STAS und Read Only Domain Controller

Question

Moin Zusammen 
 wir haben ein Problem mit STAS der Authentifizierung in Verbindung mit einem RODC. 
 Das Thema haben wir auch schon an den SOPHOS Support herangetragen aber kommen dort irgendwie nicht weiter. 
 Wir sind vor kurzem erst von Watchguard Produkten zu SOPHOS gewechselt. Wir haben 3 Standorte und betreiben je Standort 2 SOPHOS XGS4300 im HA Cluster. 
 Wir benutzen an allen Standorten STAS zur Benutzerauthentifizierung. An 2 von 3 Standorten funktioniert das auch Problemlos. 
 Jedoch betreiben wir an einem der Standorte einen Read Only Domain Controller, da wir von dort aus bestimmte Gruppen bzw, Benutzer in ein Cloudbasiertes MDM System syncen. 
 Solang der RODC l&auml;uft funktioniert an diesem Standort die STAS Authentifizierung bei einigen Benutzern nicht richtig. Und zwar, so wie es ausschaut, bei allen die sich &uuml;ber den RODC anmelden. 
 Die Benutzer tauchen dann zwar in den Live Users auf der SOPHOS auf, allerdings nicht mit ihrer Client IP sondern mit der Adresse des RODC. 
 Wir vermuten aktuell das es an der Art und Weise wie liegt, wie der RODC Benutzeranmeldungen verarbeitet. Da er selber keine Kennw&ouml;rter speichern darf, wird die Anmeldung ja immer an den n&auml;chsten beschreibbaren DC gegeben. Dort wird dann auch ein Event mit der ID 4768 generiert. Auf dem RODC sind in dem Zusammenhang nur Events mit der ID 4624 zu sehen, welche ja nicht vom STAS &uuml;berwacht werden? 
 Wir haben auch schon unterschiedliche Szenarien mit der STAS Suite auf dem DCRO durch probiert. Es brachte aber keinen Unterschied ob wir die Suite vollst&auml;ndig installiert haben, nur den Agent oder gar nichts. 
 Hat hier vielleicht schon jemand Erfahrungen mit dem Thema gemacht und hat einen Tipp wie wir das Problem l&ouml;sen k&ouml;nnen?

Stefan Bartsch · Accepted Answer

Moin, um das ganze noch aufzul&ouml;sen... Wir hatten ja parallel noch ein Ticket bei Sophos zu laufen und irgendwann hat dort ein Support Engineer den Fall &uuml;bernommen, der das ganze dann auch ziemlich schnell aufl&ouml;sen konnte. Zusammengefasst kann man sagen der RODC arbeitet wie er soll und das STAS arbeitet wie es soll. 
 Wie LuCar Toni schon richtig beschrieben hat, wird nur die Event ID 4768 ausgewertet. Da der RODC aber keine Kennw&ouml;rter speichern darf, reicht er Anmeldungen die bei ihm ankommen immer weiter an den n&auml;chsten beschreibbaren DC. Daraus ergibt sich dann, dass auf dem DCRO keine Events mit der ID 4768 generiert werden. Leider gibt der DCRO auch nicht die richtige Client IP mit wenn er Anmeldungen weiterleitet, sondern immer seine eigene. Daher tauchen dann im STAS Live User mit der Adresse des RODC auf, wenn eine weitergeleitete Anmeldung letztlich an einem beschreibbaren DC ausgewertet wird. 
 Wir hatten daf&uuml;r jetzt 3 L&ouml;sungsans&auml;tze: 
 - Den RODC in ein anderes Netz schieben (z.B DMZ o&auml;.), wo er f&uuml;r Clients nicht erreichbar ist und somit nicht f&uuml;r Anmeldungen genutzt werden kann > dabei w&auml;re aber zu beachten das in jedem Fall entsprechende Ports zum Replizieren mit anderen DC offen bleiben m&uuml;ssen 
 - Die Benutzer in die Password Replication Group aufnehmen. > Das war der Vorschlag vom Sophos Support. Der RODC darf die Kennw&ouml;rter der Mitglieder dieser Gruppe speichern und kann dann die Anmeldung f&uuml;r diese Benutzer selbst durchf&uuml;hren. Das wollten wir aber aus Gr&uuml;nden der Sicherheit nicht. 
 - Die Gewichtung des RODCs &auml;ndern > so haben wir es jetzt gel&ouml;st. Wir haben mittels Gewichtung die Priorit&auml;t des RODC so niedrig gestellt des er von Clients nicht mehr f&uuml;r die Anmeldung genutzt wird. Funktioniert bisher problemlos

STAS und Read Only Domain Controller

Top Replies