Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RODC in DMZ

Mitglied: ImPi007

ImPi007 (Level 1) - Jetzt verbinden

11.07.2018 um 21:38 Uhr, 305 Aufrufe, 4 Kommentare

Hallo Liebe Gemeinde,

ich habe eine Herausforderung im Bereich RODC in DMZ.

Ich weiss, es gibt tausende Artikel im Internet - doch irgendwie werde ich nicht schlau hieraus.
Vielleicht könnt Ihr mir einen Tipp geben.

Anforderung:
Diverse Clients verbunden via VPN - (VPN endet in DMZ, da der Zugriff etwas risiko-behaftet ist) -> Authentifizierung soll gegen RODC erfolgen
und
weitere Server im Bereich der DMZ sollen sich im AD authentifizieren können via RODC

Geplanter / teildurchgeführter Aufbau:
2 RW-DCs in der Domäne, 1 RODC im Bereich der DMZ - logischerweise getrennt durch eine Firewall

Clients / Server und RODC befinden sich in DMZ (auch AD-Site DMZ)
RWDCs im Innern (AD Site Intern)

Clients / Server haben als DNS den RODC eingetragen.

Zugriff nur zwischen RODC und RWDCs auf Firewall freigegeben
RODC ist auch RO-DNS und GC
Es sollen keine Passwörter etc. auf dem RODC gespeichert werden - alle Anfragen sollen an die RWDCs weitergegeben werden (somit gibt es keine Mitglieder in der Gruppe "Zugelassene Kennwortreplikation") - er soll quasi als Proxy agieren, damit Clients / DMZ-Server nicht mit den RWDCs sprechen müssen

Alles funktioniert:
Die Server/Clients authentifizieren sich gegen den RODC, beziehen GPOs hierüber und sind in der richtigen Site.
Trotzdem stelle ich fest, dass die Systeme immer wieder versuchen die RWDCs anzusprechen (z.B. auf Port 389, 53 etc.) - dies wird durch die Firewall geblockt

Meine Frage:
Warum passiert das? Ich würde gerne diesen "sinnlosen" Traffic loswerden.
und
Kann es zu Problemen kommen, wenn die Systeme nicht auf die RWDCs zugreifen können?

Noch eine Anmerkung:
Es handelt sich nicht um eine "klassische" DMZ - es befinden sich hier keine Webserver mit Internetzugriff.
Ich würde gerne die Diskussion über die Sinnhaftigkeit von RODCs in der DMZ möglichst klein halten.

Ich danke Euch sehr herzlich!

Mitglied: Pjordorf
11.07.2018 um 22:13 Uhr
Hallo,

Zitat von ImPi007:
Es sollen keine Passwörter etc. auf dem RODC gespeichert werden
Selbst auf normale DCs (RWDCs) sind keine Passwörter im AD gespeichert. Dort sind höchstens die Hasches zu finden. Selbst ein NT4 DC kennt die eigentlichen Passwörter nicht.

Trotzdem stelle ich fest, dass die Systeme immer wieder versuchen die RWDCs anzusprechen (z.B. auf Port 389, 53 etc.) - dies wird durch die Firewall geblockt
Schon mal geschaut wer oder was von PORT 389 genutzt wird? Und bedenke, wenn dein RODC in der Domäne keinerlei Benutzerpasswörter kenn würde, wie sollen die dann am RWDC abgefragt werden? Und dein Port 53 ist eigentlich DNS. Warum will dein RODC den DNS in der Domäne anfragen? Klingelingeling - hier kommt der ...

Warum passiert das? Ich würde gerne diesen "sinnlosen" Traffic loswerden.
Was für dich evtl Sinnlos ist kann aber Lebenswichtig sein. Ein Wireshark hilft dir Erkentnisse zu bekommen.

Kann es zu Problemen kommen, wenn die Systeme nicht auf die RWDCs zugreifen können?
Warum soll dein RODC denn von seinen Kollegen abgeschnitten werden und wo soll der dann Anfragen wenn er etwas nicht kennt? RODC bedeutet ja nur das er Schreibgeschützt ist, nicht das er allwissend ist

Gruß,
Peter
Bitte warten ..
Mitglied: ImPi007
11.07.2018 um 23:11 Uhr
Hallo Peter,

vielen Dank für deine Antwort.
Leider scheinst Du meinen Beitrag nicht ganz verstanden oder nicht richtig gelesen zu haben...
Die leicht überhebliche Art finde ich etwas unangemessen - aber ich denke Du meinst dies nicht so negativ wie es klingt...

-Mir ist bewusst, dass DCs keine Passwörter speichern - hier ist gemeint, dass auf dem RODC keine Anmeldedaten/Hashes vorgehalten werden sollen (für welchen Zweck ein RODC ja eigentlich gedacht ist - z.B. bei Verbindungsverlust die Anmeldung in der Außenstelle trotzdem zu ermöglichen)

-Das Port 389 LDAP ist und Port 53 DNS ist mir klar - die Frage ist aber, wieso die Server und Clients in der DMZ diese Anfrage an die RWDCs stellen und nicht an den in Ihrer Site vorhandenen RODC / RO-DNS
Das der RODC DNS-Anfragen an die RW-DCs sendet ist in diesem Aufbau normal, korrekt und wird durch die Firewall zugelassen.

-Ich sehe den (geblockten) Traffic auf der Firewall - ein Wireshark-Dump hilft mir eher nicht weiter

-Da die Authentifizierung und Co funktionieren, zielte meine Frage darauf ab, ob es zu Fehlern kommen kann, wenn die Clients/Server in der DMZ die RWDCs auf Dauer nicht erreichen können.

Ich danke Dir für deine Bemühungen und hoffe etwas Licht ins Dunkel gebracht zu haben.
Gruß
Mario
Bitte warten ..
Mitglied: Pjordorf
11.07.2018 um 23:42 Uhr
Hallo,

Zitat von ImPi007:
nicht richtig gelesen zu haben...
Das wird es sein

aber ich denke Du meinst dies nicht so negativ wie es klingt...
Si

-Das Port 389 LDAP ist und Port 53 DNS ist mir klar - die Frage ist aber, wieso die Server und Clients in der DMZ diese Anfrage an die RWDCs stellen und nicht an den in Ihrer Site vorhandenen RODC / RO-DNS
Nun den Server (dein RODC) lassen wir mal ausen vor. Gibt es dort noch andere Server? Was deine dortigen Clients betrifft, ich dachte das sind dein VPN Clients weil du in dieser DNZ eher keine Clients hast, oder? Aber egal, wenn ein Client per Port 53 einen DNS sucht, hat ihm das ja jemand oder ein DHCP so mitgeteilt - aöso Konfiguration. Ansonsten hilft Wireshark und / oder ein TCPView (Sysinternals). Das deine Clients sich diese IP als DNS ausdenken, das glaube ich eher nicht

ob es zu Fehlern kommen kann, wenn die Clients/Server in der DMZ die RWDCs auf Dauer nicht erreichen können.
Sollen deine Clients doch gar nicht, dafür hast du doch dir deinen RODC hingestellt - und der kennt hoffentlich die gesuchten Antworten.

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
12.07.2018, aktualisiert um 09:02 Uhr
Hi,
ich vermute, Du hast vergessen, die DMZ und die einzelnen VPN-Subnetze als Standort- und Subnetz-Objekte im AD anzulegen?

