Wir möchten gern bei Externe Authentifizierung - AD/LDAP mehr als ein Domänencontroller angeben. Ist das möglich? Sollte dieser eine DC ausfallen, wäre ein Einloggen per SSL-VPN nicht mehr möglich!?
Über die Web-GUI geht es nicht, aber vlt. über die Konsole?
Wir würden uns über eine Antwort und ggf. Lösung sehr freuen.
Danke & Gruß
Thomas
Externe Authentifizierung - AD/LDAP / mehr als ein Domänencontroller angeben?
Moderator: Securepoint
Man muss den DC nicht explizit angeben. Es reicht, wenn beispielsweise "domain.local" (die lokale Domäne) als "Hostname" angegeben wird, um z.B. "DC1.domain.local" oder "DC2.domain.local" anzusprechen. Wenn einer der DCs nicht erreichbar ist, wird automatisch der andere angesprochen. Damit das funktionieren kann, müssen natürlich unter "NAMESERVER" in der Relay-Zone die zuständigen DNS-Server durch ";" getrennt angeben werden (z.B. 172.16.2.1;172.16.2.10).
Gruß
Franz
Gruß
Franz
Vielen Dank Franz für das schnelle beantworten der Frage.
Technisch mit aktueller Firmware funktioniert es. Nun stellt sich uns nur die Frage an Securepoint direkt ob das auch in zukünftigen Versionen so funktioniert, da die Felder ja mit IP / Hostname betitelt sind und eben nicht mit IPS / Zone.
Technisch mit aktueller Firmware funktioniert es. Nun stellt sich uns nur die Frage an Securepoint direkt ob das auch in zukünftigen Versionen so funktioniert, da die Felder ja mit IP / Hostname betitelt sind und eben nicht mit IPS / Zone.
-
pascal
Moin,
wir haben zu diesem Setup Testvorgänge durchgeführt und diese nun abgeschlossen. Das beschriebene Vorgehen funktioniert, zum jetzigen Zeitpunkt, so leider nicht.
Hier ein Beispiel:
Domain: testfirma.local
DC01.testfirma.local = 192.168.123.5
DC02.testfirma.local = 192.168.123.6
Einstellung für die Externe Authentifizierung:
IP oder Hostname: testfirma.local
Einstellung für den Nameserver:
Zonenname: testfirma.local
ID: 2016080800
Relaying: 192.168.123.5;192.168.123.6
------
Die AD-Anbindung funktioniert und ist als aktiv gekennzeichnet. Wird nun der DC01 mit der IP-Adresse 192.168.123.5 ausgeschaltet oder er fällt aus, wird nicht automatisch der DC02 für die externe Authentifizierung genutzt. Grund hierfür ist, dass nur der erste Server aus den Nameserver Einstellungen genutzt wird. Auf den zweiten wird nicht zugegriffen. Erschwerend kommt in diesem Setup dazu, dass für bestimmte Anfragen immer NUR der PDC verwendet wird.
Wichtig!
Es kann hierbei dazu führen, dass die Weboberfläche der UTM sich nicht mehr aufbaut, da der Daemon "spauthd" sich in den Vordergrund setzt und andere Anfragen nicht beantwortet werden. Hier hilft nur ein Neustart der UTM.
Hinweis!
Wir haben dieses Feature in unsere Roadmap mit aufgenommen. Es wird von uns geprüft und sobald wir eine Lösung dafür haben, in ein Update mit aufgenommen.
Gruß,
Pascal Mitsching
wir haben zu diesem Setup Testvorgänge durchgeführt und diese nun abgeschlossen. Das beschriebene Vorgehen funktioniert, zum jetzigen Zeitpunkt, so leider nicht.
Richtig, der DC kann auch nur über die Angabe des Domain Namen eingerichtet werden.Man muss den DC nicht explizit angeben. Es reicht, wenn beispielsweise "domain.local" (die lokale Domäne) als "Hostname" angegeben wird, um z.B. "DC1.domain.local" oder "DC2.domain.local" anzuspreche
Falsch, es wird nicht automatisch der andere DC angesprochen. Für einige Anfragen wird NUR der PDC verwendet.Wenn einer der DCs nicht erreichbar ist, wird automatisch der andere angesprochen. Damit das funktionieren kann, müssen natürlich unter "NAMESERVER" in der Relay-Zone die zuständigen DNS-Server durch ";" getrennt angeben werden (z.B. 172.16.2.1;172.16.2.10).
