Szia Péter!
>Az AD-be beleptetes az AZURE AD-be leptetett gepeken nem fog menni,
Erről szó sem volt a részemről. Ez nem is érdekel, azok a gépek maradnak
úgy ahogy vannak....
Ezzel szemben a suli régebbi laptopjai amik az efopos wifire
csatlakoznak, azokat kellene lokális ad-ben hagyni.
A gondolatmenetet nem értem, én hagynám a francba a kifu-s privát
szegmenst. Gondoljatok bele: egy tollvonással a megkérdezésünk nélkül és
mindenféle értesítés nélkül megváltoztatták az ip tartományt.
Mivan, ha ez ismét bekövetkezik és borul minden???
No ezért kell a saját módszer a véleményem szerint.
A direct access-t teszteltem és a feladatra teljesen jó, csak elég
szerencsétlen, hogy ez már csak ipv6 only és csak azokat az
erősforrásokat érheted el rajta keresztül, amik dual-stackes konfigban
vannak, tehát ipv4 és ipv6 címük is van.
Ráadásul a klienst is ipv6 címen éred el, és ha valami miatt nem íródik
be a dnsbe az AAA rekord, akkor írhatod az ipv6 címet és az kellemetlen....
Egy kolléga említette a vpn-tunnel lehetőséget win10-1709 illetve utána
ws2016 párossal. Nem találtam sok leírást a témában és szabad kapacitás
híján jegelem.
Ha lesz valami előrelépés majd jelentkezem.....
2018. 12. 09. 13:36 keltezéssel, Molnár Péter írta:
Hello!
Az AD-be beleptetes az AZURE AD-be leptetett gepeken nem fog menni,
igy ezeken a kovetkezo celokat kellene megvalositani:
- helyi szerver eroforrasainak elerese az eduroam-on keresztul
- helyi eroforrasok (nyomtatoszerver) elerese az eduroam-on keresztul
- helyi halozatbol elerni a eduroam halozaton keresztul
csatlakoztatott gepeket.
Azon gepek eseten, melyek nincsenek beleptetve az Azure AD-ba (helyi
laptopok)
a beleptetes a helyi AD-ba lehetseges, elvileg.
A celok ugyanazok, mint a fentiek eseteben,
+ a gepek AD-n keresztuli konfiguralasa (gpo)
A fentieket tekinthetjuk alomnak.
A megoldasuk a belo halozat felepitesetol es a kompromisszum
keszsegunktol fugg.
A. halozat
Szerver 192.168.0.x-es tartomanyu belso haloval.
A belso halonak nincs kozvetlen kapcsolata a sulinetes router egyik
vlan-val sem.
A szerver a sulinetes router publikus portjahoz kapcsolodik csak.
Lehetseges megoldasok, szigoruan szerintem, s elmeleti alapon, tehat
ha valahol tevedek szoljatok:
1. VPN-s megoldas
Az eduroam-os gepekre telepiteni az OPENVPN klienst
A szerverre szinten
A kliens gepek a VPN-es csatlakozas utan, mintha a belo haloban
lennenek, igy
A gepek AD-n keresztuli konfiguralasan kivul minden elerheto.
2. Szerverbe masik halokartya, vagy a meglevo belso lab csatlakozasa
es konfiguralasa a sulinetes router privat portjahoz.
Az eduroam a wifi-s vlan-hoz kapcsolodik, a szerver a privat vlan-hoz.
A Dashboard-on keresztul lehetoseg van a ket halozat osszekotesere,
igy koztuk forgalom mehet.
Szerintem a szerveren es dashboardon is kell egy statikus routolast is
beallitani, de elmletileg minden cel mukodne.
(kiveve az AD-t)
B. halozat
Szerver belso laba a sulinetes router privat halozatahoz csatlakozik
a privat vlan-on a DHCP szerver a sulinetes
A Dashboard-on keresztul lehetoseg van a ket halozat osszekotesere,
igy koztuk forgalom mehet.
Szerintem a szerveren es dashboardon is kell egy statikus routolast is
beallitani, de elmletileg minden cel mukodne.
Az AD szerintem ketseges
C. halozat
Szerver belso laba a sulinetes router privat halozatahoz csatlakozik
a privat vlan-on a DHCP szerver nem a sulinetes.
A Dashboard-on keresztul lehetoseg van a ket halozat osszekotesere,
igy koztuk forgalom mehet.
AD belepes lehetseges, de a WIFI-s vonalnak szerintem kulon DHCP-je
van, igy az AD itt sem fog menni.
Kihagytam valamit?
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
