carlosblanka
Goto Top

Windows AD Infrastruktur im Betrieb

Grüße an die Administrator Community. Kurz zu mir: Ich arbeite seit einem Jahr in einem kleinen Betrieb und bin als Support eingestellt. Ich übernehme überwiegend Administrationsaufgaben und supporte die Mitarbeiter bei IT Problemen. Ich fühle mich wohl und habe viele Möglichkeiten neue Ideen hier einzubringen. Der Kollege vor mir hat gute Arbeit geleistet, jedoch etwas chaos hinterlassen. Mein Ziel ist es, in diesem Betrieb die Administration der Server und Clients zu vereinfachen.

Wir haben 2 Standorte, die über das Internet auf einem HyperV Server, der in der Cloud gehostet ist, zugreift. Der HyperV Server virtualisiert ein Windows Netzwerk mit Firewall, Exchange, AD, einem File- und Webserver. Demnächst werden wir zu einem einzigen, aber größeren Standort umziehen.

Hauptsächlich arbeiten die Mitarbeiter am Standort mit Outlook, Teams und weiteren Webanwendungen. Die AD wird mit Azure synchronisiert, damit wir Teams benutzen können. Die Benutzer arbeiten an beiden Standorten derzeit mit einem Lokalen Windowskonto ohne Administrator berechtigungen. Das ist natürlich sehr viel Handarbeit. Jetzt stelle ich mir die folgenden Fragen:

- Macht es Sinn die aktuelle Infrastruktur umzustellen, um z.B. die Domäne virtualisiert, auf einem eigenen Hyperhost, an dem neuen Standort zu hosten?
Ich stelle mir vor, dass nach einer solchen Umstellung die Clients in die Domäne mit ihren eigenen Benutzerdaten anmelden können. Somit müsste ich nicht die Benutzer jedes mal lokal anlegen und die Computer können von verschiedenen Mitarbeitern, wenn z.B. einer im Urlaub ist, verwendet werden.

- Welche verschiedenen Möglichkeiten gibt es, den Cloudserver und damit die Domäne mit dem Standort zu verbinden? Site-to-Site VPN wäre eine Möglichkeit, jedoch sehr kostenintensiv über Sophos zu regeln.

- Welche Schritte würdet ihr mir vorschlagen, um die Administration dieser Windows Infrastruktur zu vereinfachen? Habt ihr für einen fortgeschrittenen Anfänger ein paar Ressourcen?

Im Internet bin ich auf folgendes gestoßen:

https://www.ip-insider.de/so-legen-sie-infrastrukturen-im-ad-an-a-102531 ...

Hat jemand damit schon Erfahrungen gemacht?

Content-Key: 4021034843

Url: https://administrator.de/contentid/4021034843

Ausgedruckt am: 03.10.2022 um 01:10 Uhr

Mitglied: Tezzla
Tezzla 23.09.2022 um 16:42:18 Uhr
Goto Top
Moin,

je nach Personen- und Rechneranzahl (die hier nicht erwähnt wird) ist die Integration in eine Domäne, die es ja eh schon gibt, sinnvoll.
Das Einfachste ist deinen Domain Controller über ein Site-2-Site VPN von den Clients erreichbar zu machen und/oder einen zweiten/dritten an deine Standorte zu stellen (zwecks Internetausfall und Redundanz). Das geht wunderbar über bspw. opnSense Firewalls, die es ganz kostenlos gibt, falls es ein Kostenproblem geben sollte.
Gute Tutorials haben @aqui und weitere User hier schön verständlich bereits aufbereitet.

Ich gehe mal davon aus, dass euer HyperV Host im Rechenzentrum sonst nicht erreichbar ist, als über VPN oder über sonstige eingeschränkte Verbindungen.

Backup solltest du ebenfalls nicht vergessen. Gerade wenn du nur einen DC hast, wird das sonst ein heißer Tanz.

Mit Sicherheit ist das auch nicht das Ende der Liste, die man empfehlen und abarbeiten kann.

