Elaay 10 Geschrieben 30. August 2011 Melden Geschrieben 30. August 2011 Hallo, habe einen W2K8R2 Server in der DMZ stehen. Jedesmal wenn ich mit dem der internen Domain joinen will, bekomme ich einen Fehler "Der RPC-Server ist nicht verfügbar". Danach joint der dennoch der Domain. Wenn ich dann Gruppenmitgliedschaften etc. ändern will, kann ich alle User und alle Gruppen der Domain auflisten, sobald ich jedoch auf hinzufügen und okay klicke, kommt wieder der "RPC Server nicht verfügbar" fehler. Kann mir auch Laufwerke etc. aus der Internen Domain mappen und alles. Habe zum testen sogsar mal die FW komplett auf durchzug gestellt. Also ServerInDMZ <-> DC Intern alle Ports und alles offen. Dennoch scheitert es am RPC. Auch ein "netdom query fsmo" auf dem Server in der DMZ bringt den Fehler "Der RPC-Server ist nicht Verfügbar". DNS Auflösung funktioniert einwandfrei. RPC, Netbios, DCOM etc. alles gestartet. Ein Trace auf der FW zeigt auch keinerlei geblockte Pakete... Jemand eine Idee ? Danke und Gruß Elaay Zitieren
NilsK 2.982 Geschrieben 30. August 2011 Melden Geschrieben 30. August 2011 Moin, warum willst du einen DMZ-Server in die interne Domäne aufnehmen? Das widerspricht der Idee einer DMZ. Gruß, Nils Zitieren
NorbertFe 2.175 Geschrieben 30. August 2011 Melden Geschrieben 30. August 2011 Wozu hast du eine DMZ, wenn dort Domänenmitglieder stehen? Das Sinn einer DMZ ist es doch üblicherweise Intern und Extern zu trennen, oder? ;) Bye Norbert Zitieren
Elaay 10 Geschrieben 30. August 2011 Autor Melden Geschrieben 30. August 2011 Wozu hast du eine DMZ, wenn dort Domänenmitglieder stehen? Das Sinn einer DMZ ist es doch üblicherweise Intern und Extern zu trennen, oder? ;) Bye Norbert TS Gateway :-) Über Internet nur per 443 erreichbar, nach intern dann nur zu den TS Servern und zum DC. Zitieren
NorbertFe 2.175 Geschrieben 31. August 2011 Melden Geschrieben 31. August 2011 Und ein TS Gateway muss Mitglied der Domain sein? Kann ich mir grad nicht vorstellen, aber ich hab auch überall Citrix im Einsatz. bye Norbert Zitieren
jarazul 10 Geschrieben 31. August 2011 Melden Geschrieben 31. August 2011 RD Gateway muss Domain Member sein, da dieser für Authentifizierung und Authorisierung von Usern + Ressourcen zuständig ist. Warum sagst du nicht gleich RD Gateway? Hier findest du alle Infos: RD Gateway deployment in a perimeter network & Firewall rules - Remote Desktop Services (Terminal Services) Team Blog - Site Home - MSDN Blogs cheers, Daniel Zitieren
Elaay 10 Geschrieben 31. August 2011 Autor Melden Geschrieben 31. August 2011 Und ein TS Gateway muss Mitglied der Domain sein? Kann ich mir grad nicht vorstellen, aber ich hab auch überall Citrix im Einsatz. bye Norbert Aus einem Microsoft Doc: TS Gateway servers must be joined to an Active Directory domain in the following cases: • If you configure a TS Gateway authorization policy that requires that users be domain members to connect to the TS Gateway server. • If you configure a TS Gateway authorization policy that requires that client computers be domain members to connect to the TS Gateway server. • If you are deploying a load-balanced TS Gateway server farm. Irgendwie müssen die User sich ja authentifizieren.... Geht leider wohl nur auf diesem Weg. Zitieren
jarazul 10 Geschrieben 31. August 2011 Melden Geschrieben 31. August 2011 Ja, geht nur auf diesem Weg. In meinem letzten Projekt wo ein RD Gateway, sehr gute Sache btw, zum Einsatz kam, mussten wir ein Kompromiss aus Kostengründen eingehen. Zum Einsatz kam das Modell aus oben genanntem Link in dem auf ein RODC in der DMZ zurück gegriffen wird. Aber diese Design Entscheidung ist von den Security und, viel schlimmer noch, von den Budget Bedingungen abhängig. Ein DMZ Forest steht nicht jedem Budget zur Verfügung. cheers, Daniel Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.