der-phil
Goto Top

Habt ihr noch einen oder mehrere, physikalische Domaincontroller?

Hallo!

Ich betreibe hier ein Netz mit ca. 400 Arbeitsstationen, Terminalserver, etc.
Derzeit gibt es 3 Domaincontroller:

1x virtuell
2x "bare metal"

Da zwei davon noch unter Windows 2012 R2 laufen, steht in naher Zukunft ein Austausch an.

Wie haltet ihr das?
Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.


Wie haltet ihr das?

Danke für eure Meinungen
Grüße

Phil

Content-ID: 1650771534

Url: https://administrator.de/forum/habt-ihr-noch-einen-oder-mehrere-physikalische-domaincontroller-1650771534.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Vision2015
Vision2015 23.12.2021 um 07:49:26 Uhr
Goto Top
Moin...

wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.

wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...

Frank
Spirit-of-Eli
Spirit-of-Eli 23.12.2021 um 07:54:10 Uhr
Goto Top
Moin,

wir haben nur noch einen Backup DC auf Blech. Ansonsten alles Virtuell.

Gruß
Spirit
departure69
departure69 23.12.2021 um 07:59:29 Uhr
Goto Top
@Der-Phil:

Hallo.

Ganz klassisch:

DC01 in Blech
DC02 virtuell

Der HYPER-V ist Domänenmitglied.


Viele Grüße

von

departure69
Looser27
Looser27 23.12.2021 um 08:04:13 Uhr
Goto Top
Moin,

DC01 in Blech
DC02 virtualisiert

vSphere und ESXi sind keine Domänenmitglieder.

Gruß

Looser
beidermachtvongreyscull
beidermachtvongreyscull 23.12.2021 um 08:10:02 Uhr
Goto Top
Moin,

ich hab immer einen auf einem Blech rennen.

Will es auch nicht missen.
lcer00
lcer00 23.12.2021 um 08:26:12 Uhr
Goto Top
Zitat von @Der-Phil:

Behaltet ihr noch physikalische Domaincontroller, oder bildet ihr auch diese komplett virtuell ab.
Meine Sorge war immer, dass ich in ein "Henne-Ei-Problem" komme, wenn ich alles virtuell betreibe. Die Virtualisierungsumgebung "braucht" den Domaincontroller, der Domaincontroller braucht die Virtualisierungsumgebung.

Wir haben 4 virtualisierte DCs auf 4 Hyper-V Hosts welche Domänen-Mitglieder sind. Das Henne-und-Ei-Problem ist relativ. Im Notfall ist auf dem Hyper-V Host ein Login mit Lokalen Credentials möglich. Auf den lokalen Administrator kann man meiner Meinung nach nicht verzichten, da in bestimmten Situationen der DC halt nicht erreichtbar/kaputt/etc sein kann. Und das verwendete Lokale Administratorkonto hat Rechte um Hyper-V zu verwalten. Damit ist der DC - sollte er "startbar" sein, auch erreichbar.

Ein Sicherheitsrisiko besteht hier im nicht deaktivierten lokalen Administratorkonto. Das ist im Grunde aber auch nichts anderes, als wenn der Hyper-V nicht Domänenmitglied ist.

Grüße

lcer
Coreknabe
Coreknabe 23.12.2021 um 09:50:31 Uhr
Goto Top
Moin,

DC01 und DC02 virtuell
DC03 Blech

HyperV-Hosts im AD

Gibt mir einfach ein besseres Gefühl und Vorteil beim Patchday: Ich kann sämtliche HyperV-Hosts gleichzeitig updaten...

Grüße!
Der-Phil
Der-Phil 23.12.2021 um 09:56:12 Uhr
Goto Top
Zitat von @Vision2015:
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
Brauchen nicht, aber wenn es richtig brennt, benötige ich dann eben einen vCenter-Login für den gerade "Diensthabenden", den ich auch verwalten muss.


wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Die Aussage mit den 4 DCs wundert mich. Ich habe aktuell das Gefühl, schon der Dritte ist unnötig...
Warum würdest Du einen Vierten nehmen?
Vision2015
Vision2015 23.12.2021 um 10:04:24 Uhr
Goto Top
Zitat von @Der-Phil:

Zitat von @Vision2015:
wiso braucht die Virtualisierungsumgebung einen Domaincontroller?
ein verwaltungsnetz reicht auch aus... ohne jetzt deine gegebenheiten zu kennen!
selbst du Replikation kannst du mit Zertifikaten machen.
Brauchen nicht, aber wenn es richtig brennt, benötige ich dann eben einen vCenter-Login für den gerade "Diensthabenden", den ich auch verwalten muss.


wir haben kaum noch kunden wo der DC auf einem Blech rennt... fast alle virtuell.
was hast du denn an Servern in deinen Park stehen? ich würde bei dir zu 4 DC tendieren...
Die Aussage mit den 4 DCs wundert mich. Ich habe aktuell das Gefühl, schon der Dritte ist unnötig...
Warum würdest Du einen Vierten nehmen?
ich kenne deine umgebung jetzt nicht, je nach anzahl der Hyper-V Host Bleche, würde ich das so machen wollen...
natürlich macht das mit einem Hyper-V host keinen sinn... da hast du recht!

