Netzwerkstandort eines virtuellen DCs falsch

[Dienstbier 10]

Hallo zusammen!

 

Wir haben einen DC, der eine NIC mit mehreren öffentlichen IPs und eine NIC mit einer privaten IP hat.

Hier die Konfig:

 

Ethernet-Adapter local:

   Verbindungsspezifisches DNS-Suffix: ourdomain.NET
   Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
   Physische Adresse . . . . . . . . : xx-xx-xx-C9-5C-DE
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 10.3.0.1(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   IPv4-Adresse  . . . . . . . . . . : 10.3.0.2(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   IPv4-Adresse  . . . . . . . . . . : 10.3.15.1(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.0.0.0
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter WAN:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Parallels Ethernet Adapter
   Physische Adresse . . . . . . . . : xx-xx-xx-71-D4-14
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : xxxx:xxx:xx:xxxx:xxxx:523e:0:1(Bevorzugt) 
   Verbindungslokale IPv6-Adresse  . : fe80::xxxx:xxxx:xxxx:cf7c%12(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.82.62(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.180(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.181(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.182(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   IPv4-Adresse  . . . . . . . . . . : xxx.xxx.93.183(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . : fe80::ffff:1:1%12
                                       169.255.30.1
   DHCPv6-IAID . . . . . . . . . . . : xxxxxx
   DHCPv6-Client-DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-71-D4-14
   DNS-Server  . . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Ärgerlicherweise erkennt der NLA beide NICs als dem Domänennetzwerk zugehörig und öffnet damit Tor und Tür. Wir haben als Workaround alle Firewallregeln im Quellbereich auf die lokalen Netze beschränkt - was aber ein Krampf ist!

 

Neben den üblichen verdächtigen Lösungen im Netz, haben wir auch schon eine BLOCK-OUT-Regel für den NLASVC auf alle öffentlichen IPs angelegt - geholfen hat es trotzdem nicht...

 

Hat jemand noch eine gute Idee, wie das gelöst werden kann?

 

Vielen Dank vorab!

 

 

[testperson 1.534]

Hi,

 

ein DC mit mehreren NICs in unterschiedlichen Netzen ist nie eine gute Idee. Ein DC mit einer NIC direkt im WAN ist ebenfalls keine gute Idee!

 

Was ist der Sinn hinter diesem Konstrukt / Was möchtest du erreichen?

 

Gruß

Jan

[Dienstbier 10]

Hi Jan!

ein DC mit mehreren NICs in unterschiedlichen Netzen ist nie eine gute Idee. Ein DC mit einer NIC direkt im WAN ist ebenfalls keine gute Idee!

 

Was ist der Sinn hinter diesem Konstrukt / Was möchtest du erreichen?

 

Das ist richtig, geht aber leider nicht anders :/.

Der Server liegt in einer DMZ und kommuniziert über die TAP-NIC (ist ein VPN-Interface) mit dem Intranet. Der TAP-Adapter darf und soll "Privat" sein, das WAN-Interface aber nicht.

 

Danke schonmal!

[djmaker 95]

Aus Sicherheitsgründen würde ich dort einen RODC einsetzen. Ansonsten eine Firewall oder einen Server mit Routing & RAS als bridge zwischen Intranet und DC klemmen. GGF. kannst Du das in der existierenden FW konfigurieren ohne zusätzliche Systeme nehmen zu müssen.