a.posch
Goto Top

RODC oder seperate Domäne für Außenstelle?

Hallo, ich brauche mal euren Rat, was hier besser wäre...
Und zwar geht es um eine Firma mit einer Außenstelle, wo aber ungewiss ist, ob diese behalten wird, oder nicht doch irgendwann wieder abgestoßen wird. In der Firma gibt es halt einige Server, auch einen Exchange, und es gibt soll eine VPN Verbindung zur Außenstelle aufgebaut werden um auch mal auf Daten auf dem Fileserver zuzugreifen. Es soll aber auch Mobile Mitarbeiter geben, welche sich mal in der Hauptfirma anmelden, aber auch in der Außenstelle sind und da ebenfalls arbeiten müssen. Auch gibts da etliche feste PCs die sich ja auch irgendwo anmelden müssen.
Da aber eben ungewiss ist, wielange diese Außenstelle bleibt (könnte auch wieder verkauft werden) ist jetzt die Frage, ob es sinn macht, da einen weiteren DC hinzupacken der einfach als MemberDC zu den bisherigen DCs fungiert, oder ob das ein RODC werden soll, oder gar eine eigenständige Domäne und dann mit Vertrauensstellungen arbeiten? Primär gehts hier um das Thema Sicherheit, da die Außenstelle sicherlich nicht so intensiv administriert wird, wie der Hauptsitz.
Ich selber habe noch nichts mit Domänen-Vertrauensstellungen zutun gehabt, weiß daher nicht ob das geht dass sich mitarbeiter mal in der Hauptfirma und mal in der Außenstelle mit dem Notebook einfach so anmelden können ohne den Benutzeraccount wechseln zu müssen, oder ob Dateizugriffe Überkreuz auf den jeweils anderen Fileserver einfach so möglich sind.

Content-ID: 72817586940

Url: https://administrator.de/contentid/72817586940

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

MirkoKR
MirkoKR 30.05.2024 aktualisiert um 09:04:38 Uhr
Goto Top
Das dürfte heutzutage primär von der Daten-Anbindung abhängen ...

Langsam: RODC
Schnell: DC

weil: egal welcher, ist der schnell wieder ausgebunden ...
... sollten am langsamen Remote-DC Änderungen vorgenommen werden, könnte eslange dauern, bis diese übernommen werden ....
erikro
erikro 30.05.2024 um 09:12:19 Uhr
Goto Top
Moin,

imho wäre hier das klassische Einsatzgebiet für einen RODC:

- kaum administrativer Aufwand, da man ja nichts administrieren kann, face-wink
- sicher, da man ja nichts administrieren kann.

Dann noch einen DNS und einen DHCP drauf und gut ist. Und wenn die Filiale wieder verkauft wird, ist auch der Rückbau kein Problem

hth

Erik
erikro
erikro 30.05.2024 um 09:13:41 Uhr
Goto Top
Moin,

Zitat von @MirkoKR:

Das dürfte heutzutage primär von der Daten-Anbindung abhängen ...

Langsam: RODC
Schnell: DC

Der Zusammenhang würde mich mal interessieren. Warum sollte ich RODC nur bei einer langsamen Verbindung bauen? Umgekehrt würde vielleicht mehr Sinn machen. Aber auch nicht wirklich.

Liebe Grüße

Erik
em-pie
em-pie 30.05.2024 aktualisiert um 09:42:14 Uhr
Goto Top
Moin,

lässt sich mit den gegebenen Infos nicht beantworten.

Vorweg die nachfolgenden Fragen:
  • Was ist nach deiner Definition eine Außenstelle? =
    1. Eine eigenständige (Kapital-)Gesellschaft
    2. Ein gekauftes Gebäude, der bereits vorhandenen Gesellschaft, in welches nur für einen begrenzetn Zeitraum Mitarbeiter werkeln?
  • Wie viele Anwender werden an der Außenstelle erwartet?
    • Eher 10 oder eher 100?

Das ist nämlich für viele Dinge relevant, nicht zuletzt auch, was die (Windows-) Lizenzen betrifft.

Ich würde, je nachdem wie die erste Frage ausfällt überlegen, ob ihr im Headquarter (HQ) einen RDS aufsetzt und die User dann per VPN auf den RDS-Server werkeln lasst.
Alternativ vor Ort keinen DC hinstellen. Die paar Kbyte an DC-Daten könnte ggf. auch direkt über die VPN-Leitung gesynct werden. Im AD dann eine OU für den Außenstandort anlegen und dort ggf. andere GPOs wirken lassen...

Beachte ansonsten, dass ein RODC ein ReadOnly-DC ist. Beispielsweise können die Computerobjekte dann keine Kennwörter schreiben (die werden zyklisch, alle paar Tage gewechselt). Auch können die User Ihre Kennwörter nicht ändern. Denn wie gesagt, es ist ja ein ReadOnly DC...
Edit: Danke, @erikro für's Richtigstellen.
erikro
erikro 30.05.2024 um 09:30:37 Uhr
Goto Top
Moin,

Zitat von @em-pie:
Beachte ansonsten, dass ein RODC ein ReadOnly-DC ist. Beispielsweise können die Computerobjekte dann keine Kennwörter schreiben (die werden zyklisch, alle paar Tage gewechselt). Auch können die User Ihre Kennwörter nicht ändern. Denn wie gesagt, es ist ja ein ReadOnly DC...

Das ist nicht richtig: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adod/84 ...

Liebe Grüße

Erik
em-pie
em-pie 30.05.2024 um 09:42:20 Uhr
Goto Top
@erikro
Hmpf... Schande über mich, hast Recht.

Habe es oben mal "korrigiert".
erikro
erikro 30.05.2024 um 09:44:49 Uhr
Goto Top
Zitat von @em-pie:
Edit: Danke, @erikro für's Richtigstellen.

Gerne. face-smile
ThePinky777
ThePinky777 30.05.2024 aktualisiert um 10:12:37 Uhr
Goto Top
technisch am einfachsten wäre ein additionaler DC, einfach Stink normal.
Weil dann hast DU erstmal keinerlei Probleme und alle laufen gleich...
Wenn du anfängst mit eigener Domäne und Trust dann geht das geschiss dann los...
Wenn die postfächer bei dir in der Hauptdomäne laufen dann hast du deutlich mehr aufwand beim erstellen
von Postfächern.... verschiedene anmelde Infos usw... ist halt einfach mehr aufwand und teilweise
auch verwirrend für die user. vor allem wenn du dann noch mit Office 365 ankommst....
dann heisst es:
User meldet sich am PC in seiner Domain an, am Exchange auch mit seiner Domain, wobei du in deiner hauptdomain dann auch den User anlegen musst damit das mit dem Exchange auch klappt....
Dann ab und wann muss User sich mit seiner Office 365 Email anmelden und wann wie wo was genau... das weiss der user dann auch nicht...

Und wenn die firma verkauft wird, dann ist das im prinzip nicht mehr dein problem face-smile
bedeutet dem käufer assistieren eventuell, aber das wars dann auch, meist wird nach datum X
die alte domain ausgeschaltet, und der verkaufte Part steht nackt da, ist das problem vom neuen eigentümer dann...
Das sage ich so, weil ich hab schon in ner firma gearbeitet wo das aufkaufen dann gang und gebe war und da mussten wir als käufer zum stichtag X die Infrastruktur umgestellt haben, wiel die Firewall Leitungen an dem Tag X einfach gekappt wurden...
A.Posch
A.Posch 30.05.2024 um 10:12:56 Uhr
Goto Top
es ist eine eigenständige Gesellschaft, da wird es um die 20 PCs geben, eigener kleiner FileServer und eben ein DC. Mails laufen dann über den Exchange der im HQ steht. Daher halt die frage ob das dann überhaupt geht wenn in der Außenstelle ein eigenständiger DC läuft mit einer anderen domäne als im HQ. Da würden sich die User ja an ihrem DC anmelden, aber beim öffnen von Outlook müssten die User dann dann den Benutzernamen und das Passwort eingeben für den UserAccount der im HQ DC angelegt ist, womit der Exchange auch arbeitet. Klar - doppelter Administrativer aufwand beim anlegen der paar Benutzer die es gibt, also einmal auf deren DC, und einmal im HQ DC.

Geht dann eher darum, dass wenn das ganze ding mal verkauft wird, die Verbindung zum HQ getrennt werden kann, und die Firma als komplett eigenständige firma weiterlaufen kann, bzw. eben unter Leitung einer anderen Firma dann. Aber das die User zumindest auf deren Fileserver weiter arbeiten können. Mails würden dann so oder so nicht mehr gehen wenn die VPN Verbindung gekappt ist. Würde daher nur ungern das AD LDAP komplett da rüber syncen lassen...
ThePinky777
ThePinky777 30.05.2024 um 10:19:14 Uhr
Goto Top
wie schnell ist die anbindung ?
Ich sag mal wenn du 100 Mbit up/down hast kannst dir den DC dort auch sparen...
kommt auch drauf an wie wehleidig user/management sind....

wir hatten erst ab 50 User nen DC aufgestellt.

Und wenn man mehrere Standorte hat und mehrere DCs, wir hatten da immer so dreiecke Site to Sitre VPN Tunnel.
so das immer 2 DCs von 2 Standorten erreichbar waren.... somit kanns nur einen Ausfall geben wenn die eigene leitung down ist. ggf. backup Leitung über SIM G5 Karte nachdenken...
Weil im ernst wenn leitung down, dann ist der einzige dienst der noch geht der Fileserver lokal wenn DC lokal vorhanden ist... alles andere ist ja dann eh tot...
em-pie
em-pie 30.05.2024 um 10:35:46 Uhr
Goto Top
es ist eine eigenständige Gesellschaft, da wird es um die 20 PCs geben, eigener kleiner FileServer und eben ein DC. Mails laufen dann über den Exchange der im HQ steht.
Und ein MS365-Tenant wäre keine Option?
EntraID ("Online AD") und Mail-Postfach mit eigener Domain wären dann ohne eigene Server-Hardware möglich. Wird die Gesellschaft wieder verbimmelt, bleiben die Daten dort.

Ob/ wie man dann allerdings gegenseitig in die Kalender schauen kann, müsste geprüft werden. Da wäre ich raus.

Wenn ihr die Mailpostfächer bei euch behaltet, und quasi jetzt schon absehbar ist, dass irgendwann die Gesellschafft verkauft wird, habt ihr hinterher ein anderes "Problem". Ihr müsst dann ja ohnehin sämtliche, geschäftsrelevanten Mails dem neuen Eigentümer bereitstellen, denn auch der hat sich ja an gesetzliche Vorgaben zu halten.
Dani
Dani 30.05.2024 um 10:44:33 Uhr
Goto Top
@erikro
der RODC empfängt nur die Aufgabe und leitet diese weiter. Sprich kein WRDC verfügbar, kein Passwort Change.

@A.Posch
Da aber eben ungewiss ist, wielange diese Außenstelle bleibt (könnte auch wieder verkauft werden) ist jetzt die Frage, ob es sinn macht, da einen weiteren DC hinzupacken der einfach als MemberDC zu den bisherigen DCs fungiert, oder ob das ein RODC werden soll, oder gar eine eigenständige Domäne und dann mit Vertrauensstellungen arbeiten?
Ein eigener DC macht sinn, wenn diese z.B. einen eigenen Internetausstieg haben. Denn eine VPN Verbindung kann aus verschiedenen Gründen nicht verfügbar sein. Somit können die MA in einem gewissen Umfang weiter arbeiten.

Für RODC entscheidet man sich in der Regel, wenn man vor Ort den Server nicht sicher verwahren kann. Stichwörter hierzu sind (Hoch)wasser, Zutrittskontrolle, Einbruch, etc. Weil ein WRDC soll nie abhanden kommen.

Daher halt die frage ob das dann überhaupt geht wenn in der Außenstelle ein eigenständiger DC läuft mit einer anderen domäne als im HQ
Geht. Aber ich bin mir nicht sicher, ob du die Komplexität eingerichtet, gewartet und entstört bekommst.

Da würden sich die User ja an ihrem DC anmelden, aber beim öffnen von Outlook müssten die User dann dann den Benutzernamen und das Passwort eingeben für den UserAccount der im HQ DC angelegt ist, womit der Exchange auch arbeitet.
Nicht unbedingt. Wie bereits von Kollege @ThePinky777 angesprochen hängt es von deinem Domain Forest Design und den Trusts ab.

eht dann eher darum, dass wenn das ganze ding mal verkauft wird, die Verbindung zum HQ getrennt werden kann, und die Firma als komplett eigenständige firma weiterlaufen kann, bzw. eben unter Leitung einer anderen Firma dann.
Wenn das die Bedingung ist, musst du nicht nur einen DC sondern auch ein Exchange Server dort platzieren.

Würde daher nur ungern das AD LDAP komplett da rüber syncen lassen...
Spricht für ein RODC. Bloß ein RODC kann niemals in einen WRDC umgewandelt werden. Da wären wir dann wieder bei einer eigenen AD Domain im Domain Forest.


Gruß,
Dani
erikro
erikro 30.05.2024 um 12:13:50 Uhr
Goto Top
Moin,

Zitat von @A.Posch:

es ist eine eigenständige Gesellschaft, da wird es um die 20 PCs geben, eigener kleiner FileServer und eben ein DC. Mails laufen dann über den Exchange der im HQ steht.

Das ändert die Sache ungemein. Bei einer eigenständigen Gesellschaft ist zunächst einmal das Trennungsgebot zu beachten. Da stellt sich mir, ohne dass ich die konkreten Verhältnisse kenne, um das abschließend beurteilen zu können, ob hier nicht eine eigenständige IT auf Grund des Datenschutzrechtes eingerichtet werden muss. Das solltest Du unbedingt mit Eurem Datenschutzbeauftragten klären und Dir das Absegnen lassen, was immer Du auch an Lösungen implementieren willst.

Liebe Grüße

Erik
LordXearo
LordXearo 30.05.2024 um 12:56:34 Uhr
Goto Top
Hallo,

ich habe für unsere Außenstelle (ca. 30 Mitarbeiter / PCs) einen RODC hingestellt.

Zum einen weil sowieso dort ein Server benötigt wird und zum anderen weil dort nicht das gleiche Schutzniveau vorhanden ist (abgeschlossener und alarmgeischerter Serverraum) wie im HQ.

Denk dran die Benutzer- / und COmputekonten in die entsprechende Gruppe zu packen damit diese gesynct werden.
Weiterhin müssen die IP-Adressbereiche bei "Site und Services" hinterlegt werden.

Der RODC wird auf für die Firewall und für den Radius Server in der Außenstelle verwendet.

Gruß
Xearo