cebo 10 Geschrieben 5. Februar 2007 Melden Teilen Geschrieben 5. Februar 2007 Bei dem DC handelt es sich um einen zusätzlichen DC in einer bestehenden Domäne. Bisher stellte das erste physikalische Gerät sowohl den DC als auch den TS. Wegen der Sicherheit habe ich eine 2te Maschine angeschafft, die jetzt als TS arbeitet. Wenn ich jetzt die 2te Maschine auch als zusätzlichen DC in der bestehenden Domäne hochstufe, habe ich dann eigentlich wesentlich an Sicherheit dazugewonnen? Werden durch User bedingte mögliche Veränderungen am 2ten DC auf den ersten repliziert? Alle User müssen sich ja weiterhin an einem DC anmelden. Kann man die Berechtigungen auf einen DC beschränken oder könnten sich alle User auch automatisch auf dem ersten DC anmelden ? Kann der Loopbackverarbeitungsmodus auf diesem DC genauso implementiert werden wie auf einem Mitgliedsserver? Wo genau liegen die Einschränkungen ? Könnte man vielleicht besser auf einem jetzigen Clienten einen weiteren DC installieren? Der Client wird selten frequentiert , 3 x die Woche a 8 Std. dann wird er ausgeschaltet. Oder macht das keinen Sinn ? Viele Fragen, Danke schon mal für die Antworten Cebo Zitieren Link zu diesem Kommentar
Notarzt 10 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Ich würde mal sagen das du dich in die unsichere Ausgangslage zurückwirfst wenn du aus dem neuen TS einen DC machst, da die DCs untereinander Replizieren. LG Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Hallo Leider verstehe ich von TS relativ wenig, dafür aber von DC und AD. Ich versuche diesen Fragenteil zu beantworten: Bei dem DC handelt es sich um einen zusätzlichen DC in einer bestehenden Domäne. Bisher stellte das erste physikalische Gerät sowohl den DC als auch den TS. Wegen der Sicherheit habe ich eine 2te Maschine angeschafft, die jetzt als TS arbeitet. Wenn ich jetzt die 2te Maschine auch als zusätzlichen DC in der bestehenden Domäne hochstufe, habe ich dann eigentlich wesentlich an Sicherheit dazugewonnen? Werden durch User bedingte mögliche Veränderungen am 2ten DC auf den ersten repliziert? Ja es werden sämtliche UserInformationen repliziert. Zusätzlich würde es Sinn machen, den 2. DC als zus. DNS zu betreiben. Ein weiterer DC erhöht die Stabilität jedoch nicht die Sicherheit. Eine Trennung von TS und DC ist jedoch sinnvoll, da der DC eigentlich keine weiteren Funktionalitäten haben sollte. Alle User müssen sich ja weiterhin an einem DC anmelden. Kann man die Berechtigungen auf einen DC beschränken oder könnten sich alle User auch automatisch auf dem ersten DC anmelden ? [/quote ] Die DCs machen eine Art Loadbalancing. Das geht nicht. Kann der Loopbackverarbeitungsmodus auf diesem DC genauso implementiert werden wie auf einem Mitgliedsserver? Wo genau liegen die Einschränkungen ? Sorry verstehe die Frage nicht. Könnte man vielleicht besser auf einem jetzigen Clienten einen weiteren DC installieren? Nein. Es wird als Betriebssystem eine Serverversion benötigt. Der Client wird selten frequentiert , 3 x die Woche a 8 Std. dann wird er ausgeschaltet. Oder macht das keinen Sinn ? Nein. Die DCs müssen immer laufen, da diese untereinander permanent replizieren. Gruss Matthias Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Installiere ihn nur als Member und mache ihn zum Terminalserver. Es ist sehr unglücklich, dass sich User auf einem DC anmelden, immerhin liegen dort alle Informationen der Domäne ... Sicherlich kann man erreichen, dass die User sich nur auf einem DC via RDP anmelden können und ebenso kann man definieren, dass die Loopbackrichtlinie nur für einen DC gilt. Spar Dir das lieber und mache ihn nicht zum DC, der Sicherheitsgewinn durch das zusätzliche Halten der AD-Informationen wird vom Anmelden der User an dem DC wieder aufgefressen. Es funktioniert aber ... Zitieren Link zu diesem Kommentar
Tobi72 10 Geschrieben 6. Februar 2007 Melden Teilen Geschrieben 6. Februar 2007 Ja, kann mich den Vorrednern nur anschließen. Ein DC sollte aus Sicherheitsgründen kein TS sein, da die User auf dem TS Anmelderechte haben müssen und somit zu viele Rechte auf dem DC hätten. Auch die Idee mit der WS als zweiter DC ist nicht zu empfehlen bzw. möglich. Dagehen sprechen 3 Gründe: 1. Eine Windows-Client-OS kann nicht zum DC gemacht werden. 2. DC's (sowie alle Server) sollten immer an sein und nicht nur 3 Tage die Woche. 3. Selbst wenn man auf dem Rechner Server-Software installiert (sofern das die Hardware überhaupt mitmacht) und den Rechner immer an lässt, währe das genauso unsicher wie ein TS als DC... Denn der oder die entsprechenden User müssten sich wieder auf dem DC selbst anmelden. Und dann könntest du den TS gleich zum DC machen... Du hättest das gleiche Resultat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.