RODC in der dmz

[Lawe 10]

Guten morgen zusammen. Habe mir gerade mal folgenden Artikel durchgelesen:

Read-Only Domain Controller (RODC) Planning and Deployment Guide

Soweit auch alles OK.

 

Nur die Frage wie schauts mit den Firewall regeln / Ports aus?

Bei uns ist es so das intern in die dmz darf, umgekehrt aber nicht.

Nur so wie ich den Artikel verstanden habe muss zumindest zur Installation des RODCs in der dmz kurzfristig das dns von dmz nach intern geöffnet werden? Richtig? Grund für einen RODC in der dmz ist die Authentifizierung an diversen Webservices...

 

Gruß Lawe

[dmetzger 10]

Sind das interne oder externe Nutzer respektive Mitarbeiter oder Gäste?

[Lawe 10]

Interne & Externe evtl. auch Kunden.

[dmetzger 10]

Hier gibts Informationen zu RODC im Perimeter:

Deploying RODCs in the Perimeter Network

Download details: Active Directory Domain Services in the Perimeter Network (Windows Server 2008)

 

Ich weiss nicht, ob ich ein solches Szenario mit einem RODC lösen möchte (müsste die ganze Umgebung sowie die Anwendungen kennen). Mir fallen im ersten Moment eher Begriffe wie Radius (interne Benutzer) und AD LDS auf Standalone (externe Kunden) ein.

[Lawe 10]

ADS LDS wäre auch ne Idee, allerdings wollen wir das ganze nicht doppelt pflegen.

[dmetzger 10]

Mir missfällt der Gedanke, externe Benutzer zu Domänenbenutzern zu machen.

 

AD LDS lässt sich mit AD DS synchronisieren:

Synchronize with Active Directory Domain Services

 

Für W2K8R2 müsstest Du zuerst das AD-Schema mit dem ADSchemaAnalyzer exportieren und in AD LDS importieren. AD LDS auf W2K8R2 liferet nur die Schemas für W2K3 und W2K8 mit.