BerndKa 0 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Hallo, ich habe folgendes: 2x DCs in einem VLAN 192.168.100.0/24 1x RODC in einem VLAN 192.168.150.0/24 1x Fileserver in einem VLAN 192.168.200.0/24 noch kein Member der Domäne. Ich möchte nun den Fileserver, aus Sicherheitsgründen, über den RODC ins AD integrieren. Dort soll er auch nachher die Userinformationen und Gruppen für die Berechtigungen beziehen. Geht das? Viele Grüße Bernd Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Moin, was hast du da vor? Ist das eine Testumgebung? Zu welchem Zweck? Was meinst du mit vor 12 Minuten schrieb BerndKa: Ich möchte nun den Fileserver, aus Sicherheitsgründen, über den RODC ins AD integrieren. ? Gruß, Nils Zitieren Link zu diesem Kommentar
BerndKa 0 Geschrieben 22. März 2018 Autor Melden Teilen Geschrieben 22. März 2018 Hallo Nils, Der Fileserver steht in einem Fertigungsnetz (geringere Sicherheit). Die DCs stehen in einem sicheren Netzwerk. Gruß Bernd Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Und was hat jetzt der rodc damit zu tun? Bzw. Das Ding heißt so, weil er nicht schreibbar ist. Also wenn du den fileserver nicht mit dem netz verbinden willst, wirst du wohl ein offline Domain join in Betracht ziehen müssen. Zitieren Link zu diesem Kommentar
BerndKa 0 Geschrieben 23. März 2018 Autor Melden Teilen Geschrieben 23. März 2018 (bearbeitet) Also heißt das: Den Fileserver muss ich, um die Benutzer und Gruppen verwenden zu können und auch um den Domänenjoin zu machen, mit den DCs verbinden. Der RODC macht also in dieser Konstellation keinen Sinn. Richtig? Gruß Bernd bearbeitet 23. März 2018 von BerndKa Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 23. März 2018 Melden Teilen Geschrieben 23. März 2018 Gibts denn ein Design, bzw. Wie weit bist du mit deiner anforderungsdefinition? Erfahrungsgemäß lassen sich solche Themen nicht mal eben in einem Forum klären. Zitieren Link zu diesem Kommentar
BerndKa 0 Geschrieben 23. März 2018 Autor Melden Teilen Geschrieben 23. März 2018 Ich habe ein internes Netz mit hohen Sicherheitsanforderungen (da stehen die DCs). Nun habe ich ein Fertigungsnetz. Dort stehen Maschinen, die Dateien speichern sollen können. Dort ist der Fileserver in einer nicht so sicheren Zone drin. Damit ich aber die User des AD für die Rechtezuweisung verwenden kann, wollte ich den Fileserever ins AD integrieren. Um die Benutzeranfragen des Fileservers sicher zu gestallten sollte der Fileserver den RODC anfragen und nicht direkt die DCs. Macht das Konstrukt sinn, oder geht es nur idem ich dem Fileserver direkten Zugriff auf die DCs gebe? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 23. März 2018 Melden Teilen Geschrieben 23. März 2018 (bearbeitet) Moin, grundsätzlich ist ein RODC nicht primär für den Betrieb in einem "weniger sicheren" Netz gedacht. Man kann ihn dafür zweckentfremden, aber dann muss das Gesamtdesign dazu passen. So wäre es hier mindestens erforderlich, den Verkehr aus dem Fertigungsnetz so einzuschränken, dass kein Rechner eine Kommunikation mit den DCs im "sicheren" Netz herstellen kann, denn sonst könnte man den RODC ja auch einfach umgehen. Man kriegt so etwas hin, aber das ist nicht trivial und lässt sich nicht innerhalb eines Forums klären. Ob das Ganze dann ein sinnvolles Konstrukt ergibt, ist eine Frage des Gesamtdesigns und der Anforderungen, wie Norbert schon richtig sagt. Gruß, Nils PS. Da Norbert und ich uns zufällig gerade mit sowas befassen: Für so ein Design kann es durchaus erforderlich sein, ein umfangreiches Projekt mit Laufzeiten von mehreren Monaten und entsprechendem Aufwand aufzusetzen. bearbeitet 23. März 2018 von NilsK Zitieren Link zu diesem Kommentar
BerndKa 0 Geschrieben 23. März 2018 Autor Melden Teilen Geschrieben 23. März 2018 Ok. Prima vielen Dank für eure Auskünfte. Viele Grüße Bernd Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. März 2018 Melden Teilen Geschrieben 23. März 2018 (bearbeitet) Moin Die Eröffnung des Threads macht mir nicht klar, ob es zwischen VLANs ein Routing gibt oder nicht. Ebenso wird mir nicht klar, ab der RODC mit den beiden anderen DC eine Domäne bildet oder nicht.. Und welche Sicherheitsgründe sollten es sein, den Member "über" den RODC der oder einer Domäne zufügen. Wird denn im Vorgang des Joinen überhaupt die Möglichkeit gegeben einen bestimmten DC zu wählen? Aus meiner momentanen Sicht: Das ganze Ding neu denken! bearbeitet 23. März 2018 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 23. März 2018 Melden Teilen Geschrieben 23. März 2018 vor 6 Stunden schrieb lefg: ob es zwischen VLANs ein Routing gibt oder nicht. Wenn da ein RODC steht, muß der auch mit seine(n) writable DC(s) erreichen, also im Allgemeinen geroutet Ansonsten wenn es "flat" und per Firewall/ACLs getrennt sein sollte, wäre es auch egal. Mit welchen DCs sollte der RODC denn sonst eine Domäne bilden? Ansonsten ja, es fehlen eindeutig Anforderungen und Konzeption. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.