18
Habt ihr noch einen oder mehrere, physikalische Domaincontroller?
Hallo!
Ich betreibe hier ein Netz mit ca. 400 Arbeitsstationen, Terminalserver, etc.
Derzeit gibt es 3 Domaincontroller:
1x virtuell
2x "bare metal"
Da zwei davon noch unter Windows 2012 R2 laufen, steht in naher Zukunft ein Austausch an.
Wie haltet ihr das?
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wie haltet ihr das?
Danke für eure Meinungen
Grüße
Phil
Ich betreibe hier ein Netz mit ca. 400 Arbeitsstationen, Terminalserver, etc.
Derzeit gibt es 3 Domaincontroller:
1x virtuell
2x "bare metal"
Da zwei davon noch unter Windows 2012 R2 laufen, steht in naher Zukunft ein Austausch an.
Wie haltet ihr das?
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wie haltet ihr das?
Danke für eure Meinungen
Grüße
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1650771534
Url: https://administrator.de/contentid/1650771534
Printed on: April 26, 2024 at 09:04 o'clock
18 Comments
Latest comment
Moin...
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Frank
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Frank
Moin,
wir haben nur noch einen Backup DC auf Blech. Ansonsten alles Virtuell.
Gruß
Spirit
wir haben nur noch einen Backup DC auf Blech. Ansonsten alles Virtuell.
Gruß
Spirit
@Der-Phil:
Hallo.
Ganz klassisch:
DC01 in Blech
DC02 virtuell
Der HYPER-V ist Domänenmitglied.
Viele Grüße
von
departure69
Hallo.
Ganz klassisch:
DC01 in Blech
DC02 virtuell
Der HYPER-V ist Domänenmitglied.
Viele Grüße
von
departure69
Moin,
DC01 in Blech
DC02 virtualisiert
vSphere und ESXi sind keine Domänenmitglieder.
Gruß
Looser
DC01 in Blech
DC02 virtualisiert
vSphere und ESXi sind keine Domänenmitglieder.
Gruß
Looser
Moin,
ich hab immer einen auf einem Blech rennen.
Will es auch nicht missen.
ich hab immer einen auf einem Blech rennen.
Will es auch nicht missen.
1
Zitat von @Der-Phil:
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wir haben 4 virtualisierte DCs auf 4 Hyper-V Hosts welche Domänen-Mitglieder sind. Das Henne-und-Ei-Problem ist relativ. Im Notfall ist auf dem Hyper-V Host ein Login mit Lokalen Credentials möglich. Auf den lokalen Administrator kann man meiner Meinung nach nicht verzichten, da in bestimmten Situationen der DC halt nicht erreichtbar/kaputt/etc sein kann. Und das verwendete Lokale Administratorkonto hat Rechte um Hyper-V zu verwalten. Damit ist der DC - sollte er "startbar" sein, auch erreichbar.
Ein Sicherheitsrisiko besteht hier im nicht deaktivierten lokalen Administratorkonto. Das ist im Grunde aber auch nichts anderes, als wenn der Hyper-V nicht Domänenmitglied ist.
Grüße
lcer
1
Moin,
DC01 und DC02 virtuell
DC03 Blech
HyperV-Hosts im AD
Gibt mir einfach ein besseres Gefühl und Vorteil beim Patchday: Ich kann sämtliche HyperV-Hosts gleichzeitig updaten...
Grüße!
DC01 und DC02 virtuell
DC03 Blech
HyperV-Hosts im AD
Gibt mir einfach ein besseres Gefühl und Vorteil beim Patchday: Ich kann sämtliche HyperV-Hosts gleichzeitig updaten...
Grüße!
Zitat von @Vision2015:
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
Brauchen nicht, aber wenn es richtig brennt, benötige ich dann eben einen vCenter-Login für den gerade "Diensthabenden", den ich auch verwalten muss.wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Warum würdest Du einen Vierten nehmen?
Zitat von @Der-Phil:
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Die Aussage mit den 4 DCs wundert mich. Ich habe aktuell das Gefühl, schon der Dritte ist unnötig...
Warum würdest Du einen Vierten nehmen?
ich kenne deine umgebung jetzt nicht, je nach anzahl der Hyper-V Host Bleche, würde ich das so machen wollen...Zitat von @Vision2015:
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
Brauchen nicht, aber wenn es richtig brennt, benötige ich dann eben einen vCenter-Login für den gerade "Diensthabenden", den ich auch verwalten muss.wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Warum würdest Du einen Vierten nehmen?
natürlich macht das mit einem Hyper-V host keinen sinn... da hast du recht!
