AD einrichten auf einem gehosteten Domain Controller
Hallo,
gleich vorweg: Mein Anliegen wird dem ein oder anderen Leser sicherlich einen Schauer über den Rücken jagen, Best Practice ist es wohl nicht.
Plan:
Ein Kunde von mir (Startup, ca. 30 User) möchte, dass ich ihm ein Active Directory einrichte. Und wie das bei Startups so ist, planen sie finanziell auf Sicht und daher sind Hinweise wie : "In Zukunft ist das aber garantiert ein Problem" nicht hilfreich und stoßen beim Inhaber auch auf taube Ohren. Ein AD muss jetzt her aber kosten darf es erst einmal nichts.
Daher habe ich eine VM bei strato erstellt, die über eine feste IP erreichbar ist. Sie soll der DC werden. Der Standort des Kunden wird auch mit einer festen IP ausgerüstet werden, außerdem kommt dort eine Sophos UTM zum Einsatz.
Nun habe ich auf der VM (Windows Server 2012 R2) den OpenVPN Client installiert und kann auch erfolgreich eine Site-to-Site VPN Verbindung mit der Sophos UTM aufbauen. Die Sophos UTM fungiert dabei als OpenVPN Server. Pingen zwischen dem Server und einem Rechner hinter der Sophos funktioniert in beide Richtungen. RDP funktioniert nicht auf den Server über die VPN Verbindung, in die andere Richtung aber schon. Das ist ein noch zu klärendes Problem.
Nun zu meiner eigentlichen Frage:
Was muss ich bei der Installation des DCs beachten?
Dieser befindet sich ja in einem anderen Subnetz als die Rechner des Kunden. Ich kann zwar grundsätzlich ein AD aufsetzen, aber wie ich bei der oben beschriebenen Konstellation die DNS Konfiguration vorzunehmen habe, ist mir nicht ganz klar.
Vielleicht kann mir einer von euch helfen, ich bedanke mich schon einmal jetzt ganz herzlich!
Schöne Grüße
Tim
gleich vorweg: Mein Anliegen wird dem ein oder anderen Leser sicherlich einen Schauer über den Rücken jagen, Best Practice ist es wohl nicht.
Plan:
Ein Kunde von mir (Startup, ca. 30 User) möchte, dass ich ihm ein Active Directory einrichte. Und wie das bei Startups so ist, planen sie finanziell auf Sicht und daher sind Hinweise wie : "In Zukunft ist das aber garantiert ein Problem" nicht hilfreich und stoßen beim Inhaber auch auf taube Ohren. Ein AD muss jetzt her aber kosten darf es erst einmal nichts.
Daher habe ich eine VM bei strato erstellt, die über eine feste IP erreichbar ist. Sie soll der DC werden. Der Standort des Kunden wird auch mit einer festen IP ausgerüstet werden, außerdem kommt dort eine Sophos UTM zum Einsatz.
Nun habe ich auf der VM (Windows Server 2012 R2) den OpenVPN Client installiert und kann auch erfolgreich eine Site-to-Site VPN Verbindung mit der Sophos UTM aufbauen. Die Sophos UTM fungiert dabei als OpenVPN Server. Pingen zwischen dem Server und einem Rechner hinter der Sophos funktioniert in beide Richtungen. RDP funktioniert nicht auf den Server über die VPN Verbindung, in die andere Richtung aber schon. Das ist ein noch zu klärendes Problem.
Nun zu meiner eigentlichen Frage:
Was muss ich bei der Installation des DCs beachten?
Dieser befindet sich ja in einem anderen Subnetz als die Rechner des Kunden. Ich kann zwar grundsätzlich ein AD aufsetzen, aber wie ich bei der oben beschriebenen Konstellation die DNS Konfiguration vorzunehmen habe, ist mir nicht ganz klar.
Vielleicht kann mir einer von euch helfen, ich bedanke mich schon einmal jetzt ganz herzlich!
Schöne Grüße
Tim
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 295654
Url: https://administrator.de/forum/ad-einrichten-auf-einem-gehosteten-domain-controller-295654.html
Ausgedruckt am: 04.04.2025 um 04:04 Uhr
8 Kommentare
Neuester Kommentar
Hey,
wäre die AzureAD eine Alternative für euch?
https://azure.microsoft.com/de-de/documentation/articles/active-director ...
wäre die AzureAD eine Alternative für euch?
https://azure.microsoft.com/de-de/documentation/articles/active-director ...
Wenn bloß das DNS das Problem sein sollte:
Eine Möglichkeit wäre:
Den DC auch als DNS für sein eigenes AD einrichten. Auf dynamisches Update für die Clients verzichten. Also Clients mit fester IP betreiben und fest im DNS eintragen. Am Standort des Kunden einen kleinen DNS-Server betreiben (z.B. im Router?) der bedingte Weiterleitungen unterstützt. Für die Zone des AD die Anfragen an den DC/DNS weiterleiten. Für alle andere an den DNS beim Internetprovider weiterleiten.#
E.
Eine Möglichkeit wäre:
Den DC auch als DNS für sein eigenes AD einrichten. Auf dynamisches Update für die Clients verzichten. Also Clients mit fester IP betreiben und fest im DNS eintragen. Am Standort des Kunden einen kleinen DNS-Server betreiben (z.B. im Router?) der bedingte Weiterleitungen unterstützt. Für die Zone des AD die Anfragen an den DC/DNS weiterleiten. Für alle andere an den DNS beim Internetprovider weiterleiten.#
E.
"Zu Teuer" ist so ne Sache. in der kleinsten Ausführung ist die Azure AD sogar kostenlos, ist halt nur die Frage ob sie euren Anforderungen genügt.
Und bezüglich des Datenschutzes kann ich die Sorgen einerseits Nachvollziehen, andererseits würde Microsoft damit ganz schnell auf die Fresse kriegen wenn die mit den daten schmu machen.
Und bezüglich des Datenschutzes kann ich die Sorgen einerseits Nachvollziehen, andererseits würde Microsoft damit ganz schnell auf die Fresse kriegen wenn die mit den daten schmu machen.