Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sollte jedes Subnetz einen Domänencontroller haben?

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

20.05.2020 um 10:10 Uhr, 700 Aufrufe, 9 Kommentare

Hallo zusammen,

ich versuche gerade unsere natürlich gewachsene Infrastruktur zu entwirren.

Mein Ziel ist es, das Netz aus Sicherheitsaspekten stärker zu segmentieren. Es geht um eine Windows 2012R2 Domäne mit einigen Servern und hauptsächlich Windows 10 Clients. Die Idee ist, die Sever ein separates Netz zu verlagern (bzw. die Clients rauszuschmeißen). Die Clients können ja weiterhin auf ihren DC zugreifen (korrektes DNS und korrekte Firewallregeln vorausgesetzt), auch wenn der DC in einem anderen Subnetz liegt. In Zeiten der Namensauflösung über NetBIOS und WINS war es ja eher die Regel, dass die DCs in der Broadcastdomäne verfügbar waren.

Wie ist da der Stand heute? Spricht etwas dagegen, die DCs von den Clients zu separieren (außer, dass ich dann den FQDN etwas öfter tippen muss. wir reden auch vom selben Standort, kein VPN.)?
Oder sollte man besser mit RODCs arbeiten (was mir zu Zeit wegen zusätzlichen Ressourcen und Lizenzen nicht so sympathisch ist - Es ist gerade Corona!).

Grüße

lcer
Mitglied: certifiedit.net
LÖSUNG 20.05.2020 um 10:14 Uhr
Guten Morgen,

das kommt stark drauf an, wie dein restliches Design ist.

Grundsätzlich trenne ich dies persönlich mittlerweile durchgehend. Aber mit passender DNS Infrastruktur musst du da den FQDN nicht öfter tippen. Wenn du aber eine für dein Netz zutreffende Aussage haben möchtest, solltest du das am Netz und mit allen Nebenparametern prüfen lassen. Es gab und gibt in einigen Netzen immer noch Hürden, die das obige nicht machbar werden lassen.

Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: NordicMike
LÖSUNG 20.05.2020 um 10:22 Uhr
Funktionell gesehen reicht ein Domain Controller für alle Subnetze und auch alle Niederlassungen. Einen weiteren Controller würde ich zwecks Ausfallsicherheit hinzufügen. Weitere Controller würde ich nur in Niederlassungen hinzufügen, wo ein VPN Ausfall zu einem Arbeitsausfall von mehreren Leuten führen würde. Innerhalb eines Standortes reicht also ein Pärchen.

FQDNs musst du nicht eintippen, wenn die Clients per DHCP die richtige Suchdomain übertragen bekommen haben.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 20.05.2020 um 10:25 Uhr
Hi,
die Anzahl und Platzierung der DC's richtet sich nicht nach Anzahl der Subnetze sondern rein nach der qualitativen Verfügbarkeit der DC's für die AD Clients.
Wenn Du also ein Gebäude hast mit 2 Subnetzen und die Verbindung zwischen diesen Subnetzen ist z.B. über ein WLAN geroutet (dann eigentlich 3 Subnetze), welches theoretisch gestört werden könnte. Die beiden DC sind im 1. Subnetz. Wenn jetzt im 2. Subnetz ununterbrochen ein DC verfügbar sein muss - warum auch immer - dann wäre das ein Grund, einen der DC in das 2. Subnetz zu verlegen.
Wenn aber davon auszugehen ist, dass die Verbindung zwischen den Subnetzen hochverfügbar ist, dann können die DC in einem Subnetz bleiben.
Wenn das zweite Subnetz mehr oder weniger öffentlich zugänglich ist, dann könnte es Sinn machen, dort einen RODC zu platzieren und per Firewall-Regeln nur von diesem RODC Verbindungen zu den DC's im ersten Subnetz zuzulassen.
usw.

E.
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
LÖSUNG 20.05.2020, aktualisiert um 10:45 Uhr
Zitat von lcer00:

Hallo zusammen,

ich versuche gerade unsere natürlich gewachsene Infrastruktur zu entwirren.
das ist immer gut

Mein Ziel ist es, das Netz aus Sicherheitsaspekten stärker zu segmentieren. Es geht um eine Windows 2012R2 Domäne mit einigen Servern und hauptsächlich Windows 10 Clients. Die Idee ist, die Sever ein separates Netz zu verlagern (bzw. die Clients rauszuschmeißen). Die Clients können ja weiterhin auf ihren DC zugreifen (korrektes DNS und korrekte Firewallregeln vorausgesetzt), auch wenn der DC in einem anderen Subnetz liegt. In Zeiten der Namensauflösung über NetBIOS und WINS war es ja eher die Regel, dass die DCs in der Broadcastdomäne verfügbar waren.

broadcastdomänen sind Schnee von gestern, Server 2012 und höher verlangen zwingend ein Microsoft DNS, Clients registrieren sich (wenn sie auf DHCP stehen) ohnehin automatisch.

Wie ist da der Stand heute? Spricht etwas dagegen, die DCs von den Clients zu separieren (außer, dass ich dann den FQDN etwas öfter tippen muss. wir reden auch vom selben Standort, kein VPN.)?

das hat mit FQDN erstmal rein garnichts zu tun. Solange alle Hosts "flach" strukturiert sind, sprich hostname.domäne.irgendwas dann geht die Namensauflösung ganz von alleine... schon der Domänenbeitritt eines Clients erfordert ein funktioierendes DNS, und wer Clietns in andere Subnetze verlagert, muß sich ja sowieso Gedanken über das Routing machen. Sprich ist der Default Gateway bzw die statische Route in beiden Richtungen korrekt aufgesetzt, dann geht DNS und alles was davon abhängt, natürlich weiter.