Frank
Geb ich auch noch meinen Senf dazu..
DC1 - Blech
DC2 - Virtuell
Gruss Globe!
DC1 - Blech
DC2 - Virtuell
Gruss Globe!
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
Hallo,
Kannst Du das auch begründen? Microsoft schreibt folgendes: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/b ...
Grüße
lcer
Zitat von @St-Andreas:
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
Kannst Du das auch begründen? Microsoft schreibt folgendes: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/b ...
Grüße
lcer
1
Wenn Du Deine Domänen verlierst, dann verlierst Du Deine Hypervisoren direkt mit.
Am geilsten ist das, wenn Du Deine Backupinfrastruktur auch noch mit in die Domäne nimmst.
Nachtrag: Im es etwas konkreter zu sagen: Hypervisoren und Backupinfrastruktur gehören schlicht nicht in den selben Forest wie die Produktionsumgebungen.
Ob sich ein zweiter Forest dafür lohnt, ist in der Regel eine Frage der Größe.
Am geilsten ist das, wenn Du Deine Backupinfrastruktur auch noch mit in die Domäne nimmst.
Nachtrag: Im es etwas konkreter zu sagen: Hypervisoren und Backupinfrastruktur gehören schlicht nicht in den selben Forest wie die Produktionsumgebungen.
Ob sich ein zweiter Forest dafür lohnt, ist in der Regel eine Frage der Größe.
Da schreit ja gleich wieder einer mit sehr viel wissen.
Ein Forst ist für die Backup Thematik in der tat best pratice und die Hypervisor kann man getrost aufnehmen.
Ein Forst ist für die Backup Thematik in der tat best pratice und die Hypervisor kann man getrost aufnehmen.
Ich sehe das genau so wie das 🦄. Ein Hypervisor sowie eine Backupinfrastruktur / VM gehört nicht in die Domäne. Hast du einmal alle Domänenrechte, hat jeder Computer / Server in der Domäne verloren. Seperat geführte Systeme werden zwar mit erhöhtem Aufwand verwaltet, sind aber nicht so stark von einem Domaneneinbruch betroffen und halten im Zweifel länger stand. Best Practice von MS erzählt einem was von besserer Verwaltbarkeit sowie besseres Auditing, was nicht der Fall ist. Mann kann beides auch ohne Domänenmitgliedschaft gut realisieren. Jeder sollte das eigene Konzept gründlich im Kopf durchspielen und sich mit der Materie befassen sowie die jeweiligen Bedrohungen analysieren / analysieren lassen und sich dort den Weg von lateral Movement bewusst machen. Das ist der Beste Weg, sich vor Bedrohungen zu schützen.
Frohes Neues!
Da sollte man mal die Moschee im Dorf lassen. Mal realistisch: Wer einen Server-Admin-Account ergattert hat (wurde das von den rechtmäßigen Admins bemerkt?), wird Mittel und Wege finden, seine Rechte auszuweiten. Egal ob Admin- oder Domainadmin-Account, entscheidend ist doch, ob und wie schnell bemerkt wurde, wenn ein solcher Account kompromittiert wurde. Natürlich spielt Zeit hier die entscheidende Rolle und von welchem Server der Admin-Account offen ist. Und wenn der Domainadmin gekapert ist, ist's ohnehin fast "egal", weil ich davon ausgehen kann, ALLES komplett neu aufsetzen zu müssen. Und da kommt dann wieder das Offsite-Backup ins Spiel.
Meine fuffzich Pfennich...
Da sollte man mal die Moschee im Dorf lassen. Mal realistisch: Wer einen Server-Admin-Account ergattert hat (wurde das von den rechtmäßigen Admins bemerkt?), wird Mittel und Wege finden, seine Rechte auszuweiten. Egal ob Admin- oder Domainadmin-Account, entscheidend ist doch, ob und wie schnell bemerkt wurde, wenn ein solcher Account kompromittiert wurde. Natürlich spielt Zeit hier die entscheidende Rolle und von welchem Server der Admin-Account offen ist. Und wenn der Domainadmin gekapert ist, ist's ohnehin fast "egal", weil ich davon ausgehen kann, ALLES komplett neu aufsetzen zu müssen. Und da kommt dann wieder das Offsite-Backup ins Spiel.
Meine fuffzich Pfennich...