Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DC in der Cloud lässt keinen Domänenbeitrit zu

Mitglied: Destination

Destination (Level 1) - Jetzt verbinden

10.10.2018 um 12:52 Uhr, 585 Aufrufe, 44 Kommentare, 2 Danke

Hallo Forum.

Ich hab ein Problem bei dem ich einfach nicht mehr weiterkomme. Vielleicht hat jemand von Euch einen Ansatz.
Bitte schreibt mir einen Kommentar, wenn etwas unklar sein sollte. Vielen Dank schon mal vorab...

Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse.
DNS ist aktiv, DHCP nicht...
Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es (ich weiß es wird kritisch gesehen, aber der technische Hintergrund interessiert mich erstmal).

Folgendermaßen gehe ich vor:

• Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
• In den IP Einstellungen gebe ich den DC in der Cloud als bevorzugten DNS mit
• IPV6 ist auf Client und Server deaktiviert
...


Domänenbeitritt Client: Dieser PC-Eigenschaften-Einstellungen für... Domäne... Netzwerk ID
Hier findet er auch das Adminkonto auf dem DC in der Cloud und frägt, ob das verwendet werden soll.
Sobald ich das bestätige erscheint ein Wartesymbol, Nach einer Weile erscheint jedesmal die Meldung:

Der Domänenname "DOMÄNENNAME" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein,
stellen Sie sicher, dass der Name bei WINS registriert ist.

Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt,
können folgende Informationen bei der Behandlung von Problemen mit der DNS-Konfiguration behilflich sein:

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten,
der zur Suche eines Active Directory-Domänencontrollers für die Domäne "DOMÄNENNAME" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."

(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.DOMÄNENNAME.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert.
Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird.
Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert.
Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

IP Adresse 1 (DNS1)
IP Adresse 2 (DNS2)
IP Adresse 3 (DNS3)

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

DOMÄNENNAME
. (die Stammzone)


44 Antworten
Mitglied: erikro
10.10.2018 um 12:58 Uhr
Moin,

gibst Du den Domänenname ohne tld an? Wenn ja, dann gib die tld mal mit.

hth

Erik
Bitte warten ..
Mitglied: Pjordorf
10.10.2018 um 13:05 Uhr
Hallo,

Zitat von Destination:
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wie ist dessen IP?

Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es
Wie ist dessen IP?
Welchen DNS soll er nutzen?

• IPV6 ist auf Client und Server deaktiviert
Wie und wo genau hast du IPv6 Deaktiviert?

Wie wird dein Server in der Wolke erreicht? Routing, Bridging, VPN?

Gruß,
Peter
Bitte warten ..
Mitglied: Kraemer
10.10.2018 um 13:09 Uhr
Moin,

Zitat von Destination:
• Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
die Config muss zu dem lokalen Netz passen - hat soweit erst einmal nichts mit dem DC zu tun

• In den IP Einstellungen gebe ich den DC in der Cloud als bevorzugten DNS mit
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein

• IPV6 ist auf Client und Server deaktiviert
exakt das Gegenteil von dem, was Microsoft empfiehlt

weiters muss am Client der Verbindungsspezifisches DNS-Suffix am Client gesetzt sein, oder aber du musst bei der Anmeldung den ganzen Namen des AD-Servers angeben (siehe @erikro)

Gruß
Bitte warten ..
Mitglied: Vision2015
10.10.2018 um 13:26 Uhr
Moin...

wir reden doch darüber, das du die verbindung über ein VPN aufbaust, und dein netz ein 192.168.1.0/24 oder ähnlich ist... oder?