Oder sollte man besser mit RODCs arbeiten (was mir zu Zeit wegen zusätzlichen Ressourcen und Lizenzen nicht so sympathisch ist - Es ist gerade Corona!).

Grüße

lcer
muß man ausrechnen... ein DC ist mit einem Core ca. 30-60 Sekudnen mit einem Loginvorgang beschäftigt (GPO auswerten, Cleintidentität verifizieren, NLA Check falls NLA aktiv ist...) Wenn man also verzögerte Logins am Montag morgen feststellt und hohe Last auf dem DC, der wird wohl einen zweiten DC benötigen, ich meine RODC machen nur Sinn, wenn man Filialen hat die über langsame Standleitungen angebunden sind. WEil dann alle Anmeldevorgänge aim lokalen DC stattfinden und nicht über einen, der remote ist.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 20.05.2020 um 12:29 Uhr
Zitat von lcer00:

In Zeiten der Namensauflösung über NetBIOS und WINS war es ja eher die Regel, dass die DCs in der Broadcastdomäne verfügbar waren.

Nur dann, wenn der Admin sein Handwerk nicht verstanden hat.

Auch damals konnte man ohne weiteres DCs "einsparen", wenn man DNS, WINS und ggf. auch lmhosts korrekt konfiguriert hat.


Wie ist da der Stand heute? Spricht etwas dagegen, die DCs von den Clients zu separieren


Nein, wenn der die Infrastruktur und das DNS ordentllich ist nicht.

... (außer, dass ich dann den FQDN etwas öfter tippen muss. wir reden auch vom selben Standort, kein VPN.)?

Wieso muß man die FQDN eintippen? Hast Du an den Clients nicht die search-domains richtig gesetzt?

Oder sollte man besser mit RODCs arbeiten (was mir zu Zeit wegen zusätzlichen Ressourcen und Lizenzen nicht so sympathisch ist - Es ist gerade Corona!).

Das kommt auf die Infrastruktur an. Normalerweise kann man mit einem einzigen DC alles "abfackeln". Meist packt man aber mindesten einen zweiten wegen der Redundanz dazu. Je nach Topologie und Last kann es sinnvoll sein, deutlich mehr zu haben.

lks
Bitte warten ..
Mitglied: DrAlcome
LÖSUNG 20.05.2020 um 12:31 Uhr
Hallo,

Clients und Server in separate Netze zu stecken ist sogar sehr ratsam!
Du brauchst eigentlich für dein Vorhaben nur einen DHCP-Server der in dem entsprechenden Scope die relevanten Optionen mitteilt, also DNS-Server, Domänenname und Gateway (ggfs. auch andere Optionen, aber hört sich nicht so an als wäre das bei dir notwendig).

Und wenn zwischen den Netzen eine Firewall hängt, müssen da natürlich die Regeln so angelegt werden dass deine Anwendungen mit ihren jeweiligen Servern kommunizieren können.
Da es dir um Sicherheit geht, sollten dann auch nur die Ports geöffnet werden die auch benötigt werden. Wenn alle Clients über alle Ports mit allen Servern kommunizieren können, nützt dir die Netz-Segmentierung ja auch nix.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.05.2020 um 12:36 Uhr
Zitat von DrAlcome:

Wenn alle Clients über alle Ports mit allen Servern kommunizieren können, nützt dir die Netz-Segmentierung ja auch nix.

Moin,

Segmentierung macht man nicht nur wegen der Sicherheit, sondern u.a auch der einfacheren Administrierbarkeit und der Lastverteilung wegen. Sicherheit ist i.d.R. nur ein Aspekt unter vielen.

lks
Bitte warten ..
Mitglied: DrAlcome
20.05.2020 um 12:39 Uhr
Richtig, ich hab's halt nochmal angesprochen weil es ihm ja in erster Linie um den Sicherheitsaspekt geht.
Bitte warten ..
Mitglied: Ad39min
LÖSUNG 20.05.2020 um 13:14 Uhr
In der Regel haben Domänencontroller in Broadcast-Domänen von Clients nichts verloren!
Bis auf wenige Ausnahmefälle gehören Server in ein separates Subnetz.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Subnetz splitten
gelöst Frage von macherlthomasNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Router & Routing
Subnetz-Routing
gelöst Frage von niLuxxRouter & Routing9 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch, bei der ich euch gerne um Hilfe bitte würde. Wir ...

LAN, WAN, Wireless
Wahl d. Subnetz
gelöst Frage von PharITLAN, WAN, Wireless3 Kommentare

Hallo allerseits, vielleicht such ich aus der falschen Richtung, komme aber nicht weiter. Wie und warum wählt Ihr Eure ...

Netzwerkgrundlagen
Suche Subnetz Maske
gelöst Frage von Herbrich19Netzwerkgrundlagen16 Kommentare

Hallo, Ich hätte gerne das Subnetz 10.140.0.0 - 10.149.255.255 Welche Subnetz Maske / CDIR währe dass dann? Gruß an ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 20 StundenSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 22 StundenDNS4 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell20 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Batch & Shell
Computer bei disconnecting mit bluetoothgerät herunterfahren
gelöst Frage von Renrep88Batch & Shell14 Kommentare

Hallo, ist es mithilfe von einer .cmd oder .bat datei möglich einen computer herunterzufahren wenn die verbindung zu einem ...