Wir richten eine Vertrauensstellung zwischen einer eigenständigen lokalen Domäne (ab sofort DMZ) und einer Unternehmensdomäne ein, die AD/AAD (synchronisiert) ist (ab sofort CORP), sodass sich Benutzer von CORP bei Servern anmelden können, die mit DMZ verbunden sind. Um es klarzustellen: Sie befinden sich in getrennten Gesamtstrukturen.
Meine Absicht ist, eine externe, nicht transitive Vertrauensstellung von DMZ zu CORP einzurichten.
Die Sache ist nun die: Die CORP-Domäne verfügt über zwei Domänencontroller vor Ort und zwei Domänencontroller als VMs in Azure. Ich möchte vermeiden, zwei Firewall-Regeln hinzufügen zu müssen (eine für die lokalen DCs, eine für die Azure DCs). Wie kann ich den AD-Datenverkehr von DMZ zu CORP so beschränken, dass er nur die lokalen CORP DCs trifft, oder wäre dies aus anderen Gründen als der Redundanz nicht wünschenswert?
Ich vermute, dass dies, wenn möglich, mit der CORP AD-Konfiguration unter „Sites und Dienste“ zu tun hat. In diesem Fall habe ich möglicherweise ein paar weitere Fragen :)
Vielen Dank im Voraus und Entschuldigung für meine Anfängerhaftigkeit.
Antwort1
Wenn Sie mit AAD Azure AD meinen, brauchen Sie sich keine Sorgen zu machen. AD und AAD sind zwei völlig unterschiedliche Systeme. Sie verwenden ein Zwischentool (AD Connect), um Daten zwischen ihnen zu synchronisieren. Im Grunde wissen Ihre DNZ-Domänencontroller nichts über AAD.