Controladores de domínio do Active Directory em uma DMZ

Navegue suas respostas
3

Estou procurando implantar 2 controladores de domínio adicionais do Windows Server 2003 em uma DMZ confidencial separada ao lado de 6 DCs instalados na rede normal, totalizando 8 DCs. Os 2 CDs confidenciais se comunicarão com os DCs comuns da rede através dos firewalls via IPSec.

No entanto, estou querendo saber como vou parar as estações de trabalho e os servidores de rede que tentam se autenticar com os DCs confidenciais? Existe uma maneira de usar os Serviços e Sites do AD para impedir que estações de trabalho e servidores regulares da rede tentem se comunicar com esses DCs confidenciais?

O que estou tentando dizer é que haverá um problema ou quando uma estação de trabalho ou um servidor de rede regular tentar autenticar com os DCs e os tempos confidenciais, isso causará problemas ou esgotará o tempo limite e tentará outro DC e continuará?

    
por TheMoo 06.07.2009 / 18:04

3 respostas

5

Você não pode impedir completamente que os computadores clientes tentem se comunicar com eles "nunca", mas colocando-os em um site do AD separado (supondo que eles estejam em uma sub-rede diferente dos DCs de "produção"), você impedir que os computadores clientes tentem acessá-los, desde que pelo menos um dos DCs de "produção" permaneça ativo o tempo todo. Se todos os DC de "produção" estiverem indisponíveis, os clientes tentarão entrar em contato com um DC em outro site, possivelmente o site "confidencial".

Preemptivamente, no caso de alguém sugerir isso em outra resposta: Tentando jogar jogos com as entradas de DNS criadas pelos DCs "confidenciais" é provavelmente uma má idéia. Não duvido que exista uma maneira de manipular as entradas de DNS que os controladores de domínio registram para interromper a autenticação, mas ainda permitir a replicação, mas não posso imaginar que a Microsoft "apoiaria" esse tipo de negócio.

    
por 06.07.2009 / 18:19
4

Uma resposta melhor é (se possível) usar o ADAM (agora chamado de AD LDS) em vez de colocar DCs reais na DMZ. Se não, eu certamente configuraria o isolamento de domínio

    
por 06.07.2009 / 19:28
0

Estamos implantando um controlador de domínio somente leitura do Windows Server 2008 em nossa DMZ para serviços da Web. Anteriormente, usamos um servidor 2003 com contas locais, mas esse era um pesadelo de gerenciamento. Estamos seguindo o este guia usando uma nova floresta na DMZ e criando uma confiança unidirecional para que nossos usuários internos possam se autenticar com suas contas existentes.

    
por 05.11.2009 / 15:41

Tags

Fedora Core 6 - atualize ou reinstale IE 8 Autenticação negada no site local do SharePoint