Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passwortänderung an RODC möglich?

Mitglied: Dextha

Dextha (Level 2) - Jetzt verbinden

21.05.2019 um 10:35 Uhr, 505 Aufrufe, 23 Kommentare

Hallo,

ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich möglich, auf einen RODC Passwortänderungen zu senden? Ich bekomme dabei nämlich immer LDAP - Modify password error 10 (Referral). Wenn ich die Passwortänderung an den schreibbaren Domain-Controller sende, würde es funktionieren (was ich aber nicht will).

LG, Dextha
Mitglied: tomolpi
21.05.2019 um 10:42 Uhr
Zitat von Dextha:

Hallo,

ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich möglich, auf einen RODC Passwortänderungen zu senden? Ich bekomme dabei nämlich immer LDAP - Modify password error 10 (Referral). Wenn ich die Passwortänderung an den schreibbaren Domain-Controller sende, würde es funktionieren (was ich aber nicht will).
Du weißt aber schon, dass ein RODC, wie der Name schon sagt, nur read-only ist?
Da ist nichts mit schreiben, das hast du ja gemerkt
Nur lesen geht.
LG, Dextha
tomolpi
Bitte warten ..
Mitglied: Dani
21.05.2019 um 10:46 Uhr
Moin,
Ist das grundsätzlich möglich, auf einen RODC Passwortänderungen zu senden?
Nein.

Wenn ich die Passwortänderung an den schreibbaren Domain-Controller sende, würde es funktionieren (was ich aber nicht will).
Klingt nach einem Henne-Ei Problem. Du hast einen RODC willst dort das Passwort ändern. Dafür bräuchst du einen WRDC an der Stelle. Was du aber widerrum nicht willst.


Gruß,
Dani
Bitte warten ..
Mitglied: emeriks
21.05.2019, aktualisiert um 11:01 Uhr
Hi,
das sollte funktionieren. Voraussetzung, der RODC kann einen schreibbaren DC erreichen und an diesen die Änderung delegieren.

Change User Account Password Against an RODC - Client Application

E.
Bitte warten ..
Mitglied: it-fraggle
21.05.2019 um 11:04 Uhr
Da wird man alt wie eine Kuh und lernt dann immer noch dazu. Da kann man mal sehen was man alles nicht weiß.
Bitte warten ..
Mitglied: tomolpi
21.05.2019 um 11:11 Uhr
Zitat von emeriks:

Hi,
das sollte funktionieren. Voraussetzung, der RODC kann einen schreibbaren DC erreichen und an diesen die Änderung delegieren.

Change User Account Password Against an RODC - Client Application
Ich schließe mich den Lernenden an und staune
E.
Bitte warten ..
Mitglied: certifiedit.net
21.05.2019 um 11:48 Uhr
OK, und dann kannst im Endeffekt auch gleich wieder einen "normalen" DC implementieren, weil du ja doch wieder auf dem RODC schreibst. mh...War wohl jemand bei Microsoft am Freitag am Arbeiten?!

Grüße...
Bitte warten ..
Mitglied: emeriks
21.05.2019, aktualisiert um 11:54 Uhr
Zitat von certifiedit.net:
OK, und dann kannst im Endeffekt auch gleich wieder einen "normalen" DC implementieren, weil du ja doch wieder auf dem RODC schreibst. mh...War wohl jemand bei Microsoft am Freitag am Arbeiten?!
Nein, wieso?

Der Sinn eines RODC liegt doch nur darin, dass dieser nicht offline (ausgeschaltet) manipuliert werden kann und diese Manipulationen dann nicht zu den anderen repliziert, wenn er wieder online ist.

Die Passwortänderung nimmt er erstmal an. Dann sendet er diese an einen schreibbaren DC, vorzugsweise an den PDC-Emulator. Erst wenn dieser DC die Änderung bestätigt, dann gilt diese. Wo soll da das Problem sein?
Bitte warten ..
Mitglied: certifiedit.net
21.05.2019 um 11:57 Uhr
Der RODC stellt einen vollwertigen Domain Controller dar. Allerdings kann von dem Controllertyp nur gelesen werden. Schreibende Zugriffe auf die Active Directory DS-Datenbank werden unterbunden.[1]

Daraus lese ich eine Unsinnigkeit, denn ich betrachtete einen solchen rein als "Proxy ggf. Cache" fürs AD. Wenn er aber nun auch Schreibanweisungen annimmt...

