In Azure heb ik een file share gemaakt. Deze is niet gekoppeld aan Azure Active Directory Domain Services, maar aan een klassieke Active Directory. Er staat geen gevoelige data op, maar de data moet wel beschikbaar zijn voor een legacy app. Om de data te benaderen moet de client een server met ADDS rol kunnen bereiken. Dus hebben we een testopstelling met VPN. VPN is natuurlijk een hoog risico, dus de testopstelling ziet er als volgt uit om de risico's te beperken:
• RODC in een apart subnet
• Alleen RODC mag praten met een van de DC's
• Always-on VPN (staat nog niet vast welke VPN, voor nu als test OpenVPN)
• Alleen route naar RODC, overige verkeer gaat gewoon direct over internet en niet over de VPN
De Azure File Share authenticeert alleen niet! Als de RODC wordt gedemote en wordt gepromote naar reguliere DC dan werkt de Azure File Share prima. Demote ik hem en promote ik hem weer naar RODC dan doet de file share het niet meer.
De computers zijn overigens Azure AD Joined en niet Active Directory joined. Dit moet echter geen probleem zijn:
• RODC in een apart subnet
• Alleen RODC mag praten met een van de DC's
• Always-on VPN (staat nog niet vast welke VPN, voor nu als test OpenVPN)
• Alleen route naar RODC, overige verkeer gaat gewoon direct over internet en niet over de VPN
De Azure File Share authenticeert alleen niet! Als de RODC wordt gedemote en wordt gepromote naar reguliere DC dan werkt de Azure File Share prima. Demote ik hem en promote ik hem weer naar RODC dan doet de file share het niet meer.
De computers zijn overigens Azure AD Joined en niet Active Directory joined. Dit moet echter geen probleem zijn:
Wat mis ik hier? Is een RODC simpelweg niet compatible met Azure Files? Ik kan dit niet terugvinden in de requirements.If your machine is not domain joined to an AD DS, you may still be able to leverage AD credentials for authentication if your machine has line of sight of the AD domain controller.