VG
Mitglied: Cloudrakete
Cloudrakete 23.09.2022 aktualisiert um 23:19:52 Uhr
Goto Top
Moin,

- S2S-VPN aufbauen (Tezzla hat hier bereits kostenlose Varianten genannt)
- Bestehenden AD-Controller Redundat aufsetzen (Du hast zwar keinen aufgezählt, aber durch deinen Exchange Server musst du irgendwo ein AD haben.
Sollte dein AD auf dem Exchange mitlaufen dann:
- Exchange sauber als standalone System neu aufsetzen
- ADDS Server redundant (2 Domain Controller) aufbauen. DNS & DHCP auf die neue ADDS-Infrastruktur umziehen und von hier aus managen. Du wirst sonst (vorallem bei DNS) zur ärger haben.
- Identiätsverwaltung (Benutzer, Gruppen, Zugriffsberechtigungen) vollständig via AD abbilden.
Mitglied: carlosblanka
carlosblanka 25.09.2022 um 09:17:44 Uhr
Goto Top
Zitat von @Tezzla:

Moin,

je nach Personen- und Rechneranzahl (die hier nicht erwähnt wird) ist die Integration in eine Domäne, die es ja eh schon gibt, sinnvoll.

Wir sind so um die 20 Mitarbeiter und Rechner und sind auf wachstumskurzs. Wir haben weitere 20 neue Rechner bestellt.

Das Einfachste ist deinen Domain Controller über ein Site-2-Site VPN von den Clients erreichbar zu machen und/oder einen zweiten/dritten an deine Standorte zu stellen (zwecks Internetausfall und Redundanz). Das geht wunderbar über bspw. opnSense Firewalls, die es ganz kostenlos gibt, falls es ein Kostenproblem geben sollte.

Der DC steht hinter einer Sophos Firewall, hat aber von der Firewall seine eigene IP Adresse zugewiesen bekommen. Wenn ich einen weiteren DC am Standort aufstelle, ist da eine S2S VPN zum Rechenzentrum muss?

Ich würde dann im neuen Standort einen 2. DC als Redundanze Lösung aufstellen. Die Frage ist nur, ob als RODC oder als normalen? Wie gehe ich da am besten vor? Gibts da tutorials etc?

Gute Tutorials haben @aqui und weitere User hier schön verständlich bereits aufbereitet.

Danke für den Hinweis, das schau ich mir aufjedenfall an.

Ich gehe mal davon aus, dass euer HyperV Host im Rechenzentrum sonst nicht erreichbar ist, als über VPN oder über sonstige eingeschränkte Verbindungen.

Wir benutzen Team Viewer und Sophos Connect face-smile

Backup solltest du ebenfalls nicht vergessen. Gerade wenn du nur einen DC hast, wird das sonst ein heißer Tanz.

Hab eine zusätzliche Storagebox, wo mit Veeam die VMs gesichert werden. Der wird einmal in der Woche auf einem Standort gespiegelt.
Mitglied: carlosblanka
carlosblanka 25.09.2022 um 09:22:00 Uhr
Goto Top
Zitat von @Cloudrakete:

Moin,

- S2S-VPN aufbauen (Tezzla hat hier bereits kostenlose Varianten genannt)

Okay also S2S ist wohl muss. Die Frage ist wie ich das anstellen soll mit der Sophos Firewall im Rechenzentrum.

- Bestehenden AD-Controller Redundat aufsetzen (Du hast zwar keinen aufgezählt, aber durch deinen Exchange Server musst du irgendwo ein AD haben.

Ja wir haben einen AD auf einer VM und der Exchange auf einer anderen.

Sollte dein AD auf dem Exchange mitlaufen dann:
- Exchange sauber als standalone System neu aufsetzen

Das sind 2 unterschiedliche VMs.

- ADDS Server redundant (2 Domain Controller) aufbauen. DNS & DHCP auf die neue ADDS-Infrastruktur umziehen und von hier aus managen. Du wirst sonst (vorallem bei DNS) zur ärger haben.

Okay, den ADDS Server redundant aufzusetzen würde schon Sinn machen.

- Identiätsverwaltung (Benutzer, Gruppen, Zugriffsberechtigungen) vollständig via AD abbilden.

Das wäre dann das Endziel, wenn die Rechner alle in der Domäne sind.
Mitglied: Tezzla
Tezzla 25.09.2022 aktualisiert um 09:43:59 Uhr
Goto Top
Bei deiner Größe lohnt sich ein AD schon. Alle Server und Clients rein, dann hast du deutlich weniger von diesen kleinen Fummelsaufgaben zu tun, wenn sich etwas ändert.

