gn0x

ich hatte das falsch aufgenommen. Natürlich müssen Ports geöffnet werden, da sonst ja keine Verbindung zustande kommen könnte. Allerdings wird der Port nur von innen nach außen geöffnet. Die DMZ darf nicht den Request stellen. Wie läuft das beim RODC ? Fragt er die interne AD an oder wird manuell oder nach Zeitplan (zb alle 3 std) in die DMZ synchronisiert?

Ich möchte definitv kein Loch in die Firewall bohren. Es soll auf keinen Fall Zugriff aus der DMZ ins Interne Netz erfolgen (ausgeschlossen ist natürlich ein handshake). Die Lösung ADFS beinhaltet leider genau das: Ein Zugriff aus der DMZ ins interne Netz. (Zwar verschlüsselt jedoch trotzdem unsicher). Es muss doch eine Möglichkeit geben, ich denke mir es müssten doch tausende dieses Problem (oder eine Lösung) haben. Vielen Dank für die zahlreiche Unterstützung. Gruß

Das wäre natürlich verschlüsselt und es müssten Zertifikate á la publickeys ausgetauscht werden. Also ich möchte meine Firewall auf garkeinen Fall aufmachen. Ich möchte das ganze über "pushs" oder "pulls" aus dem intern Netz steuern. Danke für den Tipp "ADFS", ich werde mir das heute nach der Arbeit einmal genauer anschauen. Gruß

Guten Tag, ich habe ein AD in unserem internen Netz in dem unsere User angelegt sind.. Ich habe zusätzlich eine DMZ auf dem organisatorische Webdienste laufen. Die User können aus dem Internet darauf zugreifen. Anmelden tun sie sich jedoch nicht mit dem AD-Konto, sondern mit einem extra Konto (welche Credentials in einem LDAP hinterlegt werden). 1.Konto für internes AD2.Konto für DMZ LDAP Ich möchte einen Weg finden, dass die User sich mit dem internen AD Konto am LDAP (in der DMZ) anmelden können. Sicherheitsrisiko: Aus der DMZ darf nicht aufs interne Netz zugegriffen werden, aller höchstens ist es möglich, dass man vom internen AD die Daten (user,passwort,metadaten) in die DMZ schiebt. Ich suche gerade selbst nach Lösungsvorschlägen und bin bisher schon auf die LDAP-Branch "389-DS" gestoßen, die vorgibt eine AD zu sein, damit könnte man eventuell einen AD export in die DMZ senden - Allerdings scheint mir das nicht optimal zu sein. Ich bin mir sicher, dass ich nicht der einzige mit diesem Problem bin und hoffe auf eure Mithilfe. Ich bin neu hier und hoffe auf reichlich Feedback. Sollte etwas unklar sein, fragt bitte nach. Gruß gn0x