Jump to content

RODC in der DMZ (Replikation, Subnets, Sites, DNS)

xkirx

Von xkirx
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

xkirx Enthusiast

xkirx   10

Geschrieben
Geschrieben

Hi,

 

die Herausforderung ist, einen RODC in der DMZ zu betreiben. Es gibt nur 1 Forrest und nur 1 Domäne (alle Windows Server 2008).

 

Stand jetzt:

 

Site: "LAN" / Subnet: 192.168.1.0 / 24

dc-01.contoso.com (kein DNS, GC)

dc-02.contoso.com (DNS, kein GC)

dc-03.contoso.com (kein DNS, GC)

 

Site: "DMZ" / Subnet: 192.168.2.0 / 24

dc-04.dmz.contoso.com (DNS, GC)

 

Das RODC-Konto habe ich im voraus im LAN angelegt. Dabei wurde ein für Server dc-04 ein NTDS Objekt "RODC Connection (FRS)" mit Server dc-02 angelegt.

 

1.) Die Replikation soll auch nur zwischen diesen beiden Servern stattfinden!

 

Nach dem dcpromo /UseExistingAccount:Attach (was sauber durchgelaufen ist), wurden inzwischen automatisch weitere NTDS Objekte mit dc-01 und dc-03 angelegt, was nicht erwünscht ist.

 

Ist der Weg, das Ziel zu erreichen, wirklich so umständlich, wie mein gedachter Lösungsvorschlag:

 

a.) dc-01 und dc-03 in den Standort "LAN ONLY" verschieben

b.) dc-02 in den Standort "LAN CONNECTOR" verschieben

c.) zwischen LAN ONLY und LAN CONNECTOR einen SiteLink mit den Kosten 50 anlegen

d.) dc-04 in den Standort "DMZ" verschieben

e.) zwischen LAN CONNECTOR und DMZ einen SiteLink mit den Kosten 100 anlegen

f.) Option "Brücke zwischen allen Standortverknüpfungen herstellen" DEAKTIVIEREN

g.) abwarten und Tee trinken

 

Das kommt mir so kompliziert vor, habt ihr einen besseren Vorschlag?

 

2.) Kann der RODC dc-04 (welcher ja DNS und GC ist) einen einzigen Replikationspartner haben (nämlich dc-02), welcher kein GC ist?

 

3.) Zum DNS kommt mir ferner seltsam vor:

 

Der FQDN von dc-04 lautet dc-04.dmz.contoso.com

Nun ist dieser RODC jedoch in die Domäne aufgenommen worden und es ist ein Computerkonto in AD DS angelegt. Im DNS finde ich nun auch ein funktionierendes FQDN dc-04.contoso.com ! Ist das so korrekt? Hier vermischen sich jetzt irgendwie DNS und AD DS.

 

Gruß,

- Andreas

Link zu diesem Kommentar
xkirx Enthusiast

xkirx   10

Geschrieben
  • Autor
Geschrieben

Er soll einer SSL-Appliance als Authentifizierungs-Quelle dienen (Username/Password). Die Netzwerk-Topologie ist auch ein wenig komplexer, ich habe es für die Fragestellung nur einfacher benannt. Wir können uns auch darauf einigen, den Terminus "DMZ" durch "Extranet" zu ersetzen. :-)

 

Jedenfalls werden keine Clients, sondern nur zwei drei Server, welche sich in "DMZ" / "Extranet" befinden, Abfragen absetzen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...