mk100 0 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 (bearbeitet) Hallo liebe Kollegen, ich möchte einen neuen DC erstellen mit Server 2019, der aktuelle DC ist Server 2016. Der aktuelle DC 2016 ist der einzige DC in der Domäne. Jetzt möchte ich in dem Zuge auch die Struktur des AD sinnvoller gestalten, nach dem PWA Prinzip von Microsoft und eine Art "Tiering" System abbilden, damit man nicht in einem Zug durch unsere Server rutschen kann. Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice? Ich hoffe meine Problemstellung ist deutlich geworden. Für jede Empfehlung oder Tipp bin ich dankbar! MFG * Ich bin Software Entwickler in einer kleinen Firma, kein Netzwerktechniker oder Admin, habe aber gutes IT Allgemeinwissen * bearbeitet 7. August 2019 von mk100 Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen. Folgende Fragen habe ich noch: Warum den 2016er durch den 2019er ersetzen? Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 Ich würde entweder - einen zweiten 2016 DC aufnehmen oder - einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs? Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 (bearbeitet) vor 5 Stunden schrieb mk100: Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice? Der 2019 kann keine andere AD-Struktur bekommen als der 2016, denn der 2919 erhält die AD-Struktur der Domäne vom 2016 nach dem Beitritt zur Domäne mit der Replikation. Zum Beitritt des 2019 zur Domäne kann dieser keine AD-Struktur haben. Falls Du meinst, Du könntest einen neuen DC mit einer anderen AD-Struktur bauen und diesen anschliessend der Domäne hinzufügen, dann ist das ein nicht dürchführbares Vorhaben. bearbeitet 7. August 2019 von lefg Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen? Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 Vielleicht PAW? :) Zitieren Link zu diesem Kommentar
mk100 0 Geschrieben 8. August 2019 Autor Melden Teilen Geschrieben 8. August 2019 (bearbeitet) vor 9 Stunden schrieb NorbertFe: Vielleicht PAW? :) Ja, sorry, da habe ich mich verschrieben. Ich meinte eine PAW :) vor 9 Stunden schrieb daabm: Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen? Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das? Sorry, ich meinte PAW. Kannst du mir erläutern welchen Zusammenhang du siehst zwischen 2 DC´s hinsichtlich Sicherheit siehst? Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? vor 11 Stunden schrieb Dukel: Ich würde entweder - einen zweiten 2016 DC aufnehmen oder - einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs? Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen. Danke das hat meine Frage ziemlich konkret beantwortet. vor 11 Stunden schrieb MurdocX: Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen. Folgende Fragen habe ich noch: Warum den 2016er durch den 2019er ersetzen? Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen? 1. In erster Linie weil wir das erste mal ein Sicherheitskonzept implementieren wollen, und da wir Action Pack Kunde sind und administrative Tätigkeiten eher alle 1-2 Jahren machen, wollen wir vorsorglich auf den Server 2019 gehen. 2. Meines Wissens nach kann man die Struktur eines AD nicht "einfach" umbauen !? Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s ` bearbeitet 8. August 2019 von mk100 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 vor 17 Minuten schrieb mk100: erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? Und das gehört nicht zu Sicherheit/Verfügbarkeit? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 vor 39 Minuten schrieb mk100: Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s ` Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben. vor 40 Minuten schrieb mk100: 2. Meines Wissens nach kann man die Struktur eines AD nicht "einfach" umbauen !? Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr. vor 42 Minuten schrieb mk100: Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? Das ist doch auch ein Teil der Sicherheit. Zitieren Link zu diesem Kommentar
mk100 0 Geschrieben 8. August 2019 Autor Melden Teilen Geschrieben 8. August 2019 vor 3 Minuten schrieb Sunny61: Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben. Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr. Das ist doch auch ein Teil der Sicherheit. Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin? Zitieren Link zu diesem Kommentar
mk100 0 Geschrieben 8. August 2019 Autor Melden Teilen Geschrieben 8. August 2019 (bearbeitet) vor 3 Minuten schrieb Dukel: Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin? Nein es gibt keine Admins. Wie schon gesagt kleine Firma, wenig Aufwand im administrativen Bereich daher überzogen. Ich "verwalte" das AD auch nicht, sondern ich unterstütze nur wenn etwas umgesetzt werden soll. vor 37 Minuten schrieb NorbertFe: Und das gehört nicht zu Sicherheit/Verfügbarkeit? Ja, ist schon richtig :) bearbeitet 8. August 2019 von mk100 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 vor 55 Minuten schrieb mk100: Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. Puh, dann solltest Du eine Schulung machen und das in der Firma mit jemandem machen, der weiß was welche Auswirkungen haben kann. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 Und zumindest für die Inbetriebnahme eines neuen Servers einen externen hinzuziehen, das kann man im Rahmen eines Workshops erledigen, und du lernst dabei was. Es sei denn, das ist nicht gewünscht... Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 8. August 2019 Melden Teilen Geschrieben 8. August 2019 Ok, wir kommen der Sache näher Über PAW reden wir, sobald Du 2 DCs hast. Und weißt, was PAW alles mit sich bringt - separater Computer als PAW, darauf eine VM mit dem Arbeitsrechner (grad noch akzeptiert, eigentlich aber wirklich separater Computer), dann separater Netzzugang, abgeschotteter Raum, 2FA, und genaugenommen Bastion Forest. PAW ist einer der Bestandteile von ESAE, die man am ehesten wegrationalisieren kann - meine Meinung. Wenn Ihr bisher nicht mal OUs genutzt habt, hattet Ihr im AD keinerlei Delegation. Damit auch keine Tier-Trennung, keine gezielten GPOs für's Hardening und und und Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.