Hier ein Beispiel:
Domain: testfirma.local
DC01.testfirma.local = 192.168.123.5
DC02.testfirma.local = 192.168.123.6
Einstellung für die Externe Authentifizierung:
IP oder Hostname: testfirma.local
Einstellung für den Nameserver:
Zonenname: testfirma.local
ID: 2016080800
Relaying: 192.168.123.5;192.168.123.6
------
Die AD-Anbindung funktioniert und ist als aktiv gekennzeichnet. Wird nun der DC01 mit der IP-Adresse 192.168.123.5 ausgeschaltet oder er fällt aus, wird nicht automatisch der DC02 für die externe Authentifizierung genutzt. Grund hierfür ist, dass nur der erste Server aus den Nameserver Einstellungen genutzt wird. Auf den zweiten wird nicht zugegriffen. Erschwerend kommt in diesem Setup dazu, dass für bestimmte Anfragen immer NUR der PDC verwendet wird.
Wichtig!
Es kann hierbei dazu führen, dass die Weboberfläche der UTM sich nicht mehr aufbaut, da der Daemon "spauthd" sich in den Vordergrund setzt und andere Anfragen nicht beantwortet werden. Hier hilft nur ein Neustart der UTM.
Hinweis!
Wir haben dieses Feature in unsere Roadmap mit aufgenommen. Es wird von uns geprüft und sobald wir eine Lösung dafür haben, in ein Update mit aufgenommen.
Gruß,
Pascal Mitsching
Vielen Dank für die Informationen! Gut, dass wir darüber gesprochen haben...
Haben Sie bei Ihren Tests eigentlich berücksichtigt, dass beide Windows-DCs auch den Global Catalog (GC ) bereitstellen müssen (per default stellt nur der erste DC den GC bereit)? Ich hatte vergessen, das zu erwähnen. Wenn nicht, können sich nämlich bei Ausfall des DC mit dem einzigen GC anschließend nur noch Admins am AD anmelden, sofern in dem AD universelle Gruppen vorhanden sind. Soweit ich weiß, spielt es dabei noch nicht mal eine Rolle, ob diese universellen Gruppen überhaupt in irgendeiner Form verwendet werden (allein das Vorhandensein führt bereits zu dem Effekt).
Gruß
Franz
Haben Sie bei Ihren Tests eigentlich berücksichtigt, dass beide Windows-DCs auch den Global Catalog (GC ) bereitstellen müssen (per default stellt nur der erste DC den GC bereit)? Ich hatte vergessen, das zu erwähnen. Wenn nicht, können sich nämlich bei Ausfall des DC mit dem einzigen GC anschließend nur noch Admins am AD anmelden, sofern in dem AD universelle Gruppen vorhanden sind. Soweit ich weiß, spielt es dabei noch nicht mal eine Rolle, ob diese universellen Gruppen überhaupt in irgendeiner Form verwendet werden (allein das Vorhandensein führt bereits zu dem Effekt).
Gruß
Franz
-
pascal
Moin,
wir haben für unsere Tests den GC nicht berücksichtigt, da dieser für unsere Tests nicht benötigt wurde. Wir haben überprüft, ob ein zweiter DC von der UTM zur externen Authentifizierung genutzt wird, wenn der erste ausfällt. Dies ist aber momentan nicht so.
Pascal Mitsching
wir haben für unsere Tests den GC nicht berücksichtigt, da dieser für unsere Tests nicht benötigt wurde. Wir haben überprüft, ob ein zweiter DC von der UTM zur externen Authentifizierung genutzt wird, wenn der erste ausfällt. Dies ist aber momentan nicht so.
Gruß,Grund hierfür ist, dass nur der erste Server aus den Nameserver Einstellungen genutzt wird. Auf den zweiten wird nicht zugegriffen. Erschwerend kommt in diesem Setup dazu, dass für bestimmte Anfragen immer NUR der PDC verwendet wird.
Pascal Mitsching
-
t.dittrich
- Beiträge: 6
- Registriert: Sa 24.12.2016, 22:15
Würde mich auch interessieren, aber in Hinsicht auf die proxy Authentisierung!
Mit freundlichem Gruß
T. Dittrich
Mit freundlichem Gruß
T. Dittrich
Sehr geehrte Damen & Herren,
aktuell ist weiterhin nur ein DC ansprechbar.
Der richtige Ort für Featurerequests ist unsere Wunschbox.
aktuell ist weiterhin nur ein DC ansprechbar.
Der richtige Ort für Featurerequests ist unsere Wunschbox.
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Dann freue ich mich über Eure Stimmen:
Externe Authentifizierung - AD/LDAP / mehr als ein Domänencontroller angeben!
Externe Authentifizierung - AD/LDAP / mehr als ein Domänencontroller angeben!