locked
DMZ的AD與LAN的AD差異性 RRS feed

  • 問題

  • 如標題,如果我要在公司內部架設DMZ的AD與LAN的AD需要注意甚麼?

    DMZ的AD主要是給外點透過VPN或是Router連回公司認證

    請問DMZ的AD是如何跟LAN的AD同步?

    謝謝

    2015年3月15日 上午 04:50

解答

所有回覆

  • 不太了解你說的 DMZ 的 AD 是指什麼?
    如果只是為了要給外點連線 VPN,
    帳號密碼是使用公司內部的 AD,
    那麼只要在 DMZ 區架設 Radius 伺服器,
    並且 Radius 伺服器要可以跟公司 AD 正常通訊即可。

    相關資訊可以參考下面連結
    TechNet 文件庫 - RADIUS 伺服器
    傲笑紅塵路 - 架設RADIUS 伺服器實務


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2015年3月15日 上午 06:33
    版主
  • 因為公司內部及外點人數眾多

    在規劃上面希望外點跟內部的帳號驗證可以分開

    以減輕內部AD的loading

    才會想要在DMZ上面架設AD供外點人員驗證

    目前已經規劃兩台AD在DMZ兩台AD在內部

    想要請問有甚麼需要注意的地方?

    還有同步的方式跟一般在同一個網段的AD有甚麼不同嗎?

    謝謝

    2015年3月15日 下午 11:39
  • 所以你的 AD 是指 DC (Domain Controller, 網域控制站)嗎?
    AD 跟 DC 是兩個不同的名詞及功能。

    如果都是在同一個 AD 環境下,
    只是要放一台 DC 在 DMZ,
    只要確定這台在 DMZ 區的 DC,
    到內部主 DC 的防火牆及網路是正確開啟和通暢的即可。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 mark.chan 2015年3月16日 上午 01:27
    2015年3月15日 下午 11:56
    版主
  • 感謝您的糾正

    沒錯,就像您說的

    我們的環境是在同一個AD下

    要將DC放在DMZ及內部

    謝謝您的回答

    2015年3月16日 上午 01:27
  • Hi mark.chan

    如果要將DC放在DMZ下,您可以使用RODC增加安全性,讓外來連線透過RODC做驗證,但無法變更寫入資料的方式。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年3月16日 上午 03:28
  • Hi George

    感謝您的建議

    RODC雖然安全性高,但也不方便

    為了讓外點人員變更密碼和應用程式的關係

    還是要架設一台DC會比較方便

    2015年3月17日 上午 12:54