Domänencontroller vorübergehend woanders betreiben

[mfischer70 12]

Hallo Leute,

 

ich habe die Aufgabe, eine Schulungsumgebung außerhalb unserer Räume aufzubauen an einem Ort, der nicht mit einer Internetleitung ausgestattet ist. Die Schulungen sollen etwa 4 Wochen dauern und ich brauche dazu den DC mit DHCP und DNS, um die Mitarbeiter anmelden lassen zu können und für das ERP System "Microsoft Dynamics" zu authentifizieren. Habe mir überlegt, einen 3. DC ins Netz zu bringen, den ich dann aus dem Netz nehme und in den Schulungsraum stelle. Wenn die Schulungen vorbei sind, würde ich ihn dann wieder ans Netz hängen und als DC wieder herunterstufen. Spricht da irgendwas dagegen?

 

Gruß Mike

[Dukel 451]

Wieso stellst du nicht einen neuen Server in die Schulungsumgebung, installierst diesen als DC und nach der Schulung kannst du ihn neu installieren oder sonst was mit machen.

[mfischer70 12]

weil ich ja die gleiche domäne benötige, damit es am Ende auch die gleichen User sind (SID), damit ich nicht für das ERP System alle Userberechtigungen neu schreiben muss. Das dauert sonst Ewigkeiten.

[NilsK 2.930]

Moin,

 

ich glaube nicht, dass du einen DC in einen externen Schulungsraum stellen willst, wo er physisch nicht gesichert ist. Wenn jemand das Ding klaut oder hackt, musst du die ganze Produktionsdomäne plätten und neu machen ...

 

Gruß, Nils

[Dunkelmann 96]

Vielleicht könnten ein RODC (ggf. mit Bitlocker) und ein kleiner UMTS Router helfen.

[mfischer70 12]

der Schulungsraum ist auf dem gleichen Gewerbegebiet wie unsere Firma. Ich habe leider keine andere Möglichkeit. Ich brauche definitiv die Anbindung an unsere Domäne für unser ERP System (Microsft Dynamics) Es gibt keine Leitungen zu diesem Schulungsraum und UMTS Anbindung ist nicht wirklich möglich (sehr am Rande des Ausbaugebietes). Selbst das normale Handynetz der Telekom ist hier teilweise nicht erreichbar. Der Raum ist zwar verschlossen, aber ich werde den DC trotzdem jeden Abend in die Firma bringen, weil mir das sonst auch zu unsicher ist.

Mir ging es nur darum, ob ich es prinzipiell so machen kann, das ich den DC für eine Weile rausnehme und dann wieder reinhänge in die Domäne.

Sollte natürlich jemand ne andere Lösung haben, die auch durchführbar ist...ich bin dabei ;-)

 

Gruß Mike

[lefg 276]

Hallo

 

Den Sicherheitsaspekt löst Du ja durch das Mitnehmen des DC, ich meine, eine gute Lösung.

 

Was würde ich wohl machen?

 

Einen zusätzlichen DC installieren, wie Du es auch angedacht hast.

 

Mein Gedanke aber, den dann nach dem Trennen den neuen DC sizen, "zwangsweise" die die FSMO-Roles verpassen und zum GC machen. Ob das wohl so geht?

 

Weiter den "fehlenden" DC aus der Domäne entfernen mit ntdsutil.

 

Auf keinen Fall den entnommenen, abgetrennten DC wieder mit dem Netz der Domäne verbinden.

[mfischer70 12]

du meinst ich soll den neuen DC nach der Trennung vom Netz zwangsweise zum GC machen? Oder alle Rollen zwangsweise "überhelfen"? Gibt es da einen Grund dafür? Wenn ich das tue ist es klar, dass er auf gar keinen Fall wieder ans Netz darf. Wenn ich das nicht tue, dann kann ich ihn doch ganz normal wieder ans Netz hängen und herunterstufen oder nicht?

 

Gruß Mike

[ENC 10]

Hallo zusammen,

 

was spricht gegen einen Hyper V Klon ? Datenmengen ?

Also die bestehende Domain auf eine Hyper V Maschine zu klonen ?

 

Somit wären die System 1:1 vorhanden ?

[NilsK 2.930]

Moin,

 

grundsätzlich kannst du einen "portablen" DC in der Art betreiben, wenn du die Frage des physischen Zugriffs regelst. Auf keinen Fall die FSMO-Rollen übertragen! Die brauchst du nicht für die Anmeldung. GC hingegen schon, aber das ist auch unkritisch.

 

Einen Klon zu erzeugen wäre theoretisch auch möglich, ist aber i.d.R. mit sehr viel Nacharbeit verbunden, und physisch sichern müsstest du den Klon dann auch. Hätte also kaum Vorteile.

 

Wobei ich eins immer noch nicht verstehe: Wenn du nur den DC mitnimmst und keine LAN-Verbindung besteht, wie können die User in der Schulung dann auf das ERP-System zugreifen? Wenn es dafür ein Testsystem gibt, kann man das nicht auf Basis einer Schulungsdomäne betreiben? In dem Fall gäbe es kein Sicherheitsproblem.

 

Gruß, Nils

[mfischer70 12]

mit dem Klonen habe ich wenig erfahrung und in Kürze Urlaub...bis dahin muss die Testumgebung stehen.

Für das ERP System gibt es einen Schulungsserver, der genau die gleichen Daten zum Tag X enthält, wie die Produktivumgebung. Wenn ich ne Schulungsdomäne aufbaue, muss ich das ERP System neu aufsetzen, was zwar gehen würde, aber sämtliche Berechtigungen müssten neu gemacht werden und das ist relativ aufwändig. Die User sollen ja genau ihre Daten und Filter vorfinden wie immer.

GC muss der neue Server sein? Kann ich ihn dann hinterher problemlos wieder in die Domäne hängen und runterstufen?

 

Gruß Mike

[lefg 276]

......GC muss der neue Server sein? Kann ich ihn dann hinterher problemlos wieder in die Domäne hängen und runterstufen?

 

 

Wozu willst Du den Server wieder in die Domäne bringen und dann herunterstufen?

[mfischer70 12]

weil er nur für die Schulungsumgebung überhaupt zum DC wird und er hinterher verschrottet wird. Was nutzt es eine Leiche im System mitzuführen, wenn er auch sauber wieder herunter gestuft werden kann?

[lefg 276]

mit dem Klonen habe ich wenig erfahrung und in Kürze Urlaub...bis dahin muss die Testumgebung stehen.

.....

 

Klonen mit z.B. Acronis 11 ist eine einfache Angelegenheit, vorausgesetzt, die BootCD hat die Treiber für das Plattensystem, bekommt darauf Zugriff.

[mfischer70 12]

Software zum Klonen ist nicht vorhanden und müßte erst angeschafft werden. Die Server sind von HP und die Treiber müssen mit Sicherheit erst eingebunden werden in die Boot-CD. Ein frischer 2003 Server steht allerdings fix und fertig bereit.