Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AzureAD nachträglich um lokale Domäne erweitern

Mitglied: Butcha

Butcha (Level 1) - Jetzt verbinden

26.02.2020, aktualisiert 17:48 Uhr, 391 Aufrufe, 3 Kommentare

Hallo Leute,

meine neue Firma setzte bisher immer auf Cloud. Dabei vornehmlich Microsofts Office365 (volle Palette von Office über Sharepoint, Skype/Teams, bis hin zu Exchange), sowie AzureAD. Letztes wird hauptsächlich für Security wie 2FA genutzt.
Das MDM via Intune wurde scheinbar nie richtig konfiguriert, und ich bekomme es bis heute nicht hin ALLE Clients dort zu registrieren. Nur 17 werden mir dort als verwaltbar angezeigt.

Da die Firma in den letzten Jahren gut gewachsen ist (> 70 Mitarbeiter), reicht die Cloud m.M.n. nicht mehr aus. In den wenigen Monaten hier musste ich sehr viele Einschränkungen hinnehmen, die ich durch das nachträgliche Erstellen einer lokalen Domäne (die mittels Connector an die AAD gekoppelt wird) minimieren will. Normalerweise ist es ja anders herum, dass man seine on-prem AD um die Cloud erweitern will :D

Die eigentliche Frage: hat jemand Erfahrungen damit eine Cloud-Only-Infrastruktur um eine lokale AD zu erweitern? Windows Server Lizenz + CALs sind schon gekauft. Jetzt fehlt nur noch eine klare Linie, welche Schritte ich bei der Einrichtung in welcher Reihenfolge erledigen sollte. Betriebssystem auf Clientseite ist fast ausschließlich Windows 10.

Mein Plan bisher:


1.) Windows Server 2019 Standard installieren inkl. AD / DNS / DHCP (DNS und DHCP laufen momentan über die pfSense)
2.) "lokalen" Domänen-Admin erstellen, mit dem ich alles aufbauen kann
3.) OU-Struktur ausdenken / vorbereiten (aber soweit noch leer lassen) --> wichtg: kann ich mir hier eine neue Stammdomäne ausdenken, oder sollte die mit der vorhandenen ExchangeOnline-Domäne (xyz@firma.de) übereinstimmen?
4.) AzureAD Connector installieren + mittels extra zu erstellendem Sync-Konto irgendwie mit der Cloud verknüppern
5.) Nutzerkonten & Gruppen abgleichen
6.) grundlegende GPOs einpflegen (bisher quasi keine vorhanden)
7.) RADIUS installieren + konfigurieren und mit bestehendem WLAN verheiraten
8.) SCCM / MECM installieren + konfigurieren
9.) Print Server (für zwei Geräte) einrichten


Macht das aus eurer Sicht Sinn? Fehlen wichtige Schritte?
Meine größten Zweifel bis hierher:

a.) Ist es überhaupt erforderlich/sinnvoll ERST einen Forest zu definieren und sich danach mit der AAD zu syncen, oder gibt die AAD schon Bäume vor, die ich anschließend weiter nutzen kann?

b.) Kann es Konflikte zwischen lokalen und Cloud-Admin Konten geben?

c.) Sollte man alles auf einmal aus der Cloud "runter syncen", oder sollte man das in kleine Pakete aufstückeln? Reihenfolge wichtig?

d.) Wie lässt sich verhindern, dass eine Synchronisation in die falsche Richtung (on-prem -> cloud) irgendwelche Sachen löscht oder überschreibt?

d.) Die Server Lizenz ermöglicht mir ja eine zweite Win VM. Wie würdet ihr das aufsplitten? AD / DNS / DHCP auf den Domain Controller und RADIUS, SCCM, PrintServer, PowerBI Gateway, etc. auf den zweiten? Oder anders? Oder teilen die sich alle die gleiche Datenbank und können deswegen gut zusammenarbeiten?
Ja ja, ich weiß: normalerweise ein Server pro Dienst. Für den Anfang wird es etwas "kuschelig" auf den zwei VMs, das ist mir bewusst und hoffentlich kein Dauerzustand.

Ein Problem: alle Nutzer sind aktuell die alleinigen Nutzer auf ihren jeweiligen Laptops und verfügen somit über Admin-Berechtigungen! Es gibt keinen lokalen Standard-Admin, den ich für Bulk-Aufgaben missbrauchen könnte. Bitte hinterfragt nicht die Gründe für diesen Umstand. Es ist leider so

Ach und übrigens: Redundanz & Hochverfügbarkeit ist fürs erste irrelevant, weil ja bisher auch immer die Cloud als Primärverwaltung gereicht hat. Die neuen Server sind quasi nur ein Komfort-Gewinn, um ein paar Sachen zu automatisieren.