Falls ja, dann gehe wie folgt vor:
In der MMC "Standorte und Dienste" ...
  • Erstelle ein Subnet-Objekt für die DMZ.
  • Erstelle ein Site-Objekt für die DMZ und ordne das Subnet-Objekt zu
  • Erstelle ein Site-Link zwischen erstem Standort und DMZ-Standort --> ändere das Replikationsintervall auf Minimum "15 min"
  • Verschiebe das Serverobjekt des RODC in den DMZ-Standort
  • Erstelle je ein Subnet-Objekte für alle VPN-Netze (dort, wo die Clients drin sind).
  • Erstelle EIN Site-Objekt für alle VPN-Standorte zusammen und bennen es z.B. "ohne DC" oder "VPN Standorte" und ordne diesem alle Subnet-Objekte der VPN-Standorte zu
  • Erstelle ein Site-Link zwischen DMZ-Standort und VPN-Standort (nicht zum ersten Standort mit den Write-DC!)
  • Warte die Replikation ab!

Jetzt sollten die Clients nach und nach mitbekommen, dass sie zu einem anderen AD-Standort gehören und dass nach der AD-Topologie der RODC der näheste DC ist. Solange dieser reagiert, werden sie nach keinem anderen DC fragen.

E.

Edit: Reihenfolge geändert. RODC muss früher in seinen Standort verschoben werden, sonst kann zu Problemen am Client kommen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

RODC in DMZ - Replikationspartner bestimmen bzw. auswählen

gelöst Frage von kilrathiWindows Server3 Kommentare

Hallo zusammen, Ich habe einen RODC in einer DMZ stehen. Weiterhin gibt es an einem anderen Standort X einen ...

Windows Server

RODC Offline

gelöst Frage von TOAOICEWindows Server6 Kommentare

Hallo, da wir an einem Standort das Netz umbauen, wäre es mal interessant zu wissen, wie lange ein RODC ...

Windows Server

RODC an den Außenstandorten

gelöst Frage von TOAOICEWindows Server11 Kommentare

Hallo, ich hätte da mal ein Problem. Folgendes zur Umgebung: Standort A - De - Hauptstandort 10.10.96.0/21 Standort B ...

Windows Userverwaltung

Authentifizierung am RODC

gelöst Frage von Jannis92Windows Userverwaltung9 Kommentare

Moin Moin, ich bin gerade dabei, eine Zweigstelle von uns mit einem RODC auszustatten. Mit den Richtlinien usw. Funktioniert ...

Neue Wissensbeiträge
Peripheriegeräte
Unterschrank für HP Drucker
Tipp von NixVerstehen vor 1 TagPeripheriegeräte1 Kommentar

Als kurzen Freitags-Tipp möchte ich gerne meinen neuen Drucker-Unterschrank Modell Amica KS 15423W vorstellen. Das Gerät eignet sich hervorragend ...

Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 2 TagenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 2 TagenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 4 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Heiß diskutierte Inhalte
Humor (lol)
Freitagsfrage: Was tun, wenn der Admin der DAU ist?
gelöst Frage von VoiperHumor (lol)32 Kommentare

Moin Zusammen, Eine nicht ganz ernst gemeinte Frage an die Außendienstler unter uns. Zusammenfassung: Ein Inhouse Admin ruft bei ...

LAN, WAN, Wireless
HP Probook 470 G4 - abbrechende Downloads
Frage von joern1LAN, WAN, Wireless19 Kommentare

Folgendes Problem, für einen Tipp wäre ich dankbar: Bei WLAN-Verbindung zum Internet (nicht LAN) kommt es bei etwas größeren ...

Windows Netzwerk
LTE Modul - Kein Internet trotz Verbindung
Frage von killtecWindows Netzwerk19 Kommentare

Hallo, ich habe hier ein Dell 7390 2-in-1 mit W10 Pro wo ich nachträglich eine LTE-Karte (Original Dell DW5811e ...

Router & Routing
Routing Problem mit Kaskade FritzBox und pfsense zugeriff nur von der firewall auf die clients und 0.0.0.0
Frage von ukl1967Router & Routing17 Kommentare

Hallo, ich habe ein an sich triviales Problem elches ich allerdings nicht gelöst bekomme. NAS 10.5.10.53 Mein Netz baut ...