Active Directory i DMZ sonen

[Fungus]

Noen som vet litt om hva som er "best practise" med tanke på synkronisering av AD fra LAN til DMZ...

Det å vedlikeholde 2 eller flere brukerdatabaser er jo litt trasig når man bikker 100 brukere liksom.,

[ryback]

Huff nei. Det høres ut som en særdeles eksotisk løsning. Utdyp gjerne.

[Fungus]

Well., om du har noen web-sql-sharepoints og annet tjafs i dmz sonen ., og ett par hundre sites., så blir det ganske mange brukere etterhvert. har du endel ansatte som skal inn der og styre litt også , så blir det mye brukere å holde orden på., og i tillegg, så har man jo alle ansatte i LAN AD , som da må ligge dobbelt opp., Har man noen super-sensitive løsninger, så blir ikke de driftet/utviklet i DMZ, men i LAN, og da har man kanskje endel kunder som må ha brukere i LAN, samt bruker på vpn , samt bruker på autentiserings tjenste., og disse står jo vanligvis i dmz.,

 

Så derfor tenkte jeg ., at det hadde vært veldig fint., om MS hadde tenkt på dette før meg, og faktisk hadde en løsning der man på en sikker måte kunne få en domain controller i lan og en i dmz til å prate med hverandre.

Kan sperre ned med ipsec og kjøre isa server i alle retninger., men det er vel ett lite stykke unna det som klassifiseres som enkelt

[lohelle]

vil ikke en "enkel" pptp-tunnell gjøre susen? eller er ikke det "trygt nok" ?

kan åpne for PPTP KUN mellom de to IP-ene og kun med en spesialbruker for eksempel..

 

Det er lett å sette opp en persistent VPN link ved hjelp av RRAS.

[Gjest Slettet+9812398713]

Du har selv vært inne på det med IPSec.

Du kan kanskje legge til DMZ siten i replikeringslisten.

 

I den situasjonen jeg hadde trengte ikke brukerene annet enn brukernavn/passord. Derfor hadde jeg en forholdsvis enkel replikering mellom sitene. Tross DMZ/vanlig drift.