RODC Domainanmeldungen langsam

[phrmn 0]

Hallo Zusammen,

 

ich bin aktuell mitten in einer Netzwerksegmentierung, die DEV-Nutzer benötigen weiterhin zugriff zur AD, dies würden wir gerne über einen RODC abbilden.

 

Im DEV VLAN habe ich einen RODC hochgezogen, welcher mit den RWDCs über die Firewall kommunizieren darf.

 

Sobald ich einen Client in das DEV-Netz umziehe und mich mit einem AD-Benutzer anmelde, sehe ich in der FIrewall, dass der Client die LDAP Anfragen erst an die 3 RWDCs schickt und sich dann nach 20-60 Sekunden erfolgreich anmelden kann.

Sobald ich dem Client Temporär eine Firewall Regel erstelle, die ihm LDAP auf den RWDCs erlaubt, dauert die Anmeldung 5-8 Sekunden.

 

Zur Konfiguration:

Alle DCs laufen auf Windows Server 2022

Ich habe für das LAN und das VLAN DEV neue Sites in der AD erstellt und diese den jeweiligen DCs zugewiesen.

NS-Einträge, A-Records und SRV-Einträge habe ich für die jeweiligen Sites angepasst.

 

Könnt ihr mir hier helfen?

 

Vielen Dank im Voraus!

 

VG

Philipp

[testperson 1.707]

Hi,

 

die entsprechenden User sind in der "Zulässige RODC-Kennwortreplikationsgruppe"? Wenn nicht, wäre das by Design.

Zusätzlich sind die User auch nicht (verschachtelt) in "Abgelenhnte RODC-Kennwortreplikationsgruppe"?

 

Gruß

Jan

[phrmn 0]

Hi Jan, 

 

vielen Dank für deine Rückmeldung.

 

Tatsächlich war mein User nicht in der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" ich habe den Benutzer aufgenommen, den Sync abgewartet und erneut getestet. Das Verhalten in den Firewall Logs ist das gleiche und die Anmeldezeiten bleiben bei über 20 Sekunden.

 

Die Gruppe "Abgelehnte RODC-Kennwortreplikationsgruppe" habe ich ebenfalls geprüft, hier ist der User kein Mitglied.

 

Hättest du ggf. noch eine andere Idee?

 

VG

Philipp

[NilsK 2.957]

Moin,

 

warum RODC? Was versprecht ihr euch davon?

 

Gruß, Nils

 

[phrmn 0]

Hallo Nils,

 

wir würden gerne einen RODC im DEV Netz verwenden, um die Domäne zu schützen.

 

Die DEV-Abteilung benötigt leider weiterhin Zugriff zur AD sowie diverse Ports ins Internet.

 

Ziel ist, dass die AD im Falle eines Falles geschützt ist.

[NorbertFe 2.061]

vor 25 Minuten schrieb phrmn:

Ziel ist, dass die AD im Falle eines Falles geschützt ist.

Ist es das denn? Übrigens  "das" AD, bitte. :)

bearbeitet 2. November 2023 von NorbertFe

[cj_berlin 1.329]

vor 1 Minute schrieb NorbertFe:

Ist es das denn? Übrigens  "das" AD, bitte. :)

Den Kampf habe ich schon fast aufgegeben

[NorbertFe 2.061]

Ich bin halt unverbesserlicher Optimist ;)

[cj_berlin 1.329]

vor 29 Minuten schrieb phrmn:

Hallo Nils,

 

wir würden gerne einen RODC im DEV Netz verwenden, um die Domäne zu schützen.

 

Die DEV-Abteilung benötigt leider weiterhin Zugriff zur AD sowie diverse Ports ins Internet.

 

Ziel ist, dass die AD im Falle eines Falles geschützt ist.

 

[NilsK 2.957]

Moin,

 

in AD-Fragen darf ich Evgenij ja zustimmen. 

 

Ein RODC trägt in fast* keinem Szenario zum Schutz des AD bei, macht dafür aber den Betrieb fehleranfälliger und das Troubleshooting schwerer. Dieser Thread ist ein weiterer Beleg, zumindest für den zweiten Teil der These.

 

Ernst gemeinter Rat: Verabschiedet euch von der RODC-Idee.

 

Gruß, Nils

PS. * tatsächlich habe ich noch nie ein Design gesehen, in dem ein RODC sinnvoll gewesen wäre. Da Microsoft aber ohne Anlass sowas nicht entwickelt hätte, mag es sein, dass es mal Anforderungen gab, die sich damit haben lösen lassen. Nur deshalb steht in meinem Satz die Einschränkung "fast".

[zahni 554]

Wenn man so ein DEV-Netz betreiben muss und Entwickler keinen Proxy benutzen können, dann muss das Netz eben vollständig isoliert werden. Zugang zum normalen Netz könnten sie dann z.B. über eine Terminal-Lösung bekommen.

[cj_berlin 1.329]

Der Use Case für RODC ist genau der, für den MSFT das für das US-Militär entwickelt hat: Ein Standort mit schlechter physischer Sicherheit (Feind überrennt Stützpunkt), an dem dennoch lokale Authentifizierung vorhanden sein muss (Uplink ist nicht immer zuverlässig). Und das ist auch der einzige Use Case, in dem man *irgendwelche* Benefits vom RODC erwarten kann.

[mwiederkehr 382]

Ich habe das Szenario "RODC in DMZ" gesehen, für vom Internet erreichbare Anwendungen, die Domänen-Authentifizierung benötigen, wie das Remote Desktop Gateway. Gesehen in der Doku von Microsoft, nicht in der Praxis.

[cj_berlin 1.329]

vor 12 Minuten schrieb mwiederkehr:

Ich habe das Szenario "RODC in DMZ" gesehen, für vom Internet erreichbare Anwendungen, die Domänen-Authentifizierung benötigen, wie das Remote Desktop Gateway. Gesehen in der Doku von Microsoft, nicht in der Praxis.

Wenn Du RD Gateway deployment in a perimeter network & Firewall rules - Microsoft Community Hub meinst, dann ist der Artikel vom 2009, und da hat wirklich noch keiner RODC verstanden, auch bei Microsoft.

[NorbertFe 2.061]

vor einer Stunde schrieb mwiederkehr:

"RODC in DMZ" gesehen

Gesehen hab ich sowas auch schon. Deswegen ist es trotzdem selten gut. ;)