche Tipps geben weil du dir Materie nicht im Ansatz verstehst. Kauf dir nen Buch oder besorg dir nen Openbook un mach das Ganze zu Hause in einer virtualisierten Umgebung.
Zitat von @137443:
Und das am Freitag. Dann bitte auch den Haken setzen.
Und das am Freitag
. Dann bitte auch den Haken setzen.Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Zitat von @Destination:
Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Schlimm genug.Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Zitat von @137443:
Zitat von @Destination:
Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Schlimm genug.Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so). Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).
Guten Abend,
Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.
Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)
Viele Grüße,
Exception
Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so).
Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.
Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).
Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)
Viele Grüße,
Exception
Zitat von @129580:
Guten Abend,
Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.
Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)
Viele Grüße,
Exception
Guten Abend,
Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so).
Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.
Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).
Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)
Viele Grüße,
Exception
Danke für Dein Feedback. Bei dem Satz "offene Türen..." musste ich schmunzeln. Aber Du (und auch einige andere) haben natürlich Recht.
Viele Grüße
Destination
