Speeedy 10 Geschrieben 24. August 2009 Melden Geschrieben 24. August 2009 Hallo MCSE'ler Ich stehe mal wieder an einem Problem das ihr mir sicher schnell beantworten könnt: ich hab eine DC 2k8 Umgebung, mit DHCP, DNS. Nun hab ich in der DMZ (andere ip range) einen IIS der auch auf 2k8 läuft. Bisher als Standalone. Für eine applikation müssen nun die Benutzer abgefragt werden. Dafür wollte ich den 2k8 in der DMZ in die Domäne wie ein Client integrieren (über System=>Ändern=>Domäne ... ). Das führt zum folgenden Fehler: Es konnte keine Verbindung mit einem Active-Directory-Domänencontroller für die Domäne "xx" hergestellt werden. Einfachheits halber hab ich dann die Firewalls (Router und bei beiden Servern) ausgeschaltet mit dem Ergebnis dass der gleiche Fehler auftritt. Ein ping auf den FQDN des DC resp des DNS funktionieren. Ob nicht doch etwas falsch läuft hab ich dann den DMZ-Server zurück in die normale Range genommen, also raus aus der DMZ und rein ins LAN und das ganze nochmal versucht. Da funktioniert es wunderbar. jedoch einfach in der DMZ nicht. Was mach ich noch falsch resp gibt es eine range beschränkung in einem service? Mit hoffnungsvollen grüssen ;) Speeedy
NorbertFe 2.281 Geschrieben 24. August 2009 Melden Geschrieben 24. August 2009 ich hab eine DC 2k8 Umgebung, mit DHCP, DNS. Nun hab ich in der DMZ (andere ip range) einen IIS der auch auf 2k8 läuft. Bisher als Standalone. Für eine applikation müssen nun die Benutzer abgefragt werden. Dafür wollte ich den 2k8 in der DMZ in die Domäne wie ein Client integrieren (über System=>Ändern=>Domäne ... ). Und du willst das wirklich tun? Kann die Anwendung eventuell auch direkt per LDAP aufs AD Zugreifen? Bye Norbert
Speeedy 10 Geschrieben 24. August 2009 Autor Melden Geschrieben 24. August 2009 Mir bleibt nicht viel anderes, die IIS-App arbeitet mit Windows-auth. und die möchte ich ungern manuell ein zweites mal verwalten...
NorbertFe 2.281 Geschrieben 24. August 2009 Melden Geschrieben 24. August 2009 Mir bleibt nicht viel anderes, die IIS-App arbeitet mit Windows-auth. und die möchte ich ungern manuell ein zweites mal verwalten... Dann würde ich eher mit nem Reverseproxy arbeiten, als in die DMZ eine Domänenmaschine zu stellen. Bye Norbert
Speeedy 10 Geschrieben 24. August 2009 Autor Melden Geschrieben 24. August 2009 Aufwand vs Security bei unserer FA lohnt sich der Aufwand sicherlich nicht. Daher muss wohl oder übel der Kompromiss mit dem "Sicherheitsleck" eingegangen werden. Daher tendier ich immernoch auf den Domänen integration aus der DMZ
NorbertFe 2.281 Geschrieben 24. August 2009 Melden Geschrieben 24. August 2009 Aufwand vs Security bei unserer FA lohnt sich der Aufwand sicherlich nicht. Daher muss wohl oder übel der Kompromiss mit dem "Sicherheitsleck" eingegangen werden. Daher tendier ich immernoch auf den Domänen integration aus der DMZ Hmm da du die DMZ aber relativ weit aufmachen mußt, kannst du bei der Argumentation den Webserver auch ins LAN stellen. ;) Welche Firewall bildet denn den Abschluß zwischen DMZ und LAN? Wenn du dort alles durchläßt und Routing und Namensauflösung zwischen DMZ und LAN funktioneren, dann dürfte es kein Problem geben. Ansonsten schau mal hier: How to configure a firewall for domains and trusts Das dürften zwar einige Ports zuviel sein, aber im Großen und Ganzen müßte es passen. Den Rest zeigt dir ja deine Firewall. Bye Norbert
Zweckoptimist 10 Geschrieben 25. August 2009 Melden Geschrieben 25. August 2009 Ich hatte das Problem auch. Siehe: Server 2008 AD-connect Gruß Christian
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden