Warum kein AD in der DMZ?

Hallo Ihr,

ich habe jetzt oft gelesen, dass die "berühmte" Benutzerverwaltung, aus dem Hause Microsoft "Active Directory", nicht in einer DMZ verwendet wird bzw. werden soll.

Warum ist das so?

Klar, es ist logisch, dass z.B. ein Standard-User nichts auf einem Server, der sich in der DMZ befindet, zu suchen hat. Aber z.B. Admins, wie z.B. ein Serveradmin oder Domänenadmin sollten ja zugreifen können. Die Frage ist schwierig zu formulieren, ich hoffe ihr wisst, was ich meine..

Über Antworten würde ich mich freuen, danke.

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

FuHuFu

19.09.2016, 15:16

Das AD ist die Benutzer und Computerdatenbank der gesamten Domäne und des gesamten Forest. Damit ein Server in der DMZ Mitglied einer Domäne werden kann, müsste sich entweder ein DomänenController in der DMZ befinden oder es müssten in der Firewall zahlreiche Ports geöffnet werden. Beides ist normalerweise nicht gewünscht.

Entweder man macht in der DMZ ein eigenes AD oder man hat in der DMZ nur Stand-Alone Server, die keiner Domäne angehören. Ein Administrator, braucht dann einen separaten Benutzeraccount und muss sich separat mit Benutzername/Passwort authentifizieren, wenn auf auf Ressourcen in der DMZ zugreifen möchte.

anja199003

19.09.2016, 15:11

Sicherheitskritische Anwendungen haben in einer DMZ nicht zu suchen. Diese Zone ist geschaffen, um einen geregelten und kontrollierten Zugriff aus dem Internet auf interne Ressourcen (und in die Gegenrichtung) möglich zu machen. In einem AD sind nicht nur die gesammelten internen User enthalten sondern auch Rollen und Rechtestrukturen. Aus einem AD kann man seeehr viel über das Unternehmen ablesen. Es ist also eine kritische Anwendung, die besonders geschützt werden muss. Das ist nur im internen Netz möglich.

Ähnliche Fragen

Wer hat die AD erfunden?

wer hat die AD(Active Directory) erfunden

...zur Frage

PFsense DNS Einstellungen für Active Directory Server?

Hallo Gutefrage Community,

Ich habe auf meinem Synology NAS Server einen Active Directory Server mit dem dazugehörigen DNS und den DNS records. Wie kann ich bei der PFsense den DNS so konfigurieren, sodass ich anstelle des NAS Server DNS den DNS der PFsense mit der Active Directory verwenden kann? Als Ansatz dazu habe ich bei "DNS Auflösung" die Domain auf die IP Adresse des NAS Servers mit der AD zeigend eingerichtet, jedoch fehlen noch parameter, damit es funktioniert.

Danke für jede Antwort im Voraus.

...zur Frage

Benutzer im Active Directory terminieren?

Hallo,

ich habe folgende Frage:

Ich habe im Active Directory AD einen Benutzer angelegt, welcher erst nächstes Jahr aktiviert werden soll.

Wo kann man das eintragen?

...zur Frage

Teamspeak Client Sortierung?

Moin,

und zwar möchte ich die Teamspeak clients nach Rängen sortieren.

Z.b. Serveradmin oben im Channel und Co-Admin da drunter. Ich habe bereits gegooglet und es geht weder mit den werten von "i_client_talk_power" noch mit "i_group_sort_id"....

ich habe alle Kombinationen probiert, vllt könnt ihr mir ja helfen

...zur Frage

Alle Benutzer aus Active Directory exportieren?

Hallo,

in unsere AD haben wir eine Menge Ordner in denen sich Kontakte befinden.

Kann man diese exportieren und in eine CSV oder .TXT Datei packen, sodass man einsicht in alle wichtigen Infos hat (Name, Ort, Mail, Tel.) ?

Gruß

...zur Frage

Active Directory Domänennetzwerk nicht selfhosted benutzen?

Hey, wie soll ich mein AD Domänennetzwerk zu meinen Geräten (Clients) hinzufügen, wenn der Server nicht zu Hause gehostet ist?

Subdomain A-Eintrag auf die Statische IPv4-Adresse vom Server ist vorhanden.

Betriebssystem: Windows Server 2022

...zur Frage

Active Directory OU in eine andere verschieben?

Meine Frage ist, ob man im AD eine OU in eine andere OU verschieben kann oder gibt es dann irgendwelche Probleme dabei

Danke im Vorraus :D

...zur Frage

Wie per Remotedesktop verbinden bei Active Directory?

Habe einen Laptop von der Firma bekommen, welcher mit Active Directory verwaltet wird. Ich möchte von meinem eigenen PC (Windows 10 Pro) zuhause nun auf den Laptop zugreifen, welcher bei mir im WLAN ist. Beide Geräte sind per VPN mit dem Firmennetz verbunden. Ich habe soweit alles eingerichtet (ja, auch, dass Remote erlaubt wird) und das würde auch gehen. Er lädt und sagt dann aber, meine Anmeldung wurde abgelehnt. Die Daten müssen stimmen (sind eben die AD Daten). Grund ist offensichtlich, dass es verboten ist, von außerhalb reinzukommen:

Ihr lokaler PC (von dem aus Sie eine Verbindung herstellen) muss entweder azure AD- oder Hybrid-Azure AD-mitglied sein, wenn Windows 10, Version 1607 und höher, oder Azure AD registriert ist, wenn sie Windows 10, Version 2004 und höher, verwenden. Remoteverbindungen zu einem in Azure AD eingebundenen PC von einem nicht verbundenen Gerät oder einem nicht Windows 10 Gerät werden nicht unterstützt.

Steht auf https://docs.microsoft.com/de-de/windows/client-management/connect-to-remote-aadj-pc

Wie richtet man das nun ein? Muss ich zu einem Administrator? Oder reicht es, mein Firmenkonto unter den Windows 10 Einstellungen -> Konten -> "Auf Arbeits- oder Schulkonto zugreifen" als Geschäftskonto hinzuzufügen?

...zur Frage

Im Geschäft kurz raus aus der Domäne, Konsequenzen?

Hi,

ich arbeite als Fachinformatiker und habe ein geschäftliches Notebook bekommen welches ich ebenfalls Privat nutzen möchte. Das Problem ist ständig bekomme ich durch den Firewall keine Verbindungen… . Ich habe wenig Ahnung wenn es um die Domäne geht und die Ausbildung habe ich erst vor einem Monat angefangen.

Kann ich dann wieder rein in die Domäne? Oder muss ich den Admin welches die Active Directory/Domaincontroller kontrolliert bescheid geben? Werden meine Daten gelöscht?(Meine Verläufe werden gespeichert, was ich mache und welche Seiten ich aufgerufen habe)

...zur Frage

Passwort-Synchronisation in einem Windows Netzwerk ohne Active Directory?

Ich habe z.B. fünf Windows PCs im selben Netzwerk mit fünf verschiedene Benutzerprofile. Wenn ich zu irgendeinem PC hingehe soll ich mir aussuchen können mit welchem Benutzer ich mich anmelden will.

Die Benutzerprofile sollen natürlich bei einer Passwortänderung oder dergleichen aktualisiert werden, sodass wenn man sich bei einem anderen PC anmelden will man nicht wieder das alte Passwort eingeben muss.

Jeder Benutzer soll außerdem sein eigenes Netzlaufwerk mit den eigenen Daten haben und nach der Anmeldung darauf zugreifen können. Ist so eine Konfigiration ohne Active Directory, Domänencontroller bzw. Server möglich?

...zur Frage

Zugriff Samba Freigabe von Linux Server über Active Directory steuern?

Hallo zusammen,

wir setzen bei unseren Kunden Linux Server ein. Dort läuft auch ein SMB Dienst, auf den per Windows-Explorer aus dem Kundennetz zugegriffen werden kann.

Meine Frage wäre, ob der Linux Server in Active Directory eingebunden werden kann, sodass über AD der Zugriff auf diese Samba Freigaben auf bestimmte Benutzer eingeschränkt werden kann (aktuell kann jeder aus dem Kundennetz auf diese Freigaben zugreifen).

Alternativ war meine Überlegung, ob nicht einfach eine Gruppe in AD angelegt werden kann, die den Zugriff auf diese Samba Freigaben "blockiert" und die, die darauf zugreifen dürfen, bekommen diese Gruppe auch nicht zugewiesen.

Vielen Dank.

...zur Frage

Active Directory auf Synology Diskstation will einfach nicht funktionieren?

Hey,

Ich verzweifle derzeit beim Einrichten des AD Servers da ich immer wieder folgende Fehlermeldung bekomme sobald ich den Namen der Domäne (michi.local) eingebe und ok drücke:

Code:

Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.
Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "michi.local" verwendet wird, wurde erfolgreich abgeschlossen:
Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.michi.local.
Die folgenden Domänencontroller wurden von der Abfrage identifiziert: diskstation.michi.local
Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.
Die häufigsten Ursachen dieses Fehlers sind:


   Hosteinträge (A oder AAAA), die die Namen der Domänencontroller deren IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.
 
   Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt. 
Wenn ich in den DNS-Server schaue ist jedoch ein A-Record und ein AAAA-Record für diese Domain gesetzt.
Keine Ahnung wieso ich das ausprobiert hatte aber wenn ich statt michi.local nur michi eingebe kommt zumindest schonmal die Passwortabfrage für den Domän-Admin. Welche bei korrektem Eingeben der Daten in folgender Fehlermeldung endet
Code:
Bei dem Versuch der Domäne "michi" beizutreten, trat der folgende Fehler auf:
    Der angegebene Server kann den Vorgang nicht ausführen.
    
Für mich klingt das beides Irgendwie als währe der Active-Directory Server beschäftigt und kann daher die Anfrage nicht ausführen, aber ich hab da nicht gerade viel Ahnung.
Getestet wurde auf 2 verschiedenen Windows-Rechnern.
Am DNS-Server an sich kann es nicht liegen da der auf beiden Rechnern eingestellt ist und das hinzufügen der Master-Zone für fritz.box problemlos funktionierte und diese dann auch unter dieser Adresse aufrufbar war was sie vorher nicht war.
Noch Paar DS Specs:
DS: DS218+
DSM: 6.2(Beta)
Active-Directory(Beta) Fehler tritt aber sowohl in der Beta als auch in der Nicht-Beta auf.
Ich freue Mich über jede Hilfe

...zur Frage

Powershell: Pfad aus Active Directory über GUI auslesen?

Würde gerne ein kleines Programm schreiben mit dem man sich den Pfad (OU=...,) aus dem AD über eine grafische Oberfläche in Powershell auslesen kann.

Ähnlich wie es mit System.Windows.Forms.FolderBrowserDialog für den normalen Explorer möglich ist.

Hat jemand einen Vorschlag wie man das umsetzen kann?

...zur Frage

microSIP contacts Datei auf DC einrichten im IIS und powershell script für AD Telefonbuch zu .csv schreiben als interne Aufgabe?

Hallo,

könntet ihr mir bitte Dabei helfen.

Das ist die Aufgabe:

- microSIP, das Softphone hat eine Einstellung für einen Pfad zu einer Datei. Diese Datei muss im .csv format sein und muss auf einem webserver liegen.

- es soll ein Active Directory mit powershell ausgelesen werden und alle "Kontakt" Objekte in eine CSV Datei mit Name und Telefonnummer geschrieben werden.

- das script muss die .csv bei jedem Durchlauf ersetzen/aktualisieren

-> testen mit windows server 2019/2022 VM. Dort IIS und Rolle AD Domaincontroller installieren. Dann powershell script schreiben, URL kann lokal in einem microSIP eingetragen werden um zu sehen, ob die Kontakte dort erscheinen.

Danke schonmal im Vorraus.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen