none
One Way Trust -> wer kommuniziert mit wem? RRS feed

  • Frage

  • Hallo zusammen,

    folgendes Problem:

    Wir möchten einen Trust einrichten, in dem das DMZ-AD dem Firmen AD vertraut. Das wäre dann ein external, nontransitive Oneway Trust Firma -> DMZ, siehe hier: http://technet.microsoft.com/en-us/library/cc794848(v=ws.10).aspx

    Ich habe mal folgende Artikel gelesen:

    http://technet.microsoft.com/en-us/library/cc738955(v=ws.10).aspx 

    Dort wird der Part mit dem Trust sehr schön wiedergegeben.

    Soweit so gut. Nun stellt sich die Frage: Wer kommuniziert mit wem genau, wenn ich von der Firmendomäne auf einen Fileshare in der DMZ-Domäne zugreifen will?

    in einem Bild ist ja genau dieser Fall dargestellt, da heisst es dann:

    Once Workstation1 has a service ticket, it sends the service ticket to FileServer1, which reads User1’s security credentials and constructs an access token accordingly

    Muss ich nun Kerberos und ggf. weitere Ports für das ganze Netz gegenseitig freigeben, oder reicht das so, wie es Technetartikel How Domain und Forest Trusts work geschrieben steht, das heisst die Kommunikation läuft nicht direkt, sondern via DMZ-DC oder nicht?

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Dienstag, 15. Juli 2014 13:07

Antworten

  •  
    > der Client erhält von "seinem" DC die Auskunft, dass er bei dem anderen
    > DC nachfragen muss
     
    So isses. Kommunikation vom Client aus muß zum Zielserver und zu allen
    DCs in der Trust-Kette möglich sein (Ports 88, 389/636, ggf. 3268/3269
    und DNS usw...)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 16. Juli 2014 17:55
    • Als Antwort markiert Florian Reck Donnerstag, 17. Juli 2014 06:01
    Mittwoch, 16. Juli 2014 12:16

Alle Antworten

  • Am 15.07.2014 15:07, schrieb Florian Reck:
    > Soweit so gut. Nun stellt sich die Frage: Wer kommuniziert mit wem
    > *genau, *wenn ich von der Firmendomäne auf einen Fileshare in der
    > DMZ-Domäne zugreifen will?
     
    Guck mal hier vorbei:
    (Ziemlich weit unten :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 15. Juli 2014 14:55
  • Hallo Martin,

    danke für den Link. Das ist es ja, was mich ganz irre macht. Du meinst das Diagramm "Messages in the forwarding Process", oder? Das würde wiederum heissen, das alles über den Delegate (= DC in der DMZ) läuft. Was stimmt den nun?

    Sicherheitstechnisch macht das ja Sinn, und so würde ich es gerne haben...

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Mittwoch, 16. Juli 2014 08:19
  • Hi Flo,

    wenn ich mir das Schaubild unter Cross-Realm Authentication: Three Domains anschaue, läuft das wohl alles wirklich nur über die DCs, wobei der Client wohl direkt mit dem DC der anderen Domäne kommuniziert.

    D.h. die Anfrage wird nicht zwischen den DCs vermittelt, sondern der Client erhält von "seinem" DC die Auskunft, dass er bei dem anderen DC nachfragen muss (die TLD kann man ignorieren, da sie bei Dir ja nicht existiert).

    Gruß

    Ben

    Mittwoch, 16. Juli 2014 09:02
  •  
    > der Client erhält von "seinem" DC die Auskunft, dass er bei dem anderen
    > DC nachfragen muss
     
    So isses. Kommunikation vom Client aus muß zum Zielserver und zu allen
    DCs in der Trust-Kette möglich sein (Ports 88, 389/636, ggf. 3268/3269
    und DNS usw...)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 16. Juli 2014 17:55
    • Als Antwort markiert Florian Reck Donnerstag, 17. Juli 2014 06:01
    Mittwoch, 16. Juli 2014 12:16
  • Hallo zusammen,

    danke fürs klären. Ich habe es mir so gedacht, geht ja aus dem Link im meinem ersten Post auch so hervor.

    Danke und schönen Tag noch,

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Donnerstag, 17. Juli 2014 06:03