Frank
NixVerstehen
NixVerstehen 23.12.2021 um 12:56:00 Uhr
Goto Top
Zitat von @departure69:
DC01 in Blech
DC02 virtuell
Der HYPER-V ist Domänenmitglied.

Bei mir exakt gleich wie bei @departure69

Gruß NV
Globetrotter
Globetrotter 23.12.2021 aktualisiert um 17:10:15 Uhr
Goto Top
Geb ich auch noch meinen Senf dazu..

DC1 - Blech
DC2 - Virtuell

Gruss Globe!
Festus94
Festus94 24.12.2021 um 12:51:52 Uhr
Goto Top
Hi @Der-Phil,

zum Beitrag von @lcer00 ist nichts hinzuzufügen. face-smile

Viel Grüße
St-Andreas
St-Andreas 25.12.2021 um 01:22:01 Uhr
Goto Top
Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.
lcer00
lcer00 25.12.2021 um 07:05:12 Uhr
Goto Top
Hallo,
Zitat von @St-Andreas:

Hypervisoren als Domänenmitglieder ist eine bescheuerte Idee. Alleine aus Sicherheitsgründen.

Kannst Du das auch begründen? Microsoft schreibt folgendes: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/b ...

Grüße

lcer
St-Andreas
St-Andreas 25.12.2021 aktualisiert um 11:48:04 Uhr
Goto Top
Wenn Du Deine Domänen verlierst, dann verlierst Du Deine Hypervisoren direkt mit.
Am geilsten ist das, wenn Du Deine Backupinfrastruktur auch noch mit in die Domäne nimmst.
Nachtrag: Im es etwas konkreter zu sagen: Hypervisoren und Backupinfrastruktur gehören schlicht nicht in den selben Forest wie die Produktionsumgebungen.
Ob sich ein zweiter Forest dafür lohnt, ist in der Regel eine Frage der Größe.
Spirit-of-Eli
Spirit-of-Eli 25.12.2021 aktualisiert um 13:06:46 Uhr
Goto Top
Da schreit ja gleich wieder einer mit sehr viel wissen.
Ein Forst ist für die Backup Thematik in der tat best pratice und die Hypervisor kann man getrost aufnehmen.
surreal1
surreal1 28.12.2021 um 00:07:39 Uhr
Goto Top
Ich sehe das genau so wie das 🦄. Ein Hypervisor sowie eine Backupinfrastruktur / VM gehört nicht in die Domäne. Hast du einmal alle Domänenrechte, hat jeder Computer / Server in der Domäne verloren. Seperat geführte Systeme werden zwar mit erhöhtem Aufwand verwaltet, sind aber nicht so stark von einem Domaneneinbruch betroffen und halten im Zweifel länger stand. Best Practice von MS erzählt einem was von besserer Verwaltbarkeit sowie besseres Auditing, was nicht der Fall ist. Mann kann beides auch ohne Domänenmitgliedschaft gut realisieren. Jeder sollte das eigene Konzept gründlich im Kopf durchspielen und sich mit der Materie befassen sowie die jeweiligen Bedrohungen analysieren / analysieren lassen und sich dort den Weg von lateral Movement bewusst machen. Das ist der Beste Weg, sich vor Bedrohungen zu schützen.
Coreknabe
Coreknabe 05.01.2022 um 10:58:20 Uhr
Goto Top
Frohes Neues!

Da sollte man mal die Moschee im Dorf lassen. Mal realistisch: Wer einen Server-Admin-Account ergattert hat (wurde das von den rechtmäßigen Admins bemerkt?), wird Mittel und Wege finden, seine Rechte auszuweiten. Egal ob Admin- oder Domainadmin-Account, entscheidend ist doch, ob und wie schnell bemerkt wurde, wenn ein solcher Account kompromittiert wurde. Natürlich spielt Zeit hier die entscheidende Rolle und von welchem Server der Admin-Account offen ist. Und wenn der Domainadmin gekapert ist, ist's ohnehin fast "egal", weil ich davon ausgehen kann, ALLES komplett neu aufsetzen zu müssen. Und da kommt dann wieder das Offsite-Backup ins Spiel.

Meine fuffzich Pfennich...