Habt ihr noch einen oder mehrere, physikalische Domaincontroller?
Hallo!
Ich betreibe hier ein Netz mit ca. 400 Arbeitsstationen, Terminalserver, etc.
Derzeit gibt es 3 Domaincontroller:
1x virtuell
2x "bare metal"
Da zwei davon noch unter Windows 2012 R2 laufen, steht in naher Zukunft ein Austausch an.
Wie haltet ihr das?
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wie haltet ihr das?
Danke für eure Meinungen
Grüße
Phil
Ich betreibe hier ein Netz mit ca. 400 Arbeitsstationen, Terminalserver, etc.
Derzeit gibt es 3 Domaincontroller:
1x virtuell
2x "bare metal"
Da zwei davon noch unter Windows 2012 R2 laufen, steht in naher Zukunft ein Austausch an.
Wie haltet ihr das?
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wie haltet ihr das?
Danke für eure Meinungen
Grüße
Phil
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1650771534
Url: https://administrator.de/forum/habt-ihr-noch-einen-oder-mehrere-physikalische-domaincontroller-1650771534.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
18 Kommentare
Neuester Kommentar
Moin...
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Frank
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Frank
@Der-Phil:
Hallo.
Ganz klassisch:
DC01 in Blech
DC02 virtuell
Der HYPER-V ist Domänenmitglied.
Viele Grüße
von
departure69
Hallo.
Ganz klassisch:
DC01 in Blech
DC02 virtuell
Der HYPER-V ist Domänenmitglied.
Viele Grüße
von
departure69
Zitat von @Der-Phil:
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.
Wir haben 4 virtualisierte DCs auf 4 Hyper-V Hosts welche Domänen-Mitglieder sind. Das Henne-und-Ei-Problem ist relativ. Im Notfall ist auf dem Hyper-V Host ein Login mit Lokalen Credentials möglich. Auf den lokalen Administrator kann man meiner Meinung nach nicht verzichten, da in bestimmten Situationen der DC halt nicht erreichtbar/kaputt/etc sein kann. Und das verwendete Lokale Administratorkonto hat Rechte um Hyper-V zu verwalten. Damit ist der DC - sollte er "startbar" sein, auch erreichbar.
Ein Sicherheitsrisiko besteht hier im nicht deaktivierten lokalen Administratorkonto. Das ist im Grunde aber auch nichts anderes, als wenn der Hyper-V nicht Domänenmitglied ist.
Grüße
lcer
Zitat von @Der-Phil:
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Die Aussage mit den 4 DCs wundert mich. Ich habe aktuell das Gefühl, schon der Dritte ist unnötig...
Warum würdest Du einen Vierten nehmen?
ich kenne deine umgebung jetzt nicht, je nach anzahl der Hyper-V Host Bleche, würde ich das so machen wollen...Zitat von @Vision2015:
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
Brauchen nicht, aber wenn es richtig brennt, benötige ich dann eben einen vCenter-Login für den gerade "Diensthabenden", den ich auch verwalten muss.wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Warum würdest Du einen Vierten nehmen?
natürlich macht das mit einem Hyper-V host keinen sinn... da hast du recht!
Frank
Hallo,
Kannst Du das auch begründen? Microsoft schreibt folgendes: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/b ...
Grüße
lcer
Zitat von @St-Andreas:
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
Kannst Du das auch begründen? Microsoft schreibt folgendes: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/b ...
Grüße
lcer
Wenn Du Deine Domänen verlierst, dann verlierst Du Deine Hypervisoren direkt mit.
Am geilsten ist das, wenn Du Deine Backupinfrastruktur auch noch mit in die Domäne nimmst.
Nachtrag: Im es etwas konkreter zu sagen: Hypervisoren und Backupinfrastruktur gehören schlicht nicht in den selben Forest wie die Produktionsumgebungen.
Ob sich ein zweiter Forest dafür lohnt, ist in der Regel eine Frage der Größe.
Am geilsten ist das, wenn Du Deine Backupinfrastruktur auch noch mit in die Domäne nimmst.
Nachtrag: Im es etwas konkreter zu sagen: Hypervisoren und Backupinfrastruktur gehören schlicht nicht in den selben Forest wie die Produktionsumgebungen.
Ob sich ein zweiter Forest dafür lohnt, ist in der Regel eine Frage der Größe.
Ich sehe das genau so wie das 🦄. Ein Hypervisor sowie eine Backupinfrastruktur / VM gehört nicht in die Domäne. Hast du einmal alle Domänenrechte, hat jeder Computer / Server in der Domäne verloren. Seperat geführte Systeme werden zwar mit erhöhtem Aufwand verwaltet, sind aber nicht so stark von einem Domaneneinbruch betroffen und halten im Zweifel länger stand. Best Practice von MS erzählt einem was von besserer Verwaltbarkeit sowie besseres Auditing, was nicht der Fall ist. Mann kann beides auch ohne Domänenmitgliedschaft gut realisieren. Jeder sollte das eigene Konzept gründlich im Kopf durchspielen und sich mit der Materie befassen sowie die jeweiligen Bedrohungen analysieren / analysieren lassen und sich dort den Weg von lateral Movement bewusst machen. Das ist der Beste Weg, sich vor Bedrohungen zu schützen.
Frohes Neues!
Da sollte man mal die Moschee im Dorf lassen. Mal realistisch: Wer einen Server-Admin-Account ergattert hat (wurde das von den rechtmäßigen Admins bemerkt?), wird Mittel und Wege finden, seine Rechte auszuweiten. Egal ob Admin- oder Domainadmin-Account, entscheidend ist doch, ob und wie schnell bemerkt wurde, wenn ein solcher Account kompromittiert wurde. Natürlich spielt Zeit hier die entscheidende Rolle und von welchem Server der Admin-Account offen ist. Und wenn der Domainadmin gekapert ist, ist's ohnehin fast "egal", weil ich davon ausgehen kann, ALLES komplett neu aufsetzen zu müssen. Und da kommt dann wieder das Offsite-Backup ins Spiel.
Meine fuffzich Pfennich...
Da sollte man mal die Moschee im Dorf lassen. Mal realistisch: Wer einen Server-Admin-Account ergattert hat (wurde das von den rechtmäßigen Admins bemerkt?), wird Mittel und Wege finden, seine Rechte auszuweiten. Egal ob Admin- oder Domainadmin-Account, entscheidend ist doch, ob und wie schnell bemerkt wurde, wenn ein solcher Account kompromittiert wurde. Natürlich spielt Zeit hier die entscheidende Rolle und von welchem Server der Admin-Account offen ist. Und wenn der Domainadmin gekapert ist, ist's ohnehin fast "egal", weil ich davon ausgehen kann, ALLES komplett neu aufsetzen zu müssen. Und da kommt dann wieder das Offsite-Backup ins Spiel.
Meine fuffzich Pfennich...