WinDNSSKo 0 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Guten Abend, wir wollen einen RODC mit einer DNS Role betreiben die auf ein DDI System gelenkt wird. Leider können wir, wenn wir zuerst die RODC installieren , den DNS nicht mehr konfigurieren. Wenn wir zuerst die DNS Role installieren, das IPAM konfigurieren, funktioniert Alles super. Rollen wir dann die RODC Role aus wird die DNS Konfig einfach überschrieben. Demoten wir den DC wieder ist die Konfig von vorher wieder da Hat jemand einen Tip ? Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Moin, Tip #1: Die Verwendung von RODC noch einmal überlegen. Ist es *wirklich* ein Standort mit schlechter physischer Sicherheit, wo der DC physikalisch entwendet werden könnte? Falls nicht, ist RODC dort falsch. Tip #2: DNS auf einem Member-Server installieren, wenn es schon nicht in AD integriert sein soll. Oder halt sogar auf einem Workgroup-Server. 1 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Hi, es geht (ein wenig) in die Richtung von @cj_berlins Tipp #1: Was soll der RODC denn verbessern bzw. welches Problem gibt es denn zu lösen? Gruß Jan Zitieren Link zu diesem Kommentar
WinDNSSKo 0 Geschrieben 8. Mai Autor Melden Teilen Geschrieben 8. Mai Guten Morgen, die RODC sind Teil der Security Strategie um global in den Standorten nur noch die Hashes der User vor Ort liegen hat. Generell sollte es doch möglich sein auf einem DC trotzdem die DNS Rolle als getrenntes System zu nutzen. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 8. Mai Melden Teilen Geschrieben 8. Mai Moin, generell schon, nur ist ein RODC eben aus gutem Grund eingeschränkt. Das ist ja das Prinzip eines RODC. Und deshalb fragte Evgenij, ob ihr denn wirklich einen solchen braucht. Dass ein RODC per se für mehr Sicherheit sorge, ist ein Missverständnis. Das tut er nur in einem sehr engen Feld von Anwendungsfällen (also genau genommen nur in einem). Was genau meinst du denn eigentlich mit: vor 14 Stunden schrieb WinDNSSKo: mit einer DNS Role betreiben die auf ein DDI System gelenkt wird ? Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 8. Mai Melden Teilen Geschrieben 8. Mai vor einer Stunde schrieb WinDNSSKo: die RODC sind Teil der Security Strategie um global in den Standorten nur noch die Hashes der User vor Ort liegen hat. Soweit so gut. Euch ist in dieser Konstellation dann aber auch bewusst, dass zwar nur die Kennwörter der definierten User / Computer gecached werden. Am Ende des Tages kann sich dann trotzdem jeder aus der Niederlassung anmelden, da der RODC die Authentifizierung einfach an einen schreibbaren DC weiterleitet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.