Jump to content
Sign in to follow this  
BpDk

Win2012 R2 Server kontaktiert sporadisch sekundären DC

Recommended Posts

Hallo Leute,

 

wir haben in unserer DMZ eine Win2012 R2 VM laufen, die als Remote-Desktop Gateway dient. Das Remotedesktop Gateway ist Mitglied der Domäne. Damit dies möglich ist, wurden an der Firewall die dafür benötigten Ports (ESP Tunnel, DNS, LDAP,LSASS,IKE) zum "PRIMÄREN" DC freigeschaltet. Nun haben wir das Problem, dass beim Neustart der VM das "Domänen-Netwerk-Profil" nicht erkannt wird und deshalb im "Öffentlichen-Netzwerk-Profil" landet.

 

Beim Auswerten der Firewall-Logs ist aufgefallen, dass versucht wird sich mit dem sekundären DC zu verbinden. Diese Pakete werden natürlich verworfen. Ich vermute daher kommt das Problem.

 

Kann ich dem Server sagen, dass er lediglich mit dem primären DC kommunizieren soll, bzw in welchem Szenario wird versucht den sekundären DC zu erreichen?

 

Ich bedanke mich im voraus für hilfreiche Antworten.

 

Liebe Grüße

Share this post


Link to post
Share on other sites

Moin,

 

dein Problem ist, dass das Konstrukt nicht besonders sinnvoll ist. Ein Rechner in der DMZ hat typischerweise nichts in der Domäne im LAN zu suchen. Umgekehrt sind solche Gateways heute typischerweise nicht mehr in der DMZ lokalisiert, sondern werden über Konstrukte wie Reverse Proxies angesprochen. Ob das bei einem RDS-Gateway auch gilt, kann ich mangels Fachschwerpunkt an der Stelle nicht sagen.

 

Da dein RDS-Gateway normales Domänenmitglied ist, nutzt es die normalen Kommunikationswege zum AD, also alle verfügbaren DCs. Das einzuschränken, wäre wenig sinnvoll, denn dann würde der Ausfall eines DCs zum vollständigen Funktionsverlust des Gateways führen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 4 Minuten schrieb NilsK:

Moin,

 

dein Problem ist, dass das Konstrukt nicht besonders sinnvoll ist. Ein Rechner in der DMZ hat typischerweise nichts in der Domäne im LAN zu suchen. Umgekehrt sind solche Gateways heute typischerweise nicht mehr in der DMZ lokalisiert, sondern werden über Konstrukte wie Reverse Proxies angesprochen. Ob das bei einem RDS-Gateway auch gilt, kann ich mangels Fachschwerpunkt an der Stelle nicht sagen.

 

Da dein RDS-Gateway normales Domänenmitglied ist, nutzt es die normalen Kommunikationswege zum AD, also alle verfügbaren DCs. Das einzuschränken, wäre wenig sinnvoll, denn dann würde der Ausfall eines DCs zum vollständigen Funktionsverlust des Gateways führen.

 

Gruß, Nils

 

Vielen Dank für deine schnelle Antwort. Du hast natürlich Recht was den Aufbau betrifft. Mittlerweile betreiben wir für andere Anwendungen ein Reverse-Proxy und könnten diesen nutzen. Das Gateway wurde vorher in Betrieb genommen.

 

Wie kann ich die DC Authentifizierung einschränken? Ich vermute über die Registry?

Share this post


Link to post
Share on other sites

Moin,

 

der einfachste Weg wäre, die DMZ als AD-Site zu definieren und in dieser Site nur einen DC zu haben. Dann das Subnet der DMZ dieser Site zuordnen. Dadurch würden die Server aus der DMZ immer primär diesen DC anzusprechen versuchen. Allerdings hat das den Nachteil, dass dieser DC im Normalbetrieb von keinem anderen Client verwendet wird. Wird man also kaum wollen.

 

Grundsätzlich kann man auch per Registry spezifische DCs vorgeben - meine ich zumindest. Da ich das allerdings für einen sehr schlechten Weg halte, recherchiere ich das nicht weiter. Das müsstest du dann selbst suchen.

 

Ändere das Design. Alles andere ist Murks.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...