Jump to content

Externe Rechner in Domäne einhängen ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, es kommen immer mehr Fremdrechner über Anlagen und Messsysteme ins Haus, wo vom Hersteller nur in diesem Zustand betrieben werden können bzw. supported werden. Werden diese bei Euch in die Dömäne eingebunden oder laufen die isoliert ? Was muss man beachten, damit die Rechner, wenn sie in die Domäne kommen keine GPOs ziehen, man aber globale AD Gruppen lokal verschachteln kann (z.B. Anbindung Fertigungssteuerung) ?

Gruß Gill

Link zu diesem Kommentar

Vielen Dank @Gu4rdi4n und @Nobbyaushb für die Antworten. So ist es bei uns auch. Nun haben wir aber einen Rechner mit einem opt. Messgerät dran, wo automatisiert von der Fertigungssteuerung Daten verarbeiten soll. Da kam halt nun die Frage auf, ob hier eine Integration in die Domäne in Frage kommt, ohne das nun endlich funktionierende System durch GPOs wieder zu destabilisieren. Welche Gründe sprechen aus eurer Sicht gegen eine Einbindung in die Domäne ?

Link zu diesem Kommentar

Ich würde - wie bei uns - den Weg der Daten über die Firewall lenken. So schützt man beide Bereiche gleichermaßen, wenn die Firewall das kann...

 

Rechner, die nicht in der Domäne sind können auch dort keinen Schaden anrichten wenn sie mal durch einen Techniker kompromitiert werden (hatten wir in 2018)

Da war das Notebook vom Techniker befallen und per USB auf den Steuer-Rechner übertragen.

War teuer für den externen Dienstleister...

:-)

Link zu diesem Kommentar

Also dagegen spricht erstmal nichts, solange das System Gepatcht werden darf.

 

Wir haben einen Messarm beispielsweise, welcher auf einem System in der Domäne läuft.

Der Benutzer hat aber nur die rudimentärsten Rechte.

Windows updates etc bezieht er vom WSUS. 

 

Du kannst für diesen speziellen Rechner ja separate GPOs in einer separaten OU anlegen.

So ein PC braucht im Normalfall ja nichtmal ansatzweise die GPOs die du so ausrollst.

 

Was ist der Zweck dahinter, das Gerät in die Domäne einzubinden?

Reicht es nicht aus, über einen Windows Account für dieses Gerät die Authentifizierung außerhalb der Domäne zu ermöglichen?

 

Link zu diesem Kommentar

@Gu4rdi4n, ja das habe ich schon als Alternative vorgeschlagen, den lokalen Admin für den Zugriff von der Fertigungssteuerung zu verwenden. Ist halt etwas anders der Prozess wo wieder angepasst und getestet werden muss anstatt wie bei den anderen Rechnern lokal verschachtelte AD Gruppen zu verwenden. Ist halt Mehraufwand für die Kollegen, deswegen die Abwägung.

 

WSUS und unser Virenscanner sind Grundvoraussetzungen bei uns, um überhaupt ins Firmennetz zu dürfen. 

Danke nochmals...

Link zu diesem Kommentar

Nach Möglichkeit würde ich die Dinger draussen lassen und auch möglichst per Dienstkonten und Firewall lösen.

1. weil die Hersteller alle Änderungen ablehnen

2. weil Du immer Schuld bist, wenn mal was ist, egal was passiert, bei anderen gibt es das NIE welche Standard verwenden, auch wenn Du während Monaten/Jahren keinerlei Probleme hattest

 

Soweit die Realität bei der Zusammenarbeit mit den meisten Firmen. Gibt auch Ausnahmen, die sind aber selten.

 

ABER: So einfach wie früher ist die Abgrenzung nicht mehr.

- Kommunikation mit ERP, Produktionsplanung etc.

- Messysteme von Werkzeugen kommunizieren mit CAD, Maschine, Leitsystem

- Simulationssysteme mit CAD, Leitsystem, Maschine etc.

- Leitsystem kommuniziert mit Maschinen, ERP, CAD, Überwachung

- Prüfmaschinen legen die Protokolle auf Fileserver ab welche wiederum per E-Mail versendet werden müssen

- Fernwartung

- und und und

 

W10 bzw. die Patchstrategie von MS hat dieses Thema auch nicht gerade vereinfacht. Früher (XP + 7) habe ich die Systeme einfach mit Sicherheitsupdates gepatched. War nie ein Problem. Das geht nicht mehr. Dazu vorher die Festplatte geklont um jederzeit den Auslieferungszustand wieder herstellen zu können. Ich hatte in 15 Jahren seit ich solchen Krempel einbinden muss, einen Fall wo ich dann das Original hervorholen musste um den Fehler zu reproduzieren und zu beweisen, dass es nicht an Systemänderungen, also der Domäneneinbindung sowie Sicherheitsupdates liegt. Bei allen anderen half bei Diskussionen schon der Verweis, das ich eine entsprechende Kopie oder die Originalfestplatte vorliegen habe.

 

Fazit zur Einbindung: Ich würde das nur noch mit Leitsystemen machen welche dann in beiden Netzen hängt. Macht viel weniger Ärger und Diskussionen. Für die Fernwartung die nicht über separatem Hardware-VPN läuft, setze ich mittlerweile eine dedizierte Hopp-Maschine ein, welche in der Domäne hängt aber auch Zugriff auf die Maschine hat.

 

Die meisten setzen zum Glück auf primitive Übertragungstechniken mit eigenen Diensten direkt via IPv4-Adresse oder FTP oder können es zumindest (noch). Den ganzen Windows Kram benötigen sie also normal nicht zwingend. Man kann also fast alles zudrehen und nur die Kommunikation zwischen Hopp und Maschine zulassen, welche für die Fernwartung oder Dateiübertragung notwendig sind. Gleiches gilt bei den Leitsystemen.

 

 

Wichtig beim Kauf für Leitsysteme oder andere Systeme die zwingend ins Netz müssen:

1. immer auf Windows Server oder W10 LTSC bestehen (Bei Leitsystemen, Prüfmessgeräten etc. klappt das immer. Maschinensteuerung selber erfahrungsgemäss eher nicht)

2. die Maschinen mit Scripts so konfigurieren, dass die Update-Dienste keine Updates ziehen können und auf Knopfdruck eben schon.

 

2. ist wichtig weil W10 sobald es Updates irgendwie sieht, diese herunterlädt und installiert. Nett wenn Produktionsmaschinen 24h laufen und ihnen das Leitsystem unter den Füssen weggezogen wird. Wirklich abstellen kannst W10 das A mit der Firewall und B indem du die Update-Dienste inkl. Orchestrator + Tasks abstellst. Manches geht nur über den Umweg via Systemrechten + TrustedInstaller. (Gibt Scripts/EXE für die feindliche Übernahme von TI ohne das die effektiven Berechtigungen der Dienste/Tasks/Files geändert werden müssen).

Link zu diesem Kommentar

Yep, ist echt mühsam geworden. Dank der Super Duper Patchstrategie von MS eigentlich ein komplettes Desaster. Ist ja bei Office-PC's schon mühsam genug geworden mit den ganzen halpatzigen und fehlerbehafteten Updates und halbgaren Builds. Über 10 Jahre lang hatte ich (fast) komplett Ruhe mit Patch-Problemen, jetzt ist es wieder wie zu alten Zeiten.

Bei Industrie-PC's ist es zusammen mit dem LyfeCycle von Pro und den Kombi-Updates der Super Gau. Gleichzeitig immer mehr Integration/Vernetzung.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...