Replizieren von Active Directory Benutzer und Gruppen auf anderen AD Server
Hallo zusammen,
ich plane für den Notfall eine extern gehostete IT-Infrastruktur mit wenigen Basisdiensten, u. a. Active Directory. Im Notfall verbinden sich die Benutzer mit der Notfallumgebung und arbeiten dort weiter.
Wie kann ich die Benutzer und Gruppen aus dem produktiven AD in das Notfall AD replizieren? Im Normalfall sind Produktiv- und Notfallumgebung per VPN verbunden. Im Notfall muss ich auf das AD in der Notfallumgebung auch schreiben können, also Benutzer und Gruppen bearbeiten etc. Read Only DC fällt somit weg, oder?
Danke und viele Grüße,
tonabnehmer
ich plane für den Notfall eine extern gehostete IT-Infrastruktur mit wenigen Basisdiensten, u. a. Active Directory. Im Notfall verbinden sich die Benutzer mit der Notfallumgebung und arbeiten dort weiter.
Wie kann ich die Benutzer und Gruppen aus dem produktiven AD in das Notfall AD replizieren? Im Normalfall sind Produktiv- und Notfallumgebung per VPN verbunden. Im Notfall muss ich auf das AD in der Notfallumgebung auch schreiben können, also Benutzer und Gruppen bearbeiten etc. Read Only DC fällt somit weg, oder?
Danke und viele Grüße,
tonabnehmer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193428
Url: https://administrator.de/forum/replizieren-von-active-directory-benutzer-und-gruppen-auf-anderen-ad-server-193428.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
38 Kommentare
Neuester Kommentar
Moin,
also grundsätzlich baut man eine Site-to-Site VPN-Verbindung mit zwei Router und nicht mit dem Windows Server. DAmit bist du AD - und Server unabhängig.
Den 2. DC kannst du einfach in die Domäne als weiteren DC aufnehmen. Heutzutage wird dieser DNS-Server und Global Catalog. Somit brauchst du nur noch die FSMO-Rollen umziehen.
Grüße,
Dani
also grundsätzlich baut man eine Site-to-Site VPN-Verbindung mit zwei Router und nicht mit dem Windows Server. DAmit bist du AD - und Server unabhängig.
Den 2. DC kannst du einfach in die Domäne als weiteren DC aufnehmen. Heutzutage wird dieser DNS-Server und Global Catalog. Somit brauchst du nur noch die FSMO-Rollen umziehen.
Grüße,
Dani
Hallo.
Du gehst von falschen Voraussetzungen aus. Du kannst nicht einfach ein AD von produktiv.local nach notfall.local replizieren.
Wenn, dann ist das ein AD bei dem ein 2. DC eben an einem anderen Standort steht. Verabschiede dich also von deiner Idee, das wird nie klappen.
Und wenn du das sinnvoll zu Ende denkst, dann ist es ja nicht damit getan das das AD zur Verfügung steht, es fehlen ja auch noch die Daten mit den gearbeitet werden soll.
Ich würde an deiner Stelle anders an die Aufgabe herangehen. Wie lange dauert es im Disaster Fall aus den Backups wieder ein funktionierenden System herzustellen. Welche Daten gehen aufgrund der derzeitigen Backupstrategie verloren. Was kostet es dem Unternehmen bis das System wieder lauffähig ist.
Mit diesen Daten hast du dann einen Kostenfaktor, mit dem du planen kannst.
LG Günther
Du gehst von falschen Voraussetzungen aus. Du kannst nicht einfach ein AD von produktiv.local nach notfall.local replizieren.
Wenn, dann ist das ein AD bei dem ein 2. DC eben an einem anderen Standort steht. Verabschiede dich also von deiner Idee, das wird nie klappen.
Und wenn du das sinnvoll zu Ende denkst, dann ist es ja nicht damit getan das das AD zur Verfügung steht, es fehlen ja auch noch die Daten mit den gearbeitet werden soll.
Ich würde an deiner Stelle anders an die Aufgabe herangehen. Wie lange dauert es im Disaster Fall aus den Backups wieder ein funktionierenden System herzustellen. Welche Daten gehen aufgrund der derzeitigen Backupstrategie verloren. Was kostet es dem Unternehmen bis das System wieder lauffähig ist.
Mit diesen Daten hast du dann einen Kostenfaktor, mit dem du planen kannst.
LG Günther
Zitat von @tonabnehmer:
Zurück zum AD:
Dani und Du Ihr meint also es geht nur wenn ich die Domain produktiv.local auf den entfernten Standord ausweite und dort einen
zweiten DC aufsetze? Die Dienste in der Notfallumgebung (VPN, Wiki, Chat, SVN, Tomcats) würde ich dann so einrichten, dass
diese gegen den dortigen DC authentifizieren? Fällt dann die Produktivumgebung aus, tut der zweite DC in der Notfallumgebung
ganz normal seinen Dienst und ich kann dort auch Gruppen und Benutzer bearbeiten?
