WinDNSSKo 0 Geschrieben 7. Mai 2024 Melden Geschrieben 7. Mai 2024 Guten Abend, wir wollen einen RODC mit einer DNS Role betreiben die auf ein DDI System gelenkt wird. Leider können wir, wenn wir zuerst die RODC installieren , den DNS nicht mehr konfigurieren. Wenn wir zuerst die DNS Role installieren, das IPAM konfigurieren, funktioniert Alles super. Rollen wir dann die RODC Role aus wird die DNS Konfig einfach überschrieben. Demoten wir den DC wieder ist die Konfig von vorher wieder da Hat jemand einen Tip ?
cj_berlin 1.508 Geschrieben 7. Mai 2024 Melden Geschrieben 7. Mai 2024 Moin, Tip #1: Die Verwendung von RODC noch einmal überlegen. Ist es *wirklich* ein Standort mit schlechter physischer Sicherheit, wo der DC physikalisch entwendet werden könnte? Falls nicht, ist RODC dort falsch. Tip #2: DNS auf einem Member-Server installieren, wenn es schon nicht in AD integriert sein soll. Oder halt sogar auf einem Workgroup-Server. 1
testperson 1.859 Geschrieben 7. Mai 2024 Melden Geschrieben 7. Mai 2024 Hi, es geht (ein wenig) in die Richtung von @cj_berlins Tipp #1: Was soll der RODC denn verbessern bzw. welches Problem gibt es denn zu lösen? Gruß Jan
WinDNSSKo 0 Geschrieben 8. Mai 2024 Autor Melden Geschrieben 8. Mai 2024 Guten Morgen, die RODC sind Teil der Security Strategie um global in den Standorten nur noch die Hashes der User vor Ort liegen hat. Generell sollte es doch möglich sein auf einem DC trotzdem die DNS Rolle als getrenntes System zu nutzen.
NilsK 3.046 Geschrieben 8. Mai 2024 Melden Geschrieben 8. Mai 2024 Moin, generell schon, nur ist ein RODC eben aus gutem Grund eingeschränkt. Das ist ja das Prinzip eines RODC. Und deshalb fragte Evgenij, ob ihr denn wirklich einen solchen braucht. Dass ein RODC per se für mehr Sicherheit sorge, ist ein Missverständnis. Das tut er nur in einem sehr engen Feld von Anwendungsfällen (also genau genommen nur in einem). Was genau meinst du denn eigentlich mit: vor 14 Stunden schrieb WinDNSSKo: mit einer DNS Role betreiben die auf ein DDI System gelenkt wird ? Gruß, Nils
testperson 1.859 Geschrieben 8. Mai 2024 Melden Geschrieben 8. Mai 2024 vor einer Stunde schrieb WinDNSSKo: die RODC sind Teil der Security Strategie um global in den Standorten nur noch die Hashes der User vor Ort liegen hat. Soweit so gut. Euch ist in dieser Konstellation dann aber auch bewusst, dass zwar nur die Kennwörter der definierten User / Computer gecached werden. Am Ende des Tages kann sich dann trotzdem jeder aus der Niederlassung anmelden, da der RODC die Authentifizierung einfach an einen schreibbaren DC weiterleitet.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden