none
请教跨网段(路由器)访问域控制器!请高手指教 RRS feed

  • 问题

  • 大家好!

    这几天配置一台服务器,服务器上配置邮件等服务,其中邮件服务的用户要通过域控做认证。因网络安全的考虑,需要将这台服务器放到域控的上一层网络(即:mail服务器在外网,域控在内网,两者之间通过路由器连接。)。现在

    以及在路由器上做了相应的端口映射到域控上,但是还是不能加入域。

    注:如果将mail服务器放在和域控相同的网段,访问正常。

    那位高手能指点一下?

    2008年10月29日 3:51

答案

  • DMZ中的机器一定要加域的话,还是建议DMZ中单独做域,创建单向信任。 至于DMZ中的域和内网的域的关系,是应该同一个林,还是各自独立的林,看是否有需求。一般还是各自独立比较好。毕竟同一个林的就有AD复制,无论防火墙配置,还是安全性角度说,都没有必要有这个复制,毕竟复制的这些信息在DMZ中根本用不到,反而是增加了暴露的危险。

    DMZ中放域控的好处其实就是这个域控(DC) 和内网其它DC做单向信任,防火墙只需要为这一个DC做配置(这里只说认证相关)。 如果没有DC,那么每个DMZ中加域的机器都要和内网AD通信, 要为每台DMZ中的机器开放 398,3268, 123, 88, 53 等等一堆端口。 实在没有必要。


    另: 回楼上, 应该还是防火墙配置的问题,仔细检查一下吧。

    FrankGuan
    2009年3月19日 15:40
    版主

全部回复

  • 路由器有DMZ功能的话使用DMZ看看。DMZ的IP填和你主机一样的内网IP。
    2008年10月29日 4:08
    版主
  •  

    谢谢!之前已经试过了,同样不行。使用DMZ的话,就意味着将域控的所有端口都做了映射。我想现在应该不是端口映射的问题了,不知道还有什么地方需要设置。或者是不是这种做法是行不通的?

     

    2008年10月29日 5:09
  • 你能不能ping到你的服务器么?

    2008年10月29日 5:24
    版主
  • 谢谢,你的支持。

    ping不通的,正常情况下好像无法从外网ping通内网的机器吧?

    刚才想到一种办法,就是使用vpn。即在内网配置一台vpn服务器,外网通过vpn连接到内网。试了一下,vpn连接成功后就可以加入域了!但是这种方法有点麻烦,更何况我的那台mail服务器是linux的。

    希望能有更简单的方法!!!

    2008年10月29日 6:13
  • VPN不是解决这个问题的好方法,可否考虑双网卡,WAN对外负责发布OWA到互联网上,LAN对内和域控沟通做身份验证?

    2008年11月10日 5:54
  •  

    问题可能发生在路由器和 Mail 服务器网关地址设置上。

     

    不要使用端口映射。

     

    2008年11月10日 7:11
  • 近来学习的

    2008年11月14日 9:33
  •  

    不知道你的 mail server 是什么软件。

     

    Exchange 的话,去Exchange版,Exchange 的体系架构支持各种规模和要求的部署。

     

    第三方的mail server 貌似没有必要加入域。

     

    如果在DMZ 中的server一定要加入域,也应该做一个森林,DMZ域单向信任内网域。这样可以保证内网安全。

    2008年11月18日 2:32
    版主
  • 需求:
    邮件服务的用户要通过域控做认证

    那么,
    1.邮件用户必须与域控能通信
    2. 用户必须与MAIL SERVER  能通信

    是不是该重新考虑下 你的架构?

    MAIL SERVER 与 域控之间做那么多的通信限制(隔离) 是否有意义?

    就算能实现,是否会影响用户使用效率、?
    2009年2月10日 5:53
  • 同意FrankGuan 的。我公司准备更换网络架构,预备在内网假设DC, DNS, DHCP和Data Server,DMZ区架设Mail Server, Http Server,Mail Server用第三方软件,Http Server做虚拟机的群集,因为群集要加入域的。想问一下,是否应该在DMZ区里架设林。目前我们公司的DMZ,内外网等直接由带VPN的硬件防火墙划分的,没有架设ISA,从DMZ区加入域产生错误,说无法访问域控,我在防火墙上测试环境下已经把DMZ区和内网的所有端口都放开了,但还是不行。麻烦各位大大指点一下。
    2009年3月13日 12:50
  • DMZ中的机器一定要加域的话,还是建议DMZ中单独做域,创建单向信任。 至于DMZ中的域和内网的域的关系,是应该同一个林,还是各自独立的林,看是否有需求。一般还是各自独立比较好。毕竟同一个林的就有AD复制,无论防火墙配置,还是安全性角度说,都没有必要有这个复制,毕竟复制的这些信息在DMZ中根本用不到,反而是增加了暴露的危险。

    DMZ中放域控的好处其实就是这个域控(DC) 和内网其它DC做单向信任,防火墙只需要为这一个DC做配置(这里只说认证相关)。 如果没有DC,那么每个DMZ中加域的机器都要和内网AD通信, 要为每台DMZ中的机器开放 398,3268, 123, 88, 53 等等一堆端口。 实在没有必要。


    另: 回楼上, 应该还是防火墙配置的问题,仔细检查一下吧。

    FrankGuan
    2009年3月19日 15:40
    版主
  •  感谢说的如此明白!
    2009年3月23日 5:06