2 votes

rmarles avatar

Restreindre la confiance dans la forêt à une paire de DC unique

Demandé el 24 de Juillet, 2022
Quand la question a-t-elle été
77 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons deux forêts AD avec une confiance en place. fwDomain a été protégé par un pare-feu contre l'accès aux ressources de corpDomain.

corpDomain a un DC à l'intérieur de la frontière du pare-feu et a la capacité de communiquer avec les autres DCs de corpDomain.

Le but est de restreindre la confiance de fwDomain \AD vers le DC unique corpDomain à l'intérieur de la même frontière de pare-feu. Les DCs fwDomain ne doivent pas tenter de communiquer avec d'autres DCs corpDomain à l'extérieur du pare-feu. Diagramme de confiance

Ce n'est pas une question de pare-feu. C'est un problème de DNS ou d'ADSS - restreindre l'accès à ldap \kerberos\etc le trafic vers les DCs à l'intérieur de la même frontière de pare-feu.

Un forwarder conditionnel ne fonctionnera pas car les DCs fwDomain reçoivent la résolution pour les DCs corpDomain avec lesquels ils ne peuvent pas communiquer.

Dans le fwDomain, j'ai essayé de créer une zone DNS primaire corpDomain dépouillée avec des enregistrements de service pointant uniquement vers le DC corpDomain unique, mais cela n'a pas fonctionné non plus.

Merci d'avance.

Demandé el 24 de Juillet, 2022 par rmarles

Réponse

Trop de publicités?

1voto

Thecamelcoder avatar
Thecamelcoder Points 11

Je ne crois pas que ce soit faisable. Si vous voulez qu'un enregistrement de contrôleur de domaine soit inaccessible, il ne doit pas être publié au niveau mondial. Cela, ainsi que les procédures et recommandations correspondantes, sont documentés depuis près de 20 ans.

Ceci est particulièrement vrai pour l'enregistrement "same as parent".

En outre, il n'y a généralement pas de bonne raison commerciale pour cela. J'ai entendu de nombreux arguments à maintes reprises, et c'est généralement quelqu'un qui ne veut pas voir des choses désordonnées dans un journal. C'est dur.

AD n'est pas conçu de cette façon. Il est conçu pour être accessible sous la forme de serveurs multiples. Le trafic peut être influencé, mais pas éliminé. Les enregistrements DNS peuvent être publiés ou non.

Vous pouvez toutefois empêcher le DC du domaine altéré de communiquer avec des enregistrements de contrôleurs de domaine spécifiques. noms . Ceci n'est pas rare et implique essentiellement la mise en sommeil du contrôleur de domaine. noms dans le fichier hosts du ou des contrôleurs de domaine défectueux.

Répondu el 24 de Juillet, 2022 par Thecamelcoder (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X