KRambo 10 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Hallo zusammen :) Hab da mal eine Verständnisfrage zu der Vertrauensstellung zwischen 2 Domänen. Ich habe 2 Server aufgesetzt, wo einer DC für die Hauptdomain (LOKAL) ist, die lokal im LAN genutzt wird. Die zweite Domaine (EXTERN) hat eine eigene Domänenstruktur und wurde von mir mittels Vertrauensstellung an die erste gebunden. Vorher habe ich natürlich die DNS Server beiderseits angepasst, sodass sich beide Server kennen. Hat soweit auch alles problemlos geklappt. Beide AD Server sind auf Funktionsebene 2008 R2. Server1: Domäne LOKAL Server2: Domäne EXTERN Die Vertrauensstellung ist unidirektional eingerichtet, das heißt wenn ich am Server 1 in die Vertrauensstellungen reinschaue sehe ich da bei "eingehend" die Domäne EXTERN mit Vertrauenstyp "Extern". Beim Server 2 bei "ausgehend" die Domäne LOKAL ebenfalls mit Vertrauenstyp "Extern". Eigentlich sollte das nun doch so sein, dass ich mich mit Benutzern der Domäne LOKAL in der Domäne EXTERN anmelden kann, umgekehrt aber nicht. Funktioniert bei der Domäne EXTERN soweit auch, allerdings kann ich mich mit dem EXTERN\Administrator auch bei der LOKAL Domäne anmelden :confused: Das sollte doch eigentlich nicht so sein, oder? Vor allem kann ich als EXTERN\Administrator die Benutzer und Computer der LOKAL Domäne ändern indem ich in der MMC den Domänencontroller wechsle, und zwar ohne Eingabe von Benutzername und Passwort. Irgendwas stimmt da nicht, ist bestimmt mein Fehler aber ich bin mit meinem Latein am Ende :( Zitieren Link zu diesem Kommentar
KRambo 10 Geschrieben 16. Oktober 2011 Autor Melden Teilen Geschrieben 16. Oktober 2011 Jetzt muss ich noch was hinzufügen: Grund für diese Konstellation ist folgender Artikel bezgl. Forefront TMG. Forefront 2010 sollte sich also in einer getrennten Domäne (wie die meine) befinden, aber darf gleichzeitig kein DC sein. Wie soll ich denn das machen? Das geht ja gar nicht mit nur 2 Servern. Wollte eigentlich meinen Webserver (Server2) mit Forefront ausstatten, und in die interne Domäne kann ich den natürlich nicht reintun. Überlegungen zu Arbeitsgruppen und Domänen Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Du willst auf dem TMG nen Webserver packen? Das ist "krank". ;) Niemand käme auf die Idee auf ner ASA/Pix Whatever nen Webserver zu packen. Eventuell hilft dir das hier: Debunking the Myth that the ISA Firewall Should Not be a Domain Member Bye Norbert Zitieren Link zu diesem Kommentar
KRambo 10 Geschrieben 16. Oktober 2011 Autor Melden Teilen Geschrieben 16. Oktober 2011 Danke für den Link, ich hab manchmal echt komische Einfälle. Dass es so nix wird hab ich schon eingesehen :D Der Webserver hat nur die Rolle IIS installiert und bekommt den Edge Transport vom Exchange dazu, nun dachte ich es ist ne gute Idee das ganze per TMG abzusichern, aber das geht wohl nicht auf derselben Kiste. Irgendwelche Vorschläge? Klar ich könnte den Webserver auch virtualisieren aber das wollte ich eigentlich auch nicht. Mache die Kiste grad schnell frisch, das mit der zweiten Domäne war ne b.löde Idee. Werde mal den IIS draufmachen, den Edge Transport 2010 und dazu die Forefront Protection 2010 für Exchange, das müsste ja gehn hoffe ich mal. Werde dann einfach auf die Hardwarefirewall vertrauen müssen :) Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Nochmal zur Info: Ich persönlich, würde auf einer Firewall keinen Webserver installieren. Unabhängig davon, ob das geht. TMG und Edge Transport geht definitiv, aber auch da würde ich persönlich eher auf Funktionstrennung setzen. Mein Vorschlag bei sowas: Webserver standalone und TMG als 3-Leg Firewall aufsetzen. Bye Norbert Zitieren Link zu diesem Kommentar
KRambo 10 Geschrieben 16. Oktober 2011 Autor Melden Teilen Geschrieben 16. Oktober 2011 Ok, danke für deine Meinung. Hast recht, wie gesagt ich werde den TMG mal beiseite lassen, hab nur die 2 Server und daher nicht so viele Möglichkeiten. Hab den DNS der Hauptdomäne wieder zurückgesetzt (also die zusätzlichen Zonen gelöscht) und die Vertrauensstellung gelöscht, somit ist die Hauptdomäne weiterhin lauffähig. Die andere Kiste ist gleich wieder fertig mit der Serverinstallation, da kommen dann oben genannte Dienste ohne die TMG drauf und die Kiste steht ja in einer DMZ, werde möglichst wenige Ports freigeben. Dann hat er wenigstens mit dem Protection Dingens für Exchange was zu tun, irgendwie muss ich die Kiste ja auch beschäftigen :D Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Wie steht denn die Kiste bei nur zwei Servern in einer DMZ? Bye Norbert Zitieren Link zu diesem Kommentar
KRambo 10 Geschrieben 16. Oktober 2011 Autor Melden Teilen Geschrieben 16. Oktober 2011 Mit einer Hardware-Firewall mit dediziertem DMZ Port. Man kann die interne Firewall sehr umfangreich konfigurieren :) is ne Zyxel Zywall. Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Und was willst du dann mit nem TMG? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.