Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RODC in DMZ

Mitglied: ImPi007

ImPi007 (Level 1) - Jetzt verbinden

11.07.2018 um 21:38 Uhr, 458 Aufrufe, 4 Kommentare

Hallo Liebe Gemeinde,

ich habe eine Herausforderung im Bereich RODC in DMZ.

Ich weiss, es gibt tausende Artikel im Internet - doch irgendwie werde ich nicht schlau hieraus.
Vielleicht könnt Ihr mir einen Tipp geben.

Anforderung:
Diverse Clients verbunden via VPN - (VPN endet in DMZ, da der Zugriff etwas risiko-behaftet ist) -> Authentifizierung soll gegen RODC erfolgen
und
weitere Server im Bereich der DMZ sollen sich im AD authentifizieren können via RODC

Geplanter / teildurchgeführter Aufbau:
2 RW-DCs in der Domäne, 1 RODC im Bereich der DMZ - logischerweise getrennt durch eine Firewall

Clients / Server und RODC befinden sich in DMZ (auch AD-Site DMZ)
RWDCs im Innern (AD Site Intern)

Clients / Server haben als DNS den RODC eingetragen.

Zugriff nur zwischen RODC und RWDCs auf Firewall freigegeben
RODC ist auch RO-DNS und GC
Es sollen keine Passwörter etc. auf dem RODC gespeichert werden - alle Anfragen sollen an die RWDCs weitergegeben werden (somit gibt es keine Mitglieder in der Gruppe "Zugelassene Kennwortreplikation") - er soll quasi als Proxy agieren, damit Clients / DMZ-Server nicht mit den RWDCs sprechen müssen

Alles funktioniert:
Die Server/Clients authentifizieren sich gegen den RODC, beziehen GPOs hierüber und sind in der richtigen Site.
Trotzdem stelle ich fest, dass die Systeme immer wieder versuchen die RWDCs anzusprechen (z.B. auf Port 389, 53 etc.) - dies wird durch die Firewall geblockt

Meine Frage:
Warum passiert das? Ich würde gerne diesen "sinnlosen" Traffic loswerden.
und
Kann es zu Problemen kommen, wenn die Systeme nicht auf die RWDCs zugreifen können?

Noch eine Anmerkung:
Es handelt sich nicht um eine "klassische" DMZ - es befinden sich hier keine Webserver mit Internetzugriff.
Ich würde gerne die Diskussion über die Sinnhaftigkeit von RODCs in der DMZ möglichst klein halten.

Ich danke Euch sehr herzlich!

Mitglied: Pjordorf
11.07.2018 um 22:13 Uhr
Hallo,

Zitat von ImPi007:
Es sollen keine Passwörter etc. auf dem RODC gespeichert werden
Selbst auf normale DCs (RWDCs) sind keine Passwörter im AD gespeichert. Dort sind höchstens die Hasches zu finden. Selbst ein NT4 DC kennt die eigentlichen Passwörter nicht.

Trotzdem stelle ich fest, dass die Systeme immer wieder versuchen die RWDCs anzusprechen (z.B. auf Port 389, 53 etc.) - dies wird durch die Firewall geblockt
Schon mal geschaut wer oder was von PORT 389 genutzt wird? Und bedenke, wenn dein RODC in der Domäne keinerlei Benutzerpasswörter kenn würde, wie sollen die dann am RWDC abgefragt werden? Und dein Port 53 ist eigentlich DNS. Warum will dein RODC den DNS in der Domäne anfragen? Klingelingeling - hier kommt der ...

Warum passiert das? Ich würde gerne diesen "sinnlosen" Traffic loswerden.
Was für dich evtl Sinnlos ist kann aber Lebenswichtig sein. Ein Wireshark hilft dir Erkentnisse zu bekommen.

Kann es zu Problemen kommen, wenn die Systeme nicht auf die RWDCs zugreifen können?
Warum soll dein RODC denn von seinen Kollegen abgeschnitten werden und wo soll der dann Anfragen wenn er etwas nicht kennt? RODC bedeutet ja nur das er Schreibgeschützt ist, nicht das er allwissend ist

Gruß,
Peter
Bitte warten ..
Mitglied: ImPi007
11.07.2018 um 23:11 Uhr
Hallo Peter,

vielen Dank für deine Antwort.
Leider scheinst Du meinen Beitrag nicht ganz verstanden oder nicht richtig gelesen zu haben...
Die leicht überhebliche Art finde ich etwas unangemessen - aber ich denke Du meinst dies nicht so negativ wie es klingt...

-Mir ist bewusst, dass DCs keine Passwörter speichern - hier ist gemeint, dass auf dem RODC keine Anmeldedaten/Hashes vorgehalten werden sollen (für welchen Zweck ein RODC ja eigentlich gedacht ist - z.B. bei Verbindungsverlust die Anmeldung in der Außenstelle trotzdem zu ermöglichen)

-Das Port 389 LDAP ist und Port 53 DNS ist mir klar - die Frage ist aber, wieso die Server und Clients in der DMZ diese Anfrage an die RWDCs stellen und nicht an den in Ihrer Site vorhandenen RODC / RO-DNS
Das der RODC DNS-Anfragen an die RW-DCs sendet ist in diesem Aufbau normal, korrekt und wird durch die Firewall zugelassen.

