dextha
Goto Top

DNS und AD am RODC in DMZ

Hallo,

nachdem ich in meiner DMZ einige Services habe, für welche ich LDAP benötige, beschäftige ich mich aktuell mit RODC. Soweit funktioniert das ganze auch, nur bin ich mir ein einem Punkt nicht ganz sicher:

Kann ich Windows Clients in der DMZ über den RODC auch in die Domäne hängen? Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?

LG, Dextha

Content-ID: 425344

Url: https://administrator.de/forum/dns-und-ad-am-rodc-in-dmz-425344.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

jsysde
jsysde 06.03.2019 um 13:14:54 Uhr
Goto Top
Mahlzeit.

Client in Domain heben => Schreibvorgang im AD
RODC => Read-Only Domain Controller

Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?

Cheers,
jsysde
emeriks
emeriks 06.03.2019 um 13:26:29 Uhr
Goto Top
Zitat von @jsysde:
Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Meines Wissens sollte ein RODC diese Schreibanfragen an einen "normalen" DC weiterleiten.
Dani
Lösung Dani 06.03.2019 aktualisiert um 13:28:19 Uhr
Goto Top
Moin,
Clients/Server die in der DMZ stehen und Mitglied der Domäne sein müssen, riecht für mich nach Designfehler.

Die Problematik ist, wie Kollege @jsysde schon geschrieben hat, dass du große Löcher in die Firewall bohren musst. Grund dafür ist u.a. das nach wie vor Protokolle win WinRPC benutzt wird. Hierbei handeln beide Systeme High Ports aus, auf denen anschließend kommunziert wird. Das ist für ein Network/Security Engineer ein Alptraum.

Wenn es überhaupt nicht anders geht, sichert man die Verbindung (RODC und WRDC) mit IPSEC und somit erfolgt die Kommunikation durch den Tunnel. Das ist aber hinterher ein Konstrukt mit einer gewissen Komplexität, wo man schon genau wissen muss was man tut.

Heutzutage greibt man auf ADFS in Verbindung mit WAP zurück.
Wir haben das Thema bereits öfters und schon tiefer besprochen:
RODC in DMZ
Typo3 - Ideen für zentrale Benutzerverwaltung?


Gruß,
Dani
emeriks
Lösung emeriks 06.03.2019, aktualisiert am 18.07.2019 um 10:20:19 Uhr
Goto Top
Hi,
Zitat von @Dextha:
Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
Also DNS-Namensauflösung funktioniert unabhängig vom DC-Locator-Dienst. Ein Ping auf einen Domänennamen sagt also rein gar nichts darüber aus, welcher DC ermittelt werden würde. Der Ping auf den Domänennamen liefert Dir nur eine Adresse der in der Zone eingetragenen A-Records für diese Zone (A-Records ohne Namen). Wenn Du mehrere DNS-Server für diese Zone hast, welche eine schreibbare Kopie davon halten, dann tragen sich die jeweiligen DNS-Server dort selbst ein. Per Round Robing bekommt man dann - theoretisch - jedes Mal einen anderen von diesen zurückgekliefert. (Das Round Robin wertet dabei aber alle Anfragen für diesen Namen aus, welche an diesen DNS-Server gerichtet sind)

E.
Dextha
Dextha 06.03.2019 um 14:06:51 Uhr
Goto Top
ok... verstehe... macht Sinn.
Sorry für die blöde Frage!

LG, Dextha
1st1
1st1 06.03.2019 um 16:43:40 Uhr
Goto Top
Wenn es jemand von Außen auf den Server im DMZ schafft, kann er immer noch die gesamte Domäne ausspionieren, einfach mit dsquery und vergleichbaren Powershell-Befehlen (get-ad...). Besser ist eine eigene Domäne fürs DMZ aufzubauen, und interne User per einseitigem Trust im DMZ zuzulassen. Siehe "Red Forest" Konzept. Zwischen die beide Domänen stellt man tatsächlich einen ADFS mit WAP.
Dani
Dani 23.07.2019 aktualisiert um 15:59:15 Uhr
Goto Top
@glady2000
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.


Gruß,
Dani