Hallo,
wir sind gerade dabei die Möglichkeiten eines Domain Controllers in der DMZ auszuloten. Passwort Management mit zwei getrennten Domänen ist schon bei wenigen Accounts in der zweiten Domäne problematisch. Sicherheit spielt dabei natürlich eine ganz große
Rolle. Es sollten keine externen Accounts in der internen (one.local) Domäne existieren. Externe Accounts sollen nur in der externen (two.local) Domäne existieren. Dazu haben wir uns zunächst folgenden Microsoft Artikel angeschaut:
http://technet.microsoft.com/de-de/library/dd728030(v=ws.10).aspx
Wir haben uns für die Variante "Forest trust model" entschieden. Wir planen damit Dienste wie z.B. Request Tracker an das AD anzubinden. In einem Testsetup sieht das im Moment folgendermaßen aus:
ForestA / Domain: one.local
ForestB / Domain: two.local
Im moment ist es noch ein two-way trust. Soll aber in der Produktiv Umgebung in ein one-way trust (two.local vertraut one.local) umgestellt werden.
Frage, können andere Dienste wie z.B. Request-Tracker Benutzer aus beiden Domänen abfragen?
Ein ldapsearch gegen den DC aus Domäne two.local liefert leider nur die Benutzer aus ForestB.
Danke