Kann man natürlich wie du verargumentieren, aber das ist so ein Sicherheitskonzept wie, die einzige Sicherheitsbarriere am Server ist eine Abschottung der Platten durch Verschlüsselung, wenn er aus ist - und sonst alles offen wie ein Scheunentor.

Vielleicht auch nur philosophisch zu ergründen.
Bitte warten ..
Mitglied: emeriks
21.05.2019 um 12:46 Uhr
Zitat von certifiedit.net:
verargumentieren
???

Ein Proxy leitet Daten weiter. Das ist vollkommen korrekt so. Sinn der Sache.
Der RODC ist beides: Proxy und Cache.

Kann man natürlich wie du verargumentieren, aber das ist so ein Sicherheitskonzept wie, die einzige Sicherheitsbarriere am Server ist eine Abschottung der Platten durch Verschlüsselung, wenn er aus ist - und sonst alles offen wie ein Scheunentor.

Auch eine Verschlüsselung kann man knacken. Doch selbst dann kannst Du mit den Daten dieses RODC nicht viel anfangen, wenn dort keine Passwörter gespeichert sind.
Bitte warten ..
Mitglied: certifiedit.net
21.05.2019 um 12:50 Uhr
Wir drehen uns im Kreis und ich glaub, du willst gar nicht auf den eigentlich Punkt "Mehrwert" des RODC im laufenden Betrieb eingehen.

Von daher, lassen wir das.
Bitte warten ..
Mitglied: Dani
21.05.2019 um 13:05 Uhr
@emeriks
das sollte funktionieren. Voraussetzung, der RODC kann einen schreibbaren DC erreichen und an diesen die Änderung delegieren.
Bei einem normalen Vorgang has du Recht. Aber der Fragesteller gibt in seinem Skript wohl fix den Namen/IP des RODC an. Somit wird der obengenannte Fehler erzeugt, weil das Passwort nicht geändert werden kann.


Gruß,
Dani
Bitte warten ..
Mitglied: Dextha
21.05.2019 um 13:07 Uhr
Hallo Emeriks,

danke für die Info! Genau sowas suche ich. Hast du da zufällig noch wo ein howto dafür?

LG, Dextha
Bitte warten ..
Mitglied: emeriks
21.05.2019 um 13:49 Uhr
In dem von mir genannten Link steht doch alles drin.

Versuchst Du tatsächlich eine Änderung des Passworts oder ein Reset dessen?
Bei einer Änderung muss man auch das alte Passwort angeben. Beim Reset nicht, braucht aber entsprechende Rechte dafür.
Reset über RODC geht meines Wissens nicht.
Ändern schon.

Da PHP nicht mein Ding ist, kann ich Dir jetzt auch nicht sagen, wie man das damit anstellen muss. Aber ich kann Dir ein Beispiel für VBS nennen, mit welchem Du die Funktionalität prinzipiell testen kannst.

Dieses auf einem Windows Domain Member ausführen.

test.vbs
01.
Dim UserDN
02.
UserDN = "distinguishedName-des-Benutzerkontos" 
03.
' Bsp.: UserDN = "CN=Müller\, Peter,OU=Benutzerkonten,DC=domain,DC=tld"
04.

05.
Dim RODC
06.
RODC = "FQDN-des-RODC"
07.
' Bsp.: RODC = "rodc1.domain.tld"
08.

09.
Dim UserObject
10.
Set UserObject = GetObject("LDAP://" & RODC & "/" & UserDN)
11.
UserObject.ChangePassword "altes-Passwort", "neues-Passwort"
Bitte warten ..
Mitglied: emeriks
21.05.2019 um 13:49 Uhr
Zitat von certifiedit.net:
ich glaub, du willst gar nicht auf den eigentlich Punkt "Mehrwert" des RODC im laufenden Betrieb eingehen
Oha!
Bitte warten ..
Mitglied: rzlbrnft
21.05.2019 um 14:05 Uhr
Zitat von certifiedit.net:
Wir drehen uns im Kreis und ich glaub, du willst gar nicht auf den eigentlich Punkt "Mehrwert" des RODC im laufenden Betrieb eingehen.

Der dürfte doch auf der Hand liegen, du hast in der ungesicherten Filiale einen DC mit beschnittenen Möglichkeiten liegen, falls dir jemand deinen Container aufbricht und den Server klaut kann er nicht allzu viel damit anfangen.

Für die beschriebene Anwendung macht das aber wenig Sinn, denn entweder erlaube ich das schreiben oder nicht, der RODC ist hier nur ein Umweg.
Würde jemand die Website hacken, wäre das keine Absicherung, da die Schreibvorgänge ja trotzdem autorisiert sind.
Bitte warten ..
Mitglied: certifiedit.net
21.05.2019 um 15:21 Uhr
Der dürfte doch auf der Hand liegen, du hast in der ungesicherten Filiale einen DC mit beschnittenen Möglichkeiten liegen, falls dir jemand deinen Container aufbricht und den Server klaut kann er nicht allzu viel damit anfangen.

Containerbeispiel, absolut deiner Meinung.

Für die beschriebene Anwendung macht das aber wenig Sinn, denn entweder erlaube ich das schreiben oder nicht, der RODC ist hier nur ein Umweg.

und genau darauf wollte ich hinaus.
Bitte warten ..
Mitglied: emeriks
21.05.2019, aktualisiert um 15:37 Uhr
Der RODC ist hier kein Umweg sondern einfach ein Sicherheitskanal. Quasi ein Reverse Proxy. Ein Reverse Proxy für eine Website z.B. verliert ja auch nicht seinen Sinn, wenn man darüber Passwörter ändern oder sonstige Daten hochladen kann.
Bitte warten ..
Mitglied: rzlbrnft
21.05.2019, aktualisiert um 15:49 Uhr
Den grundsätzlichen Sinn vielleicht nicht, aber ich denke Dextha will dadurch die Sicherheit seiner Webanwendung erhöhen, was der RODC in dem Fall aber nicht hergibt, weil er für die Passwortänderung gar nicht zuständig ist.
Bitte warten ..
Mitglied: emeriks
21.05.2019 um 16:00 Uhr
Zitat von rzlbrnft:
... Dextha ...
Dextha?
Bitte warten ..
Mitglied: Dextha
21.05.2019 um 16:20 Uhr
Der Grundgedanke lag darin, dass keine Zugangsdaten in dem Netz liegen, wo auch der Web-Server steht. Leider haben sich die Anforderungen dahingehend geändert, dass sich die User (die ausschließlich Zugriff auf das Web-Portal haben) auch die Zugangsdaten ändern wollen, oder auch einen Self-Service mit Passwort vergessen brauchen. Daher wollte ich den wenigsten Aufwand betreiben und den RODC dahingehend aufbohren, dass dieser zusätzlich diese Funktionen unterstützt.

Die Frage ist jetzt nur, wie ich das am besten umsetze....
Bitte warten ..
Mitglied: Dani
21.05.2019, aktualisiert 04.06.2019
Moin,
nach deiner Beschreibung wäre eine Umsetzung mit Hilfe von SAML oder oAuth über AD FS und WAP der richtige Ansatz. Somit werden keinerlei Zugangsdaten zwischen gespeichert und die Kommunikation mit dem WRDC erfolgt über AD FS (HTTPs). Besser geht es dann eigentlich kaum mehr...


Gruß,
Dani
Bitte warten ..
Mitglied: Dextha
21.05.2019 um 16:42 Uhr
Ja vermutlich... dann werd mich mich mal auf die Suche nach einer guten Beschreibung von AD FS machen

Danke euch allen!
Bitte warten ..
Mitglied: Dani
21.05.2019 um 16:46 Uhr
Moin,
Ja vermutlich... dann werd mich mich mal auf die Suche nach einer guten Beschreibung von AD FS machen
Microsoft Docs sind eine gute Anlaufstelle. Je nachdem wie gut du mit Deutsch/Englisch klar kommst. Ansonsten ist dazu auch vieles in meinen Kopf abgelegt. Aber mich kannst du nicht "suchen".


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Windows Server
RODC Offline
gelöst Frage von TOAOICEWindows Server6 Kommentare

Hallo, da wir an einem Standort das Netz umbauen, wäre es mal interessant zu wissen, wie lange ein RODC ...

Windows Server
RODC in DMZ
Frage von ImPi007Windows Server4 Kommentare

Hallo Liebe Gemeinde, ich habe eine Herausforderung im Bereich RODC in DMZ. Ich weiss, es gibt tausende Artikel im ...

Windows Server
RODC an den Außenstandorten
gelöst Frage von TOAOICEWindows Server11 Kommentare

Hallo, ich hätte da mal ein Problem. Folgendes zur Umgebung: Standort A - De - Hauptstandort 10.10.96.0/21 Standort B ...

Windows Server
RODC über VPN - Verbindung weg
Frage von stefan2k1Windows Server11 Kommentare

Hallo, habe mal eine Frage an euch. Wir haben einen RODC im Ausland (Frankreich) über VPN angebunden, läuft auch ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 1 StundeWindows 103 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 18 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 23 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk17 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement15 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...