-Ich sehe den (geblockten) Traffic auf der Firewall - ein Wireshark-Dump hilft mir eher nicht weiter

-Da die Authentifizierung und Co funktionieren, zielte meine Frage darauf ab, ob es zu Fehlern kommen kann, wenn die Clients/Server in der DMZ die RWDCs auf Dauer nicht erreichen können.

Ich danke Dir für deine Bemühungen und hoffe etwas Licht ins Dunkel gebracht zu haben.
Gruß
Mario
Bitte warten ..
Mitglied: Pjordorf
11.07.2018 um 23:42 Uhr
Hallo,

Zitat von ImPi007:
nicht richtig gelesen zu haben...
Das wird es sein

aber ich denke Du meinst dies nicht so negativ wie es klingt...
Si

-Das Port 389 LDAP ist und Port 53 DNS ist mir klar - die Frage ist aber, wieso die Server und Clients in der DMZ diese Anfrage an die RWDCs stellen und nicht an den in Ihrer Site vorhandenen RODC / RO-DNS
Nun den Server (dein RODC) lassen wir mal ausen vor. Gibt es dort noch andere Server? Was deine dortigen Clients betrifft, ich dachte das sind dein VPN Clients weil du in dieser DNZ eher keine Clients hast, oder? Aber egal, wenn ein Client per Port 53 einen DNS sucht, hat ihm das ja jemand oder ein DHCP so mitgeteilt - aöso Konfiguration. Ansonsten hilft Wireshark und / oder ein TCPView (Sysinternals). Das deine Clients sich diese IP als DNS ausdenken, das glaube ich eher nicht

ob es zu Fehlern kommen kann, wenn die Clients/Server in der DMZ die RWDCs auf Dauer nicht erreichen können.
Sollen deine Clients doch gar nicht, dafür hast du doch dir deinen RODC hingestellt - und der kennt hoffentlich die gesuchten Antworten.

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
12.07.2018, aktualisiert um 09:02 Uhr
Hi,
ich vermute, Du hast vergessen, die DMZ und die einzelnen VPN-Subnetze als Standort- und Subnetz-Objekte im AD anzulegen?

Falls ja, dann gehe wie folgt vor:
In der MMC "Standorte und Dienste" ...
  • Erstelle ein Subnet-Objekt für die DMZ.
  • Erstelle ein Site-Objekt für die DMZ und ordne das Subnet-Objekt zu
  • Erstelle ein Site-Link zwischen erstem Standort und DMZ-Standort --> ändere das Replikationsintervall auf Minimum "15 min"
  • Verschiebe das Serverobjekt des RODC in den DMZ-Standort
  • Erstelle je ein Subnet-Objekte für alle VPN-Netze (dort, wo die Clients drin sind).
  • Erstelle EIN Site-Objekt für alle VPN-Standorte zusammen und bennen es z.B. "ohne DC" oder "VPN Standorte" und ordne diesem alle Subnet-Objekte der VPN-Standorte zu
  • Erstelle ein Site-Link zwischen DMZ-Standort und VPN-Standort (nicht zum ersten Standort mit den Write-DC!)
  • Warte die Replikation ab!

Jetzt sollten die Clients nach und nach mitbekommen, dass sie zu einem anderen AD-Standort gehören und dass nach der AD-Topologie der RODC der näheste DC ist. Solange dieser reagiert, werden sie nach keinem anderen DC fragen.

E.

Edit: Reihenfolge geändert. RODC muss früher in seinen Standort verschoben werden, sonst kann zu Problemen am Client kommen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

RODC in DMZ - Replikationspartner bestimmen bzw. auswählen

gelöst Frage von kilrathiWindows Server3 Kommentare

Hallo zusammen, Ich habe einen RODC in einer DMZ stehen. Weiterhin gibt es an einem anderen Standort X einen ...

Windows Server

RODC Offline

gelöst Frage von TOAOICEWindows Server6 Kommentare

Hallo, da wir an einem Standort das Netz umbauen, wäre es mal interessant zu wissen, wie lange ein RODC ...

Windows Server

RODC Klonen

Frage von Jannis92Windows Server3 Kommentare

Moin Moin, ich mal wieder :) Frage: Hat hier jemand Erfahrungswerte in Sachen "RODC Klonen"? Hintergrund: Bei uns in ...

Windows Server

RODC an den Außenstandorten

gelöst Frage von TOAOICEWindows Server11 Kommentare

Hallo, ich hätte da mal ein Problem. Folgendes zur Umgebung: Standort A - De - Hauptstandort 10.10.96.0/21 Standort B ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)2 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 5 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 5 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore22 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...