none
Externe Clients in AD aufnehmen und Betreiben (mit GPO und so) RRS feed

  • Frage

  • Hallo Leute,

    ich habe ein "Problem".

    Auf einer Tstumgebung habe ich DNS und ADDS installiert. Den Server habe ich als exposed Host in der FB hinterlegt.

    Wenn ich von außerhalb des Netzwerkes den Testserver als DNS haben möchte, setzte ich einfach die öffentliche IPv4-Adresse meines Servers ein. Das funktioniert auch (öffentliche IP ist fest).

    Nun habe ich probiert, Clients außerhalb des Netzwerkes in meine Domain aufzunehmen. Der DNS-Server funktioniert auch problemlos (musste im DNS nur die IP-Adresse des Servers auf seine externe IP ändern). D.h. wenn ich "ping [Servername]" mache, kommt auch die öffentliche IP raus.

    Beim Einbinden der Clients kommt aber immer die Fehlermeldung, dass der Server nicht erreicht werden kann.
    Ich weiß das Problem: der Client findet die Netzwerkfreigaben, die er sonst im LAN finden würde (sysvol etc.) nicht.

    Kennt jemand von euch da draußen eine zuverlässige Lösung für das Problem?

    Ich würde gerne ohne VPN arbeiten (User muss sich zum Verbinden erst anmelden -> ist nicht das Ziel). Gibt es aber eine Möglichkeit, den Client direkt beim Startup per VPN zu verbinden (sobald er "Internet hat"), wäre das auch schon eine Art Lösung. Zudem sollte der Client keine Einschränkungen (bis auf die Internetbandbreite) zum lokalen Betrieb spüren (dazu zählt auch GPO und sowas).

    Viele Grüße

    Sonntag, 28. November 2021 15:20

Alle Antworten

  • Moin,

    Du willst ganz bestimmt NICHT Dein Active Directory extern erreichbar machen. Ich bin zwar kein Freund von VPN, aber alles ist besser als SMB und RPC ins Internet zu veröffentlichen.

    Mit Microsoft-Bordmitteln gibt es gleich zwei Technologien, die es ermöglichen, dass ein Domänen-Mitglied bereits beim Hochfahren einen VPN-Tunnel aufbaut: DirectAccess und Always-On VPN. Ob das schnell genug passiert, dass die GPOs gleich beim Start gezogen werden oder erst im nächsten Zyklus, wird auf viele Faktoren ankommen, das musst Du ausprobieren.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 28. November 2021 15:30
  • Hallo Evgeniji,

    vielen Dank für deine schnelle Antwort.

    Das das einenormes Sicherhetsrisiko darstellt ist mir leider bewusst.

    Kann man denn nicht ein "Pfad" zu den Freigaben als SFTP oder FTPS o.ä. umschreiben? Das würde dann gehen. Die müssten dann aber auch als Annonymous erreichbar sein.

    Ist es da sicherer, eine Art Whitelist mit den expliziten externen IPs bzw. fqdns zu machen?

    Viele Grüße

    Robert

    Sonntag, 28. November 2021 15:35
  • Moin,

    bitte mach das nicht. Die Beziehung eines AD-Mitglieds zum AD kann man nicht "umschreiben", da ist alles fix. Wenn Dein DC so lange als "exposed host" im Internet stand wie wir hier schreiben, gehört dieses AD bereits jetzt nicht mehr Dir allein. Ich empfehle Dir, es abzureißen und neu zu installieren, bevor Du den nächsten Versuch startest, und den exposed host spätestens jetzt zu deaktivieren.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 28. November 2021 16:27
  • Nein. Die Lösung heisst weiterhin VPN.
    Samstag, 4. Dezember 2021 16:44
  • Guten Tag Evgnij,

    ich habe den Host jetzt neu installiert. Auch mitsamt der Rolle Routing und RAS bzw. VPN.

    rgendwie habe ich auch geschafft, dass der Host, sobald er Internetverbindung hat, eine VPN-Verbindung mit meinem Server herstellt. Dabei nimmt der eein Clientzertifikat oder so.

    Jetzt geht es und ich weiß nicht wieso :$

    Viele Grüße und vielen Dank für eure Hilfe/Tipps.

    Sonntag, 26. Dezember 2021 12:33
  • Hallo Mark,

    gerade habe ich auf den Ratschlag von Evgenij geantwortet. Jetzt nehme ich eine VPN.

    Danke für deinen Ratschlag

    Robert

    Sonntag, 26. Dezember 2021 12:34
  • Weiß jemand, ob man die Frage schließen kann?

    Viele Grüße

    Sonntag, 26. Dezember 2021 12:36