7
DNS und AD am RODC in DMZ
Hallo,
nachdem ich in meiner DMZ einige Services habe, für welche ich LDAP benötige, beschäftige ich mich aktuell mit RODC. Soweit funktioniert das ganze auch, nur bin ich mir ein einem Punkt nicht ganz sicher:
Kann ich Windows Clients in der DMZ über den RODC auch in die Domäne hängen? Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
LG, Dextha
nachdem ich in meiner DMZ einige Services habe, für welche ich LDAP benötige, beschäftige ich mich aktuell mit RODC. Soweit funktioniert das ganze auch, nur bin ich mir ein einem Punkt nicht ganz sicher:
Kann ich Windows Clients in der DMZ über den RODC auch in die Domäne hängen? Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
LG, Dextha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 425344
Url: https://administrator.de/contentid/425344
Printed on: April 25, 2024 at 09:04 o'clock
7 Comments
Latest comment
Mahlzeit.
Client in Domain heben => Schreibvorgang im AD
RODC => Read-Only Domain Controller
Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Cheers,
jsysde
Client in Domain heben => Schreibvorgang im AD
RODC => Read-Only Domain Controller
Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Cheers,
jsysde
Zitat von @jsysde:
Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Meines Wissens sollte ein RODC diese Schreibanfragen an einen "normalen" DC weiterleiten.Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Moin,
Clients/Server die in der DMZ stehen und Mitglied der Domäne sein müssen, riecht für mich nach Designfehler.
Die Problematik ist, wie Kollege @jsysde schon geschrieben hat, dass du große Löcher in die Firewall bohren musst. Grund dafür ist u.a. das nach wie vor Protokolle win WinRPC benutzt wird. Hierbei handeln beide Systeme High Ports aus, auf denen anschließend kommunziert wird. Das ist für ein Network/Security Engineer ein Alptraum.
Wenn es überhaupt nicht anders geht, sichert man die Verbindung (RODC und WRDC) mit IPSEC und somit erfolgt die Kommunikation durch den Tunnel. Das ist aber hinterher ein Konstrukt mit einer gewissen Komplexität, wo man schon genau wissen muss was man tut.
Heutzutage greibt man auf ADFS in Verbindung mit WAP zurück.
Wir haben das Thema bereits öfters und schon tiefer besprochen:
RODC in DMZ
Typo3 - Ideen für zentrale Benutzerverwaltung?
Gruß,
Dani
Clients/Server die in der DMZ stehen und Mitglied der Domäne sein müssen, riecht für mich nach Designfehler.
Die Problematik ist, wie Kollege @jsysde schon geschrieben hat, dass du große Löcher in die Firewall bohren musst. Grund dafür ist u.a. das nach wie vor Protokolle win WinRPC benutzt wird. Hierbei handeln beide Systeme High Ports aus, auf denen anschließend kommunziert wird. Das ist für ein Network/Security Engineer ein Alptraum.
Wenn es überhaupt nicht anders geht, sichert man die Verbindung (RODC und WRDC) mit IPSEC und somit erfolgt die Kommunikation durch den Tunnel. Das ist aber hinterher ein Konstrukt mit einer gewissen Komplexität, wo man schon genau wissen muss was man tut.
Heutzutage greibt man auf ADFS in Verbindung mit WAP zurück.
Wir haben das Thema bereits öfters und schon tiefer besprochen:
RODC in DMZ
Typo3 - Ideen für zentrale Benutzerverwaltung?
Gruß,
Dani
Hi,
E.
Zitat von @Dextha:
Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
Also DNS-Namensauflösung funktioniert unabhängig vom DC-Locator-Dienst. Ein Ping auf einen Domänennamen sagt also rein gar nichts darüber aus, welcher DC ermittelt werden würde. Der Ping auf den Domänennamen liefert Dir nur eine Adresse der in der Zone eingetragenen A-Records für diese Zone (A-Records ohne Namen). Wenn Du mehrere DNS-Server für diese Zone hast, welche eine schreibbare Kopie davon halten, dann tragen sich die jeweiligen DNS-Server dort selbst ein. Per Round Robing bekommt man dann - theoretisch - jedes Mal einen anderen von diesen zurückgekliefert. (Das Round Robin wertet dabei aber alle Anfragen für diesen Namen aus, welche an diesen DNS-Server gerichtet sind)Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
E.
ok... verstehe... macht Sinn.
Sorry für die blöde Frage!
LG, Dextha
Sorry für die blöde Frage!
LG, Dextha
Wenn es jemand von Außen auf den Server im DMZ schafft, kann er immer noch die gesamte Domäne ausspionieren, einfach mit dsquery und vergleichbaren Powershell-Befehlen (get-ad...). Besser ist eine eigene Domäne fürs DMZ aufzubauen, und interne User per einseitigem Trust im DMZ zuzulassen. Siehe "Red Forest" Konzept. Zwischen die beide Domänen stellt man tatsächlich einen ADFS mit WAP.
@glady2000
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.
Gruß,
Dani
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.
Gruß,
Dani
