Jump to content

Gehostetes AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo in die Runde!

 

Ich bin gerade beim Googeln auf das Thema hier im Forum gestoßen und hoffe, dass ich noch eine Frage dran hängen kann, auch wenn es schon eine Weile her ist.

 

Für mich geht es darum für Teilnehmer mit verschiedenen Standorten ein Active Directory einzurichten, um u.A. Bereitstellungsdienste, WSUS, Gruppenrichtlinien usw. einzurichten. Einen eigenen Server hinzustellen wäre ein ziemlich teures Unterfangen und setzt auch noch einen Vertrag mit fester IP voraus, der auch noch mal kostet. Somit habe ich mich nach gehosteten Lösungen umgesehen. Das Haupthindernis scheint mir die Synchronisation der Benutzerprofile bei asynchronem DSL zu sein.

 

Bin gespannt auf Tipps und Hinweise.

Link zu diesem Kommentar

Danke, Doso und NeMiX,

 

leider treffen Eure Antworten aber die Frage nicht. Ich will es etwas konkreter fassen:

  1. Es gibt unter den älteren Kommentaren etliche, die es als eine absurde Idee erscheinen lassen, z.B. einen bei 1un1 gemieteten Root-Server als Domaincontroller zu nutzen. Ich wüsste gerne, warum.
  2. Könnte ich mir vorstellen, dass die Synchronisation eines User-Profils über eine normale DSL-Verbindung wegen des langsamen Uploads auf Schwierigkeiten stößt. Gibt es dazu Erfahrungen?

@NeMiX: Die Clients sollen selbstverständlich via DirectAccess mit der Domain verbunden werden.

@Doso: Exchange-will ich auf dem Server überhaupt nicht installieren. Mir ging es um die Fragen bezüglich Domainserver und Active Directory, als ich den Diskussionsfaden wieder aufgenommen habe.

Link zu diesem Kommentar

Ich bin gerade beim Googeln auf das Thema hier im Forum gestoßen und hoffe, dass ich noch eine Frage dran hängen kann, auch wenn es schon eine Weile her ist.

Erst mal, willkommen im Club und schön dass du uns gefunden hast.

 

Das Kapern fremder Beiträge mit eigenen Problemstellungen ist wenig hilfreich, weil solche gekaperten Beiträge sehr unübersichtlich werden. Deswegen habe ich deine Frage von dem gekaperten Beitrag abgelöst.

 

Beschreibe doch bitte mit eigenen Worten so genau wie möglich was dein Problem ist und was du genau erreichen möchtest. je besser wir das verstehen umso besser können wir dir helfen. :)

Link zu diesem Kommentar

 

  1. Es gibt unter den älteren Kommentaren etliche, die es als eine absurde Idee erscheinen lassen, z.B. einen bei 1un1 gemieteten Root-Server als Domaincontroller zu nutzen. Ich wüsste gerne, warum.
  2. Könnte ich mir vorstellen, dass die Synchronisation eines User-Profils über eine normale DSL-Verbindung wegen des langsamen Uploads auf Schwierigkeiten stößt. Gibt es dazu Erfahrungen?

 

Grundsätzlich bräuchtest Du einen Server von 1&1 mit Windows Server-Lizenz, Deine eigene kannst Du nämlich nicht mitnehmen. Dann ein VPN zwischen allen Standorten, denn man betreibt normalerweise ein Active Directory nicht offen im Internet. Man kann zwar an Server and Domain Isolation denken, in den meisten Fällen wird man aber auf eine externe VPN-Infrastruktur aufsetzen. Machbar ist sowas mit IaaS-Diensten wie Microsoft Azure oder Amazon Virtual Private Cloud. Wenn Du aber keine DCs lokal vorhalten willst, stellt sich die Frage der Bandbreite und Latenz der Anbindungen. Denk mal an Slow Link Detection zum Beispiel. Roaming Profiles würde ich zum Beispiel bei WAN-Links basierend auf DSL-Leitungen nicht empfehlen.

 

Grundsätzlich solltest Du einen Schritt zurück gehen und nciht die Probleme Deiner Lösung diskutieren, sondern Dir erst einmal klar werden über die genauen Anforderungen, die technischen Gegebenheiten und die Budgetsituation, bevor Du ins Detail von einzelnen Lösungen gehst.

Link zu diesem Kommentar

@Dr.Melzer: Danke für den eigenen Thread. Ich hatte mich an den anderen drangehängt, weil mich die ursprüngliche Fragestellung interessiert hat, die im weiteren Verlauf aber garnicht weiter diskutiert wurde. Das Thema hieß: "DC und AD installation auf Rootserver bei 1und1". Dort hast Du unter anderem die Frage aufgeworfen: "Und warum zum Teufel bei 1und1 und nicht bei Euch im LAN?"

 

Ich stelle die Frage mal anders herum: Warum für ein paar tausend Euro einen eigenen Server anschaffen, wenn es mit dem Mieten für 50 + x Euro zuzüglich dem Erwerb von User-CALs auch getan sein könnte? Was nach meiner Überlegung dagegen sprechen könnte, habe ich oben unter zweitens geschrieben. Konkreter kann ich die Frage nicht formulieren.

 

@Daniel -MSFT-: Das ist schon einmal Eingehen auf die Fragestellung, danke! Noch einmal konkreter zu den Voraussetzungen: Ich stelle Vorüberlegungen an, wie die Betreuung von Client-Computern über das Internet am effektivsten zu bewerkstelligen ist. Grundsätzlich will ich die Computer über Gruppenrichtlinien auf einem einheitlichen Sicherheits-Level halten und Backups, sowie Updates über Richtlinien sowie die Bereitstellung eines WSUS steuern. Außerdem sollen regelmäßig die Anwendungs- und Sicherheitsprotokolle der Clients ausgewertet werden.

 

Als alternative zu einem eigenen Server, für den auch noch möglichst noch ein professioneller Account bei der Telekom mit fester IP eingerichtet werden müsste, habe ich mir zunächst die Angebote bei 1und1 sowie Strato angesehen. Beide bieten dedizierte Server an, die mit einer Windows Server 2012 