DNS und AD am RODC in DMZ
Hallo,
nachdem ich in meiner DMZ einige Services habe, für welche ich LDAP benötige, beschäftige ich mich aktuell mit RODC. Soweit funktioniert das ganze auch, nur bin ich mir ein einem Punkt nicht ganz sicher:
Kann ich Windows Clients in der DMZ über den RODC auch in die Domäne hängen? Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
LG, Dextha
nachdem ich in meiner DMZ einige Services habe, für welche ich LDAP benötige, beschäftige ich mich aktuell mit RODC. Soweit funktioniert das ganze auch, nur bin ich mir ein einem Punkt nicht ganz sicher:
Kann ich Windows Clients in der DMZ über den RODC auch in die Domäne hängen? Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
LG, Dextha
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 425344
Url: https://administrator.de/forum/dns-und-ad-am-rodc-in-dmz-425344.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @jsysde:
Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Meines Wissens sollte ein RODC diese Schreibanfragen an einen "normalen" DC weiterleiten.Sollte klar sein, dass ein beschreibbarer DC erreichbar sein muss, um Änderungen am AD vorzunehmen?
Moin,
Clients/Server die in der DMZ stehen und Mitglied der Domäne sein müssen, riecht für mich nach Designfehler.
Die Problematik ist, wie Kollege @jsysde schon geschrieben hat, dass du große Löcher in die Firewall bohren musst. Grund dafür ist u.a. das nach wie vor Protokolle win WinRPC benutzt wird. Hierbei handeln beide Systeme High Ports aus, auf denen anschließend kommunziert wird. Das ist für ein Network/Security Engineer ein Alptraum.
Wenn es überhaupt nicht anders geht, sichert man die Verbindung (RODC und WRDC) mit IPSEC und somit erfolgt die Kommunikation durch den Tunnel. Das ist aber hinterher ein Konstrukt mit einer gewissen Komplexität, wo man schon genau wissen muss was man tut.
Heutzutage greibt man auf ADFS in Verbindung mit WAP zurück.
Wir haben das Thema bereits öfters und schon tiefer besprochen:
RODC in DMZ
Typo3 - Ideen für zentrale Benutzerverwaltung?
Gruß,
Dani
Clients/Server die in der DMZ stehen und Mitglied der Domäne sein müssen, riecht für mich nach Designfehler.
Die Problematik ist, wie Kollege @jsysde schon geschrieben hat, dass du große Löcher in die Firewall bohren musst. Grund dafür ist u.a. das nach wie vor Protokolle win WinRPC benutzt wird. Hierbei handeln beide Systeme High Ports aus, auf denen anschließend kommunziert wird. Das ist für ein Network/Security Engineer ein Alptraum.
Wenn es überhaupt nicht anders geht, sichert man die Verbindung (RODC und WRDC) mit IPSEC und somit erfolgt die Kommunikation durch den Tunnel. Das ist aber hinterher ein Konstrukt mit einer gewissen Komplexität, wo man schon genau wissen muss was man tut.
Heutzutage greibt man auf ADFS in Verbindung mit WAP zurück.
Wir haben das Thema bereits öfters und schon tiefer besprochen:
RODC in DMZ
Typo3 - Ideen für zentrale Benutzerverwaltung?
Gruß,
Dani
Hi,
E.
Zitat von @Dextha:
Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
Also DNS-Namensauflösung funktioniert unabhängig vom DC-Locator-Dienst. Ein Ping auf einen Domänennamen sagt also rein gar nichts darüber aus, welcher DC ermittelt werden würde. Der Ping auf den Domänennamen liefert Dir nur eine Adresse der in der Zone eingetragenen A-Records für diese Zone (A-Records ohne Namen). Wenn Du mehrere DNS-Server für diese Zone hast, welche eine schreibbare Kopie davon halten, dann tragen sich die jeweiligen DNS-Server dort selbst ein. Per Round Robing bekommt man dann - theoretisch - jedes Mal einen anderen von diesen zurückgekliefert. (Das Round Robin wertet dabei aber alle Anfragen für diesen Namen aus, welche an diesen DNS-Server gerichtet sind)Wenn ich von einem Client aus den domain-namen pinge, löst der DNS Server des RODC den DC im internen Netz auf. Sollte der DNS-Server in der DMS nicht den RODC auflösen, damit dieser verwendet wird?
E.
Wenn es jemand von Außen auf den Server im DMZ schafft, kann er immer noch die gesamte Domäne ausspionieren, einfach mit dsquery und vergleichbaren Powershell-Befehlen (get-ad...). Besser ist eine eigene Domäne fürs DMZ aufzubauen, und interne User per einseitigem Trust im DMZ zuzulassen. Siehe "Red Forest" Konzept. Zwischen die beide Domänen stellt man tatsächlich einen ADFS mit WAP.
@glady2000
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.
Gruß,
Dani
Bitte eröffne für deine Frage/Problem einen eigenen Beitrag. Das Übernehmen von Beiträgen ist hier nicht gern gesehen. Vorallem inhaltlich hat es direkt nichts mit der ursprünglichen Frage zu tun. Vielen Dank.
Gruß,
Dani