Bzgl. deiner Vernetzung: S2S VPN ist ein Muss, sobald du Dienste lokal an deinen Standorten bereitstellen möchtest, die eine Verbindung zum zentralen AD im RZ benötigen. Dazu zählt auch ein weiterer DC, egal ob Read Only oder normal. Beim RODC solltest du dir alle Einschränkungen bewusst machen, bspw. kann man daran mitunter auch als User nicht sein Passwort ändern wenn er der Logon Server ist, weil keine Schreibrechte aufs AD Attribut. Nur gucken, nicht anfassen. Die Sinnhaftigkeit will also vorher genau geprüft werden.

Ein Standardszenario, wie deines, lässt sich problemlos umsetzen, egal ob dein Hauptknotenpunkt im Rechenzentrum ist oder irgendwo im lokalen Serverraum. Zu beachten sind i.d.R. die gleichen Aspekte: Zutritt, Zugriff, Integrität,... Da musst du das Rad nicht neu erfinden, hierfür gibt es genug Tutorials und Zeichnungen.

Ich persönlich würde die Sophos rauswerfen, an deine Standorte und ins RZ jeweils eine opnsense (oder pfsense) stellen, Site 2 Site eröffnen und grundsätzlich nur über die Tunnel kommunizieren (lassen). Keine exponierten Services, wo es nicht zwingend erforderlich ist. Remote Office kannst du dann via OpenVPN realisieren, was auch problemlos funktioniert.

Je nach dem, was ihr noch mit der Sophos so macht, lässt sich das auch mit einem zentralen Antiviren Produkt auf den Clients wieder auffangen, wenn man die Firewall austauscht. Für den einen Schlangenöl, für den anderen ein weiterer Schutzlayer. Vieles geht auch mit dem lokalen Windows Defender, aber halt auch nicht alles. Ich mag bspw. die Produkte von ESET.

Viele Grüße und einen schönen Sonntag!
Mitglied: carlosblanka
carlosblanka 26.09.2022 um 15:50:08 Uhr
Goto Top
Zitat von @Tezzla:

Bzgl. deiner Vernetzung: S2S VPN ist ein Muss, sobald du Dienste lokal an deinen Standorten bereitstellen möchtest, die eine Verbindung zum zentralen AD im RZ benötigen. Dazu zählt auch ein weiterer DC, egal ob Read Only oder normal. Beim RODC solltest du dir alle Einschränkungen bewusst machen, bspw. kann man daran mitunter auch als User nicht sein Passwort ändern wenn er der Logon Server ist, weil keine Schreibrechte aufs AD Attribut. Nur gucken, nicht anfassen. Die Sinnhaftigkeit will also vorher genau geprüft werden.

Ein Standardszenario, wie deines, lässt sich problemlos umsetzen, egal ob dein Hauptknotenpunkt im Rechenzentrum ist oder irgendwo im lokalen Serverraum. Zu beachten sind i.d.R. die gleichen Aspekte: Zutritt, Zugriff, Integrität,... Da musst du das Rad nicht neu erfinden, hierfür gibt es genug Tutorials und Zeichnungen.


Mir kommt die Umstellung etwas schwer vor, da ich noch nie am Produktivnetz etwas umgestellt habe. Ich müsste mich erst in die opensense geschichte etwas einarbeiten, dann würde ich das der Geschäftsführung mal als alternative vorschlagen für unseren neuen Standort, statt einer neuen Sophos Firewall die fast 5k kosten würde. Hast du hier weitere ressourcen oder soll ich einfach auf der Webseite von OpenSense mich schlau machen?

Ich persönlich würde die Sophos rauswerfen, an deine Standorte und ins RZ jeweils eine opnsense (oder pfsense) stellen, Site 2 Site eröffnen und grundsätzlich nur über die Tunnel kommunizieren (lassen). Keine exponierten Services, wo es nicht zwingend erforderlich ist. Remote Office kannst du dann via OpenVPN realisieren, was auch problemlos funktioniert.


Gibt es Firewalls mit opnsense vorinstalliert? Mit exponierte Services meinst du wohl Ports für unsere Applikationen, zum verständnis. Mit OpenVPN hab ich schon mal angewendet. Da muss ich aber das Gerät einmal in der Domäne im Netzwerk anmelden, damit der Benutzer im HomeOffice mit uns verbunden ist, oder? Eine Ummeldung an einem anderen Benutzer ist dann im HomeOffice nicht möglich?

Je nach dem, was ihr noch mit der Sophos so macht, lässt sich das auch mit einem zentralen Antiviren Produkt auf den Clients wieder auffangen, wenn man die Firewall austauscht. Für den einen Schlangenöl, für den anderen ein weiterer Schutzlayer. Vieles geht auch mit dem lokalen Windows Defender, aber halt auch nicht alles. Ich mag bspw. die Produkte von ESET.

Wir nutzen hauptsächlich E-Mail protection, Webserver protection, NAT, Fernzugriff und die Protokolle. Lässt sich sowas mit einer opnsense firewall realisieren oder sind andere Dienste hier notwendig? Bei den Clients nutzen wir den integrierten Windows Defender. Danke für den Hinweis und für deine Beiträge.
Mitglied: Tezzla
Tezzla 26.09.2022 aktualisiert um 17:10:34 Uhr
Goto Top
Zitat von @carlosblanka:
Hast du hier weitere ressourcen oder soll ich einfach auf der Webseite von OpenSense mich schlau machen?
Wenn man etwas zum ersten Mal macht, ist das immer so. Keine Sorge, das wird schon.
Du kannst unter https://opnsense.org/ das Image herunterladen und gefühlt auf fast alles installieren, was irgendwie nach Computer aussieht. Auch in einer VM.

Gibt es Firewalls mit opnsense vorinstalliert?
Wenn du eine Hardware Appliance möchtest, kann ich die Kisten von Landitec mit Hardware Support empfehlen, ansonsten auf einer VM installieren geht ja auch.

Mit exponierte Services meinst du wohl Ports für unsere Applikationen, zum verständnis.
Richtig.

Mit OpenVPN hab ich schon mal angewendet. Da muss ich aber das Gerät einmal in der Domäne im Netzwerk anmelden, damit der Benutzer im HomeOffice mit uns verbunden ist, oder?
Korrekt. Alternativ baust du eine "Always On"-VPN Lösung, die beim Hochfahren direkt eingeschaltet wird. Dann hat der Rechner vor / beim Login Kontakt zum DC. Birgt aber andere Sicherheitsrisiken.

Eine Ummeldung an einem anderen Benutzer ist dann im HomeOffice nicht möglich?
Doch. Du kannst unter einem User das VPN aufmachen, die Windows-Funktion zum Ummelden nutzen und jemand anderen anmelden lassen. Im Hintergrund sind dann entsprechende Prozesse des VPNs noch geöffnet.

Wir nutzen hauptsächlich E-Mail protection, Webserver protection, NAT, Fernzugriff und die Protokolle. Lässt sich sowas mit einer opnsense firewall realisieren oder sind andere Dienste hier notwendig?
Nicht alles. Da wird man Abstriche machen müssen und auf Alternativ-Produkte ausweichen müssen.
Mitglied: Cloudrakete
Cloudrakete 26.09.2022 um 18:45:03 Uhr
Goto Top
Als Webserver Protection könntest Du z.B. ein NGINX samt ModSecurity (Add-on) aufbauen.
Ist zum einem (vorallem der NGINX-Part) sehr Lehrreich und mit ModSecurity bekommst Du auch noch Security-Features on top.

Ist beides kostenlos, insofern du hier keinen Herstellersupport benötigst. Sollten hier hinter Webservices platziert werden, welche beim Ausfall einen Umsatzverlust bedeuten, solltest Du entsprechenden Support beziehen, oder auf einen vollwertige Appliance div. Hersteller setzen.
Je nach Umsatzklasse muss man durchrechnen, ob sich dieser Invest lohnt. WAFs (Web Application Firewall) sind keine kostengünstige Anschaffung.
Darüber hinaus benötigt man auch entsprechenden Verständnis über Webservices, Web-Proxys etc.

Eine brauchbare, kostenlose Mailprotection ist mir nicht geläufig.
Es gibt Sophos-Modelle die alles können (Firewall, Web- sowie Mailprotection) super toll finde ich diese persönlich nicht, aber sie erfüllen für viele KMUs ihren Zweck.

Wenn dein Chef allerdings wegen 5K schon knausert, sehe ich da grundsätzlich div. Herausforderungen für deinen zukünftigen IT-Betrieb.