heikovision
Goto Top

Einrichtung eines ActiveDirectorys auf einem vServer mit Windows 2008 R2 (vServer im Netz gemietet)

Ich habe ein Windows 2008 R2 Server bereits erfolgreich lokal mit einer ActiveDirectory eingerichtet. Nun habe ich mir ein vServer im Netz gemietet und da ist es irgendwie alles anders.

Ausgangspunkt:
- vServer mit Windows 2008 R2 gemietet
- Feste IP vom Hoster bekommen
- RDP und VPN Funktionieren incl. Dateifreigabe auf den Server
- Anbieter sagt das ein ActiveDirectory mit seinen vServer möglich ist

Nächster Schritt:
- Einrichtung einer ActiveDirectory

Ziel (wird später erst gelöst):
Rechner aus dem Lokalen Netzwerk über den Router per VPN an ActiveDirectory vom Server anmelden.

So, mein Problem ist die Einrichtung des ActiveDirectory auf den vServer. Ich habe sowas schon mal in einen Lokal Netzwerk gemacht. Was mich jetzt aber ins Stolpern bringt ist die feste IP im Netz.
Im lokalen Netzwerk hatte mein Server natürlich auch eine lokale IP was irgendwie leichter war. Habe danach den DNS und später das ActiveDirectory Installiert.
Was muss ich nun beachten wenn ich mich später per VPN auf diese Domain anmelden möchte bzw. wie richte ich diese überhaupt auf so ein Server ein?

Content-Key: 168958

Url: https://administrator.de/contentid/168958

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: kopie0123
kopie0123 01.07.2011 um 10:57:37 Uhr
Goto Top
Kein Hallo,

wichtig ist der DNS Namensraum. Du solltest hier eine Subdomain, zb. ad.firma.de wählen.

Aber was mich interessieren würden? Warum lagerst du deinen DC auf einen Vserver im Netz aus? Was ist, wenn die Internetverbindung weg ist, dann hast Du keinen Anmeldeserver mehr. Von der Sicherheit und den Angriffsmöglichkeiten ganz zuschweigen face-smile

Gruß
Mitglied: HeikoVision
HeikoVision 01.07.2011 um 11:14:10 Uhr
Goto Top
Sorry wollte nicht unhöflich sein.

Hallo StingerMAC face-wink
ich nutze das ganze nicht Professional sonder eher Privat. Mir ist langweilig wenn alles läuft und ich bastel sehr gern. Wir habe in unserer Firma ein sehr sehr großes Netzwerk was natürlich von Vollprofis betreut wird und dort ist die Anmeldung per VPN an die AcitveDirectory möglich.
Das Thema hat mich sehr Fasziniert und möchte so etwas mit einen Freund zusammen aufbauen. Nun ist mir eine VPN Verbindung zwischen zwei FritzBoxen aber zu langweilig face-wink die Möglichkeiten der Gruppenrichtlinien und die Zentrale Verwaltung von Benutzerrechten finde ich einfach toll.
Abgesehen davon möchte ich mein Wissen in diese Richtung erweitern. Ich werde von mein Freunden liebevoll als Freak bezeichnet, das reicht aber nicht um sich evtl. in ferner Zukunft als Administrator einer klein Firma zu bewerben ohne passende Ausbildung. Ich habe kurz Spaß an der Technik und der Möglichkeit alles mit allem zu Vernetzen.

Wo siehst Du den die Risiken in so einen Netzwerk?

Eine Subdomain habe ich bereits eingerichtet (server.domain.com). Ich komme nur mit den IPs in schleudern. Server hat ja die Feste-IP fürs Netz und ich Arbeite mit einen Lokal-IP Kreis ala 192.168.x.x
Mitglied: Chonta
Chonta 01.07.2011 um 16:24:27 Uhr
Goto Top
Hallo,

wenn der 2008ter als AD Server aus dem Internet zu erreichen ist ist das ein nicht zu verachtendes Sicherheitsrisiko.
Davon abgesehen wird dein vServer eine Webserveredition sein und die kann kein DC sein. Oder hast Du eine Standard-Version?

Solltes Du eine Standardversion haben und deinen DC echt ins Internet stellen wollen, dann musst Du dafürsorgen, das die Clients eine VPN-Verbindung zum Server aufbauen und somit im selben Netz sind.
Das VPN-Netz darf sich mit den lokalen Netzen der Clientstandorte nicht überschneiden.
Wenn deine Heimbetriebssysteme normale Home-Versionen sind kannst Du im übrigen das was Du machen willst (GPO) eh vergessen.

