Vertrauensstellungen über Firewall

[Data1701 10]

Hiho,

 

schon lange her, dass ich gepostet habe, aber nun habe ich ein Problem bei dem Ihr evtl. weiterhelfen könnten.

 

Ich habe zwei ADs (Verschiedene Firmen) die sich auf Domänenebene vertrauen sollen. Es geht nur um Authentifizierungsanfragen. Alle Clients sollen sich überall anmelden können sowohl Client A in Domäne B und umgekehrt.

 

Nun habe ich so ziemlich alles über AD-Trustrelationship through Firewall gelesen. Mir ist auch klar, dass man die RPC-Anfragen entweder in einen PPTP- oder IPSEC-Tunnel einpackt. Alles kein Problem. Allerdings stellt sich für mich die Frage woher wissen meine Server, dass die DCs der anderen Domäne nur über diesen Tunnel erreichbar sind ? Ich habe nämlich zustätzlich das Problem, dass die IP-Netze jetzt schon über gewisse Ports (z.B. HTTP) nativ kommunizieren, also das Routing in dies Netze eigentlich gar nicht über einen Windows-RRAS-Tunnel laufen würde.

 

Ich will ja nur, dass die Server über den RRAS-"Brückenkopf"-Server RPC-Kommunikation zur anderen Domäne und deren DCs etabliert.

 

Irgendwie stellt sich mir die Frage wie eine solche zielgerichtete Kommnunikation von den Automatismen der AD erkannt werden soll.

 

Unter How to configure a firewall for domains and trusts steht:

 

Alternativ können Sie auch eine Vertrauensstellung über den Pflichttunnel des Point-to-Point Tunneling Protocol (PPTP) herstellen. Dadurch lässt sich die Anzahl der Ports verringern, die von der Firewall geöffnet werden müssen. Für PPTP müssen folgende Ports geöffnet sein:

 

Supi und wie baue ich einen "Pflichttunnel" ?

 

Gruß Data

[Christoph35 10]

Nun ja, MS und seine manchmal seltsamen Ausdrucksweisen... :D

 

Ich würde hier "einfach" eine Site-To-Site-VPN-Verbindung zwischen beiden Unternehmen erstellen. Dann kann man mit entsprechenden Routing-Einträgen den betreffenden Datenverkehr durch diese VPN-Verbindung schicken.

 

Hatte hier schon mal Links dazu gepostet.

 

Christoph

[Data1701 10]

Nun ja,

 

das könnte ich machen, allerdings kommt es mir darauf an, dass die Clients nicht wild Kommunikation in das ander Netz aufbauen. Mit der Site-Site Lösung wäre ja ersteinmal alles offen. Und welche soll ich einschränken ? Wir haben ca. 60 DCs und das andere Unternehmen auch. Die sollen halt alle kanalisiert kommunizieren.

 

Wie soll ich mich ausdrücken ?

 

Schau mal hier:

 

http://www.mcseboard.de/windows-forum-ms-backoffice-31/vertrauensstellung-firewall-problem-88425.html

 

Irgendwie habe ich Alzheimer oder so :-)

 

Gruß Data

[Christoph35 10]

Wenn ich das Bild in dem von Dir verlinkten Thread richtig verstehe, steht jeweils min. ein DC von beiden Unternehmen im jeweils anderen Unternehmen?

 

Christoph

[Data1701 10]

So haben wir es vorgestellt, um dem ganzen Problem gerecht zu werden oder Du hast eine bessere Idee ?

 

Ich will nur Kommunikation zwischen den Servern. Nicht die IP-Netze direkt koppeln. Deshalb habe ich mir das überlegt mit den DCs ! So könnte ich halt die IP-Verbindungen schön einschränken.

 

Gruß Data

[Christoph35 10]

Nein, das ist schon ok. Im Grunde geht es aber doch jetzt nur noch darum, dafür zu sorgen, dass nicht jeder der 59 DCs im einen Unternehmen versucht, mit dem einen DC, der im anderen Unternehmen steht, replizieren will. Oder sind da noch andere Komponenten (Exchange?!) im Spiel?

 

Christoph

[Data1701 10]

Wir haben zwar einen Exchange, aber wir wollen es nicht verkomplizieren. Es muss keine Intraexchangeverbindung aufgebaut werden.

 

Gruß Data