Wäre euch dankbar für ein paar Denkansätze.

Beste Grüße
Robert
Mitglied: Office365.Wolke
26.02.2020, aktualisiert um 16:43 Uhr
Auweia ....
Lass auf jeden fall die Finger davon ...

Konfiguriere lieber dein Intune richtig, dann brauchst du deinen onprem Kram nicht ...
Mit Intune kannst du deinen SCCM in die Tonne treten und die GPOs aus dem AD direkt hinterher.
RADIUS brauchst du auch nicht, schau dir lieber Aruba und Clearpass für dein WLAN an.

Außerdem (und das hast du scheinbar gar nicht auf dem Schirm) wird dein lokales AD durch einen AD-Sync der Chef im Ring.
Bedeutet, dein lokales AD gibt alles vor und dein Exchange Online kann z.B. keine Attribute mehr in die User schreiben.
Das heißt für dich: Du musst auch noch einen Exchange onprem installieren und dort auch einen Hybrid-Connect zu Exchange Online bauen.


Und nun der finale Schlag: Du kannst dein AzureAD nicht in ein lokales AD pumpen ;)
Dazu gab es auch schon mal ein UserVoice, der wurde von MS abgelehnt:

https://feedback.azure.com/forums/169401-azure-active-directory/suggesti ...
Bitte warten ..
Mitglied: Butcha
26.02.2020 um 18:05 Uhr
Hallo Wolke und danke für deinen Schlag ins Gesicht :D

Du sagst GPOs und SCCM in die Tonne treten -> aber Azure bietet ja erstmal nicht den vollen Umfang wie beides.
Heißt: ich bräuchte zwangsläufig noch eine Windows VM in Azure, die diese Features übernimmt, korrekt?
Denn die Gruppenrichtlinien in Azure sind ja nicht ansatzweise so feingranular und komplex möglich wie "richtige" GPOs.

Kann man es umgehen, dass der lokale DC zum FSMO / master wird? Habe von Read-Only-ADs gehört, die quasi nur die Infos an meine lokalen Systeme weiterreichen.

Bzgl. RADIUS möchte ich eigentlich keine Drittanbieter-Lösung, denn das klingt mir so, als müsste ich meine WLAN Infrastruktur komplett (durch zB. Aruba) ersetzen.

Wenn dir doch ein Weg einfällt, wie man es trotzdem irgendwie hinkriegt ein lokales AD zu betreiben, bin ich für jeden Hinweis dankbar.
Ich hab schon relativ viel Zeit damit vergeudet mich bzgl. Intune zu belesen, doch trotz korrekter Lizenzensierung schaff ich es einfach nicht alle Geräte richtig einzubinden, was ja aber die Grundlage für mein Cloud-AD wäre.

Gruß
Robert
Bitte warten ..
Mitglied: Office365.Wolke
26.02.2020 um 19:48 Uhr
GPOs in dem Sinne gibt es nicht mehr, ja.
Das läuft über Intune Policies und ADMX Vorlagen ab.

Und ja ... Aruba ist eine 3rd-Party Komponente, allerdings hast du da auch Vorteile wie eine integrierte Cloud-CA, was auch was wert ist.
Es gibt keinen Weg ein lokales AD mit einem AAD zu syncen, also zu mindestens nicht, wenn erst das AAD da ist und dann das AD dazu kommt.

Microsoft will alles und jeden in der Cloud haben, wenn sowas supportet wäre, würde das gegen ihre eigene Stratgie sprechen.
Und nein man kann auch nicht umgehen, dass das lokale AD Master wird.

Mach dich lieber in Intune schlau, bei mir funktioniert alles und ich bin dabei vom SCCM wegzugehen ;)
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
NAS Zugriff mit AzureAD joinet Notebook
gelöst Frage von TimmKuWindows Netzwerk9 Kommentare

Lokales NAS WD My Cloud "Temp" Ordner Freigegeben ohne User Password Notwendigkeit. Freigabe über SMB 3 NFS Zugriff Lokal ...

Windows Server

Active Directory + AzureAD-Sync für zwei Firmen

Frage von LKaderavekWindows Server7 Kommentare

Hallo, ich möchte es testen, wie man auf einem WS2019 AD konfiguriert, dass es mit AzureAD zwei Firmen in ...

Linux Netzwerk

FreeRadius Lokal

Frage von D1-aB-loLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Netzwerke

Serverumzug lokal (physisch)

Frage von freakalabenniNetzwerke10 Kommentare

Hallo Allerseits, ich hätte da eine Frage bzgl. eines Projektes das wir uns für eine unserer Niederlassungen vorstellen. Derzeit ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 3 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 15 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...