Gruß

Chonta
Mitglied: HeikoVision
HeikoVision 01.07.2011 um 17:18:40 Uhr
Goto Top
Hallo Chonta,
es ist nicht die Webserveredition sonder die Standart-Version. Mein Anbieter sagte mir auch das ein AC möglich sie mit den vServer.

Was ist den der unterschied zwischen ein AC bei mir zuhause und im Netz? Mein PC hat ja über den Router auch eine Internet-IP und der vServer ja auch. Ich möchte nicht die Internet-IP des vServer nutzen um sich mit den AC zu verbinden! Ich habe vor mich mit einer VPN Verbindung dort einzuwählen und dann sich an AC anzumelden oder verstehe ich da irgendwas falsch?

Über die VPN Verbindung wird mir auch eine Lokal IP zugewiesen vom Server aus einen Bereich den ich selber definiert habe. Aber natürlich ein andere als mein Netzwerk zuhause damit es keine Konflikte gibt.

Ein Angreifer müsse sich dann doch erst per VPN Verbinden, das Passwort und Benutzernamen habe um überhaupt auf den Server zu kommen, oder? Solange er das nicht hat, kann er sich doch an AC nicht anmelden.

Schönen Gruß,
Heiko
Mitglied: Chonta
Chonta 04.07.2011 um 09:08:04 Uhr
Goto Top
Hallo Heiko,

das mit dem VPN ist schonmal gut.
Der Server wird aber auf jeder Adresse seine Diuenste bereitstellen. Das bedeutet ob Du willst oder nicht ist der Server ersteinmal auch über seine Feste IP erreichbar. Was bedeutet das ein Angreifer dein VPN nicht benutzen muss.
Wenn ein DC in einem Netzwerk steht, dann ist zwischen ihm und dem Internet immer eine Hardwarefirewall.
In Deinem Szenario hast Du abe rnur die Windowsfirewall.

Du musst die So konfigurieren das die keine Anfragen bis auf VPN annimmt.
Sollte aber ein Angreifer durch eine der Sicherheitslücken zugriff auf den Server bekommen und dann auch noch mit dem Konto des Domänen-Administratos. dann ist der Angreifer nicht nur Herr und meister auf dem Server sondern auch auf allen Clients die dem AD angehöhren. Und damit kontrolliert der auch alle Daten/Programme auf den Clients.

Ja, Du kannst einen DC auf einem Server im Internet betreiben, aber Du solltes Dir der Risiken bewusst sein, und Sicherheitsvorkehrungen treffen. Vor allem ist für Dich wichtig, wie die Firewall konfiguriert wird, damit das AD und die anderen Dienste des Servers nur innerhalb des VPN bleiben.
Mitglied: HeikoVision
HeikoVision 06.07.2011 um 23:59:48 Uhr
Goto Top
Hallo Chonta,
vielen Dank für dein Beitrag. Auch wenn es nur zum "Spaß" ist was ich mir da zusammen baue, sollte die Sicherheit natürlich nicht vernachlässigt werden. Ich habe mir mal die Firewall Einstellungen für das Öffentliche Netzwerk angesehen, gibt es da ein Trick wie ich alles auf einmal Blockieren kann oder muss ich wirklich jeden Eintrag einzeln Blockieren? Das könnte ne ganze weile dauern face-wink oder kann ich einfach alles Löschen bis auf VPN und RDP?

Schönen Gruß,
Heiko
Mitglied: Herbrich19
Herbrich19 19.07.2012 um 18:50:32 Uhr
Goto Top
LDAP muss auf jedenfall blockiert werden, das Krebos Protocol auch. Dann ist Active Directory nicht mehr einsatz fähig.

Ich baue ein Secondären Domäne Controller bei Unitedhoster auf, aber irgendwie will das VPN nicht so recht. Der Domäne Controller soll gleichzeitig auch als Gateway dienen. Die Server (Home Server und V-Server) werden in meinen Szenario beide pber die Routing und RAS Wählen bei bedarf Netzwerk Schnitstelle (PPT-VPN) verbunden. Mein Plan ist. Das das Netzwerk zuhause
(192.168.X) mit den V-Server verbunden wird. Den so kann man die Homepages via UNC-Freigabe hochladen. Dann habe ich aber auch noch externe Mitarbeiter (Freunde die auch mitprogrammieren), die können sich auch auf den V-Server einloggen (19.168.42.X), aber der V-Server soll die Verbindung aus Netzwerk2 (192.168.42.x) ins Netzwerk1 (192.168.1.x) durchstellen können und umgekehrt. Ist das auch möglich??

Kenne mich mit Rouuting und RAS leider echt nicht so aus.

LG, Herbrich