Zurück zum AD:
Dani und Du Ihr meint also es geht nur wenn ich die Domain produktiv.local auf den entfernten Standord ausweite und dort einen
zweiten DC aufsetze? Die Dienste in der Notfallumgebung (VPN, Wiki, Chat, SVN, Tomcats) würde ich dann so einrichten, dass
diese gegen den dortigen DC authentifizieren? Fällt dann die Produktivumgebung aus, tut der zweite DC in der Notfallumgebung
ganz normal seinen Dienst und ich kann dort auch Gruppen und Benutzer bearbeiten?
wenn du das ganze in eine andere Domain replizieren würdest, abgesehen davon das es nicht geht, haettest du ja dann andere Benutzer und somit berechtigungsprobleme.
Du kannst auf dem Reserve DC ohne Probleme AD Inhalte bearbeiten. Wobei es auch Read only DC's geben würde fall's du das bevorzugst.
Ach weil du von Small Buissines redest. Du kannst so keine 2 SBS Server koppeln. Das Mögen die nicht.
Moin,
ich hab mir mal den ganzen Thread kopfschüttelnd durchgelesen - was haste nun?
SBS? - dann kannste nen weiteren DC wie auch ne Vertrauenstellung vergessen.
richtiges AD - setz nen 2. DC auf und gut ist, die Rechte werden repliziert, die Daten hast Du hoffentlich im Backup, auch wieder jutt iss
Gruß
24
ich hab mir mal den ganzen Thread kopfschüttelnd durchgelesen - was haste nun?
SBS? - dann kannste nen weiteren DC wie auch ne Vertrauenstellung vergessen.
richtiges AD - setz nen 2. DC auf und gut ist, die Rechte werden repliziert, die Daten hast Du hoffentlich im Backup, auch wieder jutt iss
Gruß
24
Ja toll, mir ist schon klar was man mit einem AD macht. Aber was soll das Ding in einer DMZ?
Da hat es doch überhaupt nichts zu suchen da der Server ja angreifbar ist.
Sicherheitstechnisch ein Problem.
Also der DC in der DMZ stellt das Active Directory und DNS für die Rechner in der DMZ zur Verfügung.
Was sind das für Rechner? In der DMZ werden doch nur Dienste wie FTP, Proxy, Webdienste zur Verfügung gestellt. Und diese sind eigentlich so zu konfigurieren, dass kein Zugriff auf ein AD notwendig ist.
Was sind das also für Rechner, die da herumschwirren?
LG Günther
Na Gut einen hab ich noch,
Aber nur wegen der Zeitumstellung.
Dir schon klar das man auch jede Menge Webanwendungen auf einen Server platzieren kann?
Und das andere, du könntest auch einen kleinen Reverseproxy in die DMZ stellen und den Webserver in's Hausnetz. Haette auchVorteile für die Bedienbarkeit für die Programmierer aber auch wenn sich die Anwendungen selbst gegen ein AD anmelden sollten.
Aber nur wegen der Zeitumstellung.
Dir schon klar das man auch jede Menge Webanwendungen auf einen Server platzieren kann?
Und das andere, du könntest auch einen kleinen Reverseproxy in die DMZ stellen und den Webserver in's Hausnetz. Haette auchVorteile für die Bedienbarkeit für die Programmierer aber auch wenn sich die Anwendungen selbst gegen ein AD anmelden sollten.
NaJa, man kann auch ohne Probleme 20-30 Webanwendungen auf einem Server laufen lassen.
Bei unterschiedlichen OS? Ein AD bringt dir nur bei Windows etwas und ob's jetzt auf XP läuft oder Windows xxxx Server sollte eigentlich egal sein, aber gut.
Ein Reverse Proxy leitet ja nicht direkt den Angreifer in dein internes Netz.
Die Frage ist nur, ist dir von einem Reverse Proxy eine HTTP Anfrage auf einen Webserver, oder von einem PC in der DMZ eine LDAP Anfrage auf eine AD wo alle deine Benutzer drinnen sind, lieber? Meine Meinung HTTP.
Bei unterschiedlichen OS? Ein AD bringt dir nur bei Windows etwas und ob's jetzt auf XP läuft oder Windows xxxx Server sollte eigentlich egal sein, aber gut.
Ein Reverse Proxy leitet ja nicht direkt den Angreifer in dein internes Netz.
Die Frage ist nur, ist dir von einem Reverse Proxy eine HTTP Anfrage auf einen Webserver, oder von einem PC in der DMZ eine LDAP Anfrage auf eine AD wo alle deine Benutzer drinnen sind, lieber? Meine Meinung HTTP.
Hallo,
Gruß
Zitat von @wiesi200:
Bei unterschiedlichen OS? Ein AD bringt dir nur bei Windows etwas und ob's jetzt auf XP läuft oder Windows xxxx Server
sollte eigentlich egal sein, aber gut.
Ich kann mich ohne Probleme über ein Linux Server am AD authentifizieren falls du das meinst.Bei unterschiedlichen OS? Ein AD bringt dir nur bei Windows etwas und ob's jetzt auf XP läuft oder Windows xxxx Server
sollte eigentlich egal sein, aber gut.
Gruß