Frank
Bitte warten ..
Mitglied: SlainteMhath
10.10.2018 um 14:09 Uhr
Moin,

@Kraemer
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein
Das ist Quatsch. Natürlich darf der Client mehrere DNS Server eingetragen haben, die müssen aber alle die AD-spezifischen Records aufweisen

@Destination
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse.
...
Der Client hat eine feste IP (und auch die gleiche Subnetmask wie der DC)
Kannst du das mal genauer erläutern? Sind das Private IPs und Server/Client sind per VPN verbunden?

lg,
Slainte
Bitte warten ..
Mitglied: Kraemer
10.10.2018, aktualisiert um 14:23 Uhr
Zitat von SlainteMhath:

Moin,

@Kraemer
der Client darf exakt einen DNS-Server haben - und das muss ein DNS aus dem AD sein
Das ist Quatsch. Natürlich darf der Client mehrere DNS Server eingetragen haben, die müssen aber alle die AD-spezifischen Records aufweisen
Recht hast de - habe den Satz umgestellt und dabei ist Murks rausgekommen.
Bitte warten ..
Mitglied: Destination
10.10.2018, aktualisiert um 15:02 Uhr
@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
Bitte warten ..
Mitglied: Destination
10.10.2018, aktualisiert um 15:03 Uhr
@erikro
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?
Bitte warten ..
Mitglied: Destination
10.10.2018 um 15:00 Uhr
Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
Bitte warten ..
Mitglied: Kraemer
10.10.2018 um 15:12 Uhr
Zitat von Destination:

Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
und du wunderst dich?
Bitte warten ..
Mitglied: erikro
10.10.2018 um 15:28 Uhr
Zitat von Destination:

@erikro
Hi. Ich gebe die tld immer mit. Also DOMÄNENNAME.XYZ heißt die Domäne. Und das trage ich ein. Meintest Du das?

Ja, das meinte ich.

Was gibt denn

01.
nslookup domainname.tld
auf dem Client zurück?
Bitte warten ..
Mitglied: Lochkartenstanzer
10.10.2018 um 15:29 Uhr
Zitat von erikro:

Was gibt denn

01.
nslookup domainname.tld
auf dem Client zurück?


Darf der Client überhaupt den DNS auf dem Server benutzen?

lks
Bitte warten ..
Mitglied: Vision2015
10.10.2018 um 16:00 Uhr
Zitat von Destination:

@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
ist jetzt nicht dein ernst.... oder ?

Frank
Bitte warten ..
Mitglied: Destination
10.10.2018 um 16:46 Uhr
Zitat von Pjordorf:

Hallo,

Zitat von Destination:
Und zwar hab ich einen DC (Windows 2016) in der Cloud aufgesetzt. Dieser hat eine feste IP Adresse. DNS ist aktiv, DHCP nicht...
Wie ist dessen IP?

Wenn ich nun einen Client (Win10) versuche in diese Domäne zu bringen, scheitert es
Wie ist dessen IP?
• 192.168.168.5

Welchen DNS soll er nutzen?
Vom Domänencontroller in der Cloud. Oder verstehe ich Deine Frage falsch?

• IPV6 ist auf Client und Server deaktiviert
Wie und wo genau hast du IPv6 Deaktiviert?
• Im Netzwerkadapter den Haken bei der Checkbox entfernt.

Wie wird dein Server in der Wolke erreicht? Routing, Bridging, VPN?
• Bridging


Gruß,
Peter
Bitte warten ..
Mitglied: Destination
10.10.2018 um 16:48 Uhr
Zitat von Vision2015:

Zitat von Destination:

@Vision2015
Hi. Nein. In der Firewall ist eine Ausnahme für diese IP eingetragen. Das bedeutet also, dass nur eine IP Adresse diesen Dienst (z.B. DNS) nutzen darf.
ist jetzt nicht dein ernst.... oder ?
• Doch ist mein Ernst. Wie sollte es anders gehen?

