dudu78136
Goto Top

AD DS Syncronisation in DMZ

Hallo zusammen,

ich will ganz kurz den Aufbau erklären welcher ich habe:
Es handelt sich um ein LDAP Abfrage in einer DMZ Umgebung welche Informationen über User aus dem AD benötigt.

Vorgaben:
Es darf kein Zugriff von der DMZ nach Intern statt finden. Jegliche Kommunikation ist unterbunden. Es dürfen die Informationen nur von Intern nach DMZ transferiert werden.

Komponenten:
Windows Server 2008 R2 oder alles was man dazu bräuchte

Was ich bisher schon gefunden habe ist der Nachfolger vom ADAM = AD LDS. Was mir noch nicht ganz klar ist, ob diese Tool nur mit einer Kommunikation vom Internennetz in die DMZ klar kommt. Laut Technet Seiten gibt es hier zwar die Push-funktion. Bin mir hier aber nicht sicher ob diese nicht doch eine two-Way Kommunikation braucht um sich zu authentifizieren.

Wenn jemand damit Erfahrung hat würde ich mich über eine paar Infos sehr freuen. Besonders wie der Aufbau aussieht um einen one-Way Kommunikation herzustellen.

Mercy

Gruss Manuel

Content-Key: 148120

Url: https://administrator.de/contentid/148120

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: 51705
51705 02.08.2010 um 22:38:08 Uhr
Goto Top
Zitat von @dudu78136:
Vorgaben:
Es darf kein Zugriff von der DMZ nach Intern statt finden. Jegliche Kommunikation ist unterbunden. Es dürfen die
Informationen nur von Intern nach DMZ transferiert werden.

das wird so nicht funktionieren, ggf. ist RODC ein Ansatzpunkt?

Grüße, Steffen
Mitglied: dudu78136
dudu78136 03.08.2010 um 13:32:10 Uhr
Goto Top
nein ein RODC ist leider keine Lösung, weil dieser für die Syncronisation (auch wenn nur read only) wesentlich mehr Ports benötigt wie der ADLDS.

Ich habe einen kleinen Ansatz gefunden:

ADLDS im internen Netz und einen in der DMZ. Der Interne ist für die Sync mit AD DS zuständig. Für die Replikation zwischen den beiden AD LDS ist es wohl möglich eine unidirektionale Sync einzurichten (es gibt an den AD LDS keine Änderungen). Somit hätte ich mein Ziel erreicht. Bis auf das diese Umgebung sehr aufwendig ist und so gut wie überhaupt nicht dokumentiert.

Falls du diesem Lösungsprinzip jemand Erfahrung hat oder irgendwelche Hilfe findet würde ich mich über einen Post sehr freuen.

Gruss Manuel
Mitglied: dudu78136
dudu78136 07.10.2010 um 13:08:19 Uhr
Goto Top
Gibt nur die möglichkeite über AD LDS. Danke für die Hilfe