Frank
Bitte warten ..
Mitglied: Kraemer
10.10.2018 um 16:52 Uhr
Zitat von Destination:
• Doch ist mein Ernst. Wie sollte es anders gehen?
sag mal, hast du die Maschine mit nacktem Arsch im Internet hängen? Sprich ohne VPN oder ähnlicher Technik?
Bitte warten ..
Mitglied: Destination
10.10.2018 um 16:52 Uhr
Zitat von Kraemer:

Zitat von Destination:

Hi. Nein. In der Firewall des DC ist eine Ausnahme für nur eine IP eingetragen, die den Dienst (z.B. DNS) nutzen darf.
und du wunderst dich?
• Könntest Du das etwas konkretisieren was Du meinst? Sorry, ich steh gerade etwas auf dem Schlauch.
Bitte warten ..
Mitglied: Destination
10.10.2018 um 16:54 Uhr
Zitat von Kraemer:

Zitat von Destination:
• Doch ist mein Ernst. Wie sollte es anders gehen?
sag mal, hast du die Maschine mit nacktem Arsch im Internet hängen? Sprich ohne VPN oder ähnlicher Technik?
• Nein. Es ist eigentlich ein vLAN. Mit einer Softwarefirewall. Davor hängt eine Hardwarefirewall (Ich verstehe Deine Einwände,
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
Bitte warten ..
Mitglied: Kraemer
10.10.2018, aktualisiert um 17:02 Uhr
OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?

Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
Bitte warten ..
Mitglied: Destination
10.10.2018 um 17:22 Uhr
Zitat von Lochkartenstanzer:

Zitat von erikro:

Was gibt denn

01.
nslookup domainname.tld
auf dem Client zurück?
• Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.


Darf der Client überhaupt den DNS auf dem Server benutzen?
• Ich hab den Rechner dem DC im ActiveDirectory hinzugefügt. In der Reversezone hab ich einen PTR Zeiger auf die IP erstellt.

lks
Bitte warten ..
Mitglied: Destination
10.10.2018 um 17:26 Uhr
Zitat von Kraemer:

OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268

Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
Bitte warten ..
Mitglied: Vision2015
10.10.2018, aktualisiert um 17:34 Uhr
Moin..
Zitat von Destination:

Zitat von Kraemer:

Zitat von Destination:
• Doch ist mein Ernst. Wie sollte es anders gehen?
kollidiert mit:
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
richtig wäre es aber genau umgekehrt....

wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
und noch was... falls du deine öffentliche Internet apparatur, im auftrag eines kunden zusammelötest, schreib das besser nicht...
ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt

aber ich kenne da wen (nicht ich), der certifiziert in der IT gegen geld unterwegs ist
(sorry Cristian, aber der mußte jetzt raus....)

Frank
Bitte warten ..
Mitglied: Vision2015
10.10.2018 um 17:37 Uhr
Moin...
Zitat von Destination:

Zitat von Kraemer:

OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268
sagst du uns auch deine öffentliche IP?


Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
mit welcher IP steht der DC den drin?

Frank
Bitte warten ..
Mitglied: Destination
10.10.2018, aktualisiert um 17:54 Uhr
Zitat von Vision2015:

Moin..
Zitat von Destination:

Zitat von Kraemer:

Zitat von Destination:
• Doch ist mein Ernst. Wie sollte es anders gehen?
kollidiert mit:
aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).
richtig wäre es aber genau umgekehrt....

wenn du mich fragst, hast du von Tuten und Blasen keine Ahnung...
tu dir doch bitte selbst einen gefallen, höre auf das, was die kollegen schreiben...
• Jeder hat mal an einem Punkt angefangen. Und wie gesagt, geht es erst mal darum hier KnowHow aufzubauen.
und noch was... falls du deine öffentliche Internet apparatur, im auftrag eines kunden zusammelötest, schreib das besser nicht...
ahnungslose dienstleister mit foren wissen sind nicht sooo beliebt
• Ist es auch nicht. Es ist zu Testzwecken.
aber ich kenne da wen (nicht ich), der certifiziert in der IT gegen geld unterwegs ist
• Kenn ich auch. Ist aber nicht Sinn der Sache.
(sorry Cristian, aber der mußte jetzt raus....)

Frank

Von Dir kam bis jetzt:

  • "Moin...
wir reden doch darüber, das du die verbindung über ein VPN aufbaust, und dein netz ein 192.168.1.0/24 oder ähnlich ist... oder?
Frank"

Und

"ist jetzt nicht dein ernst.... oder ?

Frank"

OK. Es gibt noch einen weiteren Kommentar von Dir (hatte ich übersehen), aber der bringt mich nicht weiter. Es kann sein, dass hier sehr viele viel mehr Fachwissen haben, als ich. Aber deshalb hab ich mich ja an das Forum gewendet ;)

Und wenn Du keine Antworten liefern willst, ist das OK.
Aber bitte: Belehrungen brauch ich nicht.
Bitte warten ..
Mitglied: Exception
10.10.2018, aktualisiert um 18:27 Uhr
Hallo,

Jeder hat mal an einem Punkt angefangen. Und wie gesagt, geht es erst mal darum hier KnowHow aufzubauen.
Es ist zu Testzwecken.

Klar hat jeder IT-Administrator sein Wissen auch erst Aneignen müssen. Aber ein Server, der direkt am Netz hängt, ist nun mal kein Spielzeug und kann im schlimmsten Fall ernsthafte Konsequenzen haben. Aber gut, muss jeder selber wissen. Das Thema wurde ja schon tausend mal hier diskutiert.

Allerdings hast du vor dem Server eine Hardware Firewall? Dann ist doch alles gut. Dann befindet sich dein Server in der DMZ hinter der Firewall?
Was ich nicht verstehe: wenn du schon ohnehin eine Hardware Firewall vor deinem Server hast, warum nicht direkt ein VPN einrichten und das richtig machen?

aber ich würde es zuerst mal technisch verwirklichen und danach die Sicherheitsaspekte berücksichtigen).

Insbesondere wenn man erstmal was ausprobieren möchte, hat solch eine Umgebung nichts am Netz verloren. Generell Testumgebungen nur lokal in einem internen Netz. Auch wenn du vielleicht jetzt noch denkst, dass dein System in der Zeit definitiv nicht angegriffen wird. Das kann schneller gehen als man denkt. Und die Folgen sind sehr Unschön für andere Netz Teilnehmer und letztendlich für dich und dein Unternehmen.

Aber nun zum Thema zurück:

Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.

Nunja, dann kann der Client den Namen nicht auflösen. Das heißt, dein Client kann vermutlich keine Verbindung zu dem DNS herstellen.
Dadurch, dass du das über den öffentlichen Weg machen möchtest, muss bei deinem Client die öffentliche IP des DCs in den DNS Einstellungen hinterlegt werden. Hast du das gemacht?

Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.

Sind die anderen DNS Server auch DC's?

Auf jeden Fall solltest du mal die Verbindung zum DNS von dem DC testen. z.B. Du gibst folgendes ein:
nslookup
server <dc ip>
google.de

Wenn das nicht klappen sollte, dann kannst du von deinem Client keine Verbindung zum DC DNS herstellen. Dann prüfen, wo's hängt. Zum Beispiel bei deiner Firewall. Ich vermute mal, dass nur die Hardware Firewall eine öffentliche IP hat und alle Server in der DMZ nur private IP Adressen? Dann musst du auch NAT bzw. PAT einrichten, damit der Port von außen erreichbar ist.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: Destination
10.10.2018 um 18:19 Uhr
Danke für das Feedback. Ich werde jetzt mal die Tipps sortieren und meine Einstellungen hierzu abklopfen. Das Ergebnis werde ich dann posten.
Bitte warten ..
Mitglied: Vision2015
10.10.2018 um 19:12 Uhr
Moin...
Das zeugt ja von sehr viel Fachwissen. Und wenn Du keine Antworten liefern willst, ist das OK.
Aber bitte: Belehrungen brauch ich nicht.
...irgendwie doch!
wir haben dir doch schon mitgeteilt, das dein aufbau so nicht geht....
da sind so worte wie VPN gefallen.... das sollte dir erstmal zu denken geben!
Ist es auch nicht. Es ist zu Testzwecken.
auch zu Testzwecken ist es keine gute idee, den Server mit dem nacktem arsch in´s Internet zu hängen.

Frank
Bitte warten ..
Mitglied: Kraemer
10.10.2018, aktualisiert um 21:15 Uhr
Zitat von Destination:

Zitat von Kraemer:

OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268
also von Protokollen noch nichts gehört? Egal - auch deine Ports - Hausaufgaben nicht gemacht! http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/active_di ...

Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
wie schon mehrfach erwähnt - wenn auch nur einer der 3en den AD-Spezifischen Teil nicht enthält ist das Ganze ein Glücksspiel. Mach es richtig!

Tu dir selber einen Gefallen und lösch die Kiste und bau dir erst einmal eine Testumgebung! Das Problem ist: Du verstehst ja nicht einmal das wir dir hilfreiche Tipps geben weil du dir Materie nicht im Ansatz verstehst. Kauf dir nen Buch oder besorg dir nen Openbook un mach das Ganze zu Hause in einer virtualisierten Umgebung.
Bitte warten ..
Mitglied: erikro
11.10.2018 um 09:07 Uhr
Moin,

Zitat von Destination:

Zitat von Lochkartenstanzer:

Zitat von erikro:

Was gibt denn

01.
nslookup domainname.tld
auf dem Client zurück?
• Wenn ich nslookup domainname.tld angebe wird die Domäne nicht gefunden.

Aha. Erste Regel: Das AD steht und fällt mit DNS. Wenn Dein Client die Domäne nicht findet, wie soll er sich dann bei ihr anmelden?



Darf der Client überhaupt den DNS auf dem Server benutzen?
• Ich hab den Rechner dem DC im ActiveDirectory hinzugefügt. In der Reversezone hab ich einen PTR Zeiger auf die IP erstellt.

Die korrekte Antwort auf die Frage lautet: Nein. Dass Du den Rechner serverseitig vorbereitet hast - nein, hinzugefügt hast Du ihn noch nicht - hat mit der Frage, ob der Client den DNS-Server findet, benutzen darf und auch benutzt, nichts zu tun. Wie (fast) immer liegt hier der Hund begraben, wenn sich ein Client nicht in die Domain einbinden lässt: DNS ist falsch konfiguriert.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Destination
11.10.2018, aktualisiert um 09:46 Uhr
@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)
Bitte warten ..
Mitglied: Destination
11.10.2018 um 09:50 Uhr
@Kraemer
Danke für Dein Feedback. Ich werde mir das mal anschauen was Du schreibst.
Bitte warten ..
Mitglied: Destination
11.10.2018 um 09:51 Uhr
@erikro
Danke. Ich werde mir das mal anschauen.
Bitte warten ..
Mitglied: Exception
11.10.2018, aktualisiert um 10:03 Uhr
Zitat von Destination:

@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)

Nichts für ungut aber die Erfahrung zeigt leider etwas anderes. Sobald ein System funktioniert - egal ob gut oder schlecht konzeptiert, dann wird das meistens beibehalten. Testumgebungen werden produktiv verwendet. Erst wenn das bei einem Ausfall nicht mehr läuft und/oder aufgrund des schlechten IT Sicherheitskonzepz Daten geklaut werden bzw. die Infrastruktur kompromittiert wird, dann geht das Gehäule los.

Wie gesagt: Testumgebungen haben nichts am Netz verloren. Und wenn die Angreifer deine gekaperten Systeme für weitere Angriffe auf andere Systeme und/oder andere illegale Tätigkeiten missbrauchen, dann kann das auch ggf. ein juristisches Nachspiel für dich haben. Du bist als Betreiber verantwortlich. Wie gesagt...Systeme am Netz sind kein Spielzeug. ;)

Und das ganze richtig mit VPN umzusetzen ist Mehraufwand von max. 5 Minuten. Sollte eigentlich sogar einfacher sein, als ein DC öffentlich erreichbar machen zu wollen.
Bitte warten ..
Mitglied: lummel
11.10.2018, aktualisiert um 14:17 Uhr
Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Das sollte aber immer der erste Schritt sein! Anders herum lässt du sämtlichen Traffic zwischen DC und Client nämlich ohne weitere Vorkehrungen (wie erzwungenes IPSec) unverschlüsselt durchs Netz sausen, schon deswegen die schlechteste Idee überhaupt!!!
Bitte warten ..
Mitglied: Vision2015
11.10.2018 um 14:04 Uhr
Zitat von Destination:

@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)

nee...du bist beratungsresistent!
ich bin dann mal raus...
Bitte warten ..
Mitglied: Destination
12.10.2018 um 09:48 Uhr
Zitat von Exception:

Zitat von Destination:

@Vision2015
Hi. Ich schätze Eure Kommentare. Ich weiß, dass es mit VPN gehen würde. Aber das soll erstmal nicht so gemacht werden. Vielleicht als 2. Schritt.
Für technische Belehrungen bin ich immer dankbar ;)

Nichts für ungut aber die Erfahrung zeigt leider etwas anderes. Sobald ein System funktioniert - egal ob gut oder schlecht konzeptiert, dann wird das meistens beibehalten. Testumgebungen werden produktiv verwendet. Erst wenn das bei einem Ausfall nicht mehr läuft und/oder aufgrund des schlechten IT Sicherheitskonzepz Daten geklaut werden bzw. die Infrastruktur kompromittiert wird, dann geht das Gehäule los.

Wie gesagt: Testumgebungen haben nichts am Netz verloren. Und wenn die Angreifer deine gekaperten Systeme für weitere Angriffe auf andere Systeme und/oder andere illegale Tätigkeiten missbrauchen, dann kann das auch ggf. ein juristisches Nachspiel für dich haben. Du bist als Betreiber verantwortlich. Wie gesagt...Systeme am Netz sind kein Spielzeug. ;)

Und das ganze richtig mit VPN umzusetzen ist Mehraufwand von max. 5 Minuten. Sollte eigentlich sogar einfacher sein, als ein DC öffentlich erreichbar machen zu wollen.

• Ich hab jetzt einige Kommentare gelesen, die mich auch überzeugen, dass ich vielleicht mit dem falschen Ansatz an die Sache herangegangen bin. Wahrscheinlich ist es schon erstmal besser ein VPN aufzubauen und danach den Client an das AD zu binden. Ich werde das Konzept nochmal neu ausarbeiten. Es ist auch so, dass ich bisher in einer Firma hinter einer Firewall und mit VPN gearbeitet habe.
Bitte warten ..
Mitglied: Kraemer
12.10.2018 um 09:57 Uhr
Heureka
Bitte warten ..
Mitglied: lummel
12.10.2018, aktualisiert um 10:03 Uhr
Und das am Freitag . Dann bitte auch den Haken setzen.
Bitte warten ..
Mitglied: Destination
12.10.2018, aktualisiert um 10:31 Uhr
Zitat von Kraemer:

Zitat von Destination:

Zitat von Kraemer:

OK. Dann erzähle mal: Welche Ports und Protokolle werden für ein AD gebraucht?
Hast du die alle Berücksichtigt?
• Ports: 53, 135, 137, 139, 389, 445, 3268
also von Protokollen noch nichts gehört? Egal - auch deine Ports - Hausaufgaben nicht gemacht! http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/active_di ...

Wie ist das nun mit deinen Clients? Steht da nun nur 1 DNS drin oder mehrere?
• Da stehen mehrere drin. Insgesamt 3. Der erste ist der DC.
wie schon mehrfach erwähnt - wenn auch nur einer der 3en den AD-Spezifischen Teil nicht enthält ist das Ganze ein Glücksspiel. Mach es richtig!

Tu dir selber einen Gefallen und lösch die Kiste und bau dir erst einmal eine Testumgebung! Das Problem ist: Du verstehst ja nicht einmal das wir dir hilfreiche Tipps geben weil du dir Materie nicht im Ansatz verstehst. Kauf dir nen Buch oder besorg dir nen Openbook un mach das Ganze zu Hause in einer virtualisierten Umgebung.
• Nicht falsch verstehen. Ich in über Eure Tips dankbar. Es ist ja zu Testzwecken und der Server wird danach gelöscht. Es ging mir in erster Linie aber erstmal darum das technische KnowHow für eine DC in der Cloud zu erarbeiten.
Bitte warten ..
Mitglied: Destination
12.10.2018, aktualisiert um 10:38 Uhr
Zitat von lummel:

Und das am Freitag . Dann bitte auch den Haken setzen.

Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Bitte warten ..
Mitglied: lummel
12.10.2018, aktualisiert um 19:03 Uhr
Zitat von Destination:
Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Schlimm genug.
Bitte warten ..
Mitglied: Destination
14.10.2018, aktualisiert um 21:04 Uhr
Zitat von lummel:

Zitat von Destination:
Du meinst dieses Thema als gelöst markieren? Ich würde es noch ein paar Tage offen lassen, da ich noch an der Sache arbeite.
Schlimm genug.

Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so). Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).
Bitte warten ..
Mitglied: Exception
14.10.2018, aktualisiert um 21:20 Uhr
Guten Abend,

Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so).

Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.

Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).

Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)

Viele Grüße,
Exception
Bitte warten ..
Mitglied: Destination
14.10.2018 um 22:45 Uhr
Zitat von Exception:

Guten Abend,

Es ist nun mal so, dass vieles in die Cloud ausgelagert wird (ich denke das ist nicht nur in meiner Firma so).

Korrekt. Dagegen sagt ja auch niemand was. Aber Cloud heißt nicht Tag der offenen Tür (Daten). Auch dort muss ein anständiges Sicherheitskonzept vorhanden sein um interne Daten und Dienste nicht nach außen preiszugeben. Ansonsten ist dein Unternehmen schnell pleite. Viele große Cloud Anbieter bieten sogar spezielle VPN Dienste an um die Standorte sicher an die Cloud verknüpfen zu können. Beispiel Azure VPN Gateway.

Und auch wenn ich jetzt ein anderes Konzept erarbeite, heißt dass nicht, dass das Thema für mich vom Tisch ist. Aber ich schließe ich das Thema hier im Forum, auch wenn ich die Aufgabe nicht gelöst habe (vorerst ;)).

Sehr gut. Du hast zwar nun nicht geschrieben, bei welchen Cloud Anbieter du das hättest umsetzen wollen aber für große Provider wie AWS oder Azure gibt es tausende gute Artikel, (Video) Tutorials, wie man mit diesen Diensten umgeht und wie man ein Projekt sinnvoll und sicher in die Cloud implementiert. Und diese Anbieter bieten auch eine kostenlose Testinstanz zum probieren an. (Firewall Regeln aber bitte beachten!)

Viele Grüße,
Exception


Danke für Dein Feedback. Bei dem Satz "offene Türen..." musste ich schmunzeln. Aber Du (und auch einige andere) haben natürlich Recht.

Viele Grüße

Destination
Bitte warten ..
Ähnliche Inhalte
Cloud-Dienste
DC und Terminaldienste in AWS cloud
Frage von neueradmuserCloud-Dienste13 Kommentare

Hi, für ein neues Projekt möchte ich gerne einen DC in der amazon Cloud erstellen und darauf dann die ...

Windows Server

W2k3 DC durch W2k12 DC ablösen macht Probleme neuer lässt sich nicht zum dc machen

gelöst Frage von jocologneWindows Server3 Kommentare

Hallo an das Forum, bin gerade dabei einen WIndows 2003 r2 DC durch einen Windows 2012 r2 als dc ...

Datenschutz

Adobe Acrobat Reader DC ohne Cloud (zentral einstellbar) ?

gelöst Frage von woza64Datenschutz2 Kommentare

Hallo zusammen, wir haben hier eine reine Windows Umgebung mit Windows Server 2012 und Citrix Virtualisierung und eingesetzten Gruppenrichtlinien. ...

Linux

Datentransfer über die Cloud

gelöst Frage von markus-soLinux7 Kommentare

Hallo zusammen, schon öfter war ich in der Situation, dass ich unterwegs war und Dateien von meinem heimischen Rechner ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 1 TagMicrosoft4 Kommentare

Da diese Infos scheinbar unerwünscht sind, habe ich diese wider gelöscht.

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 1 TagSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 2 TagenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen40 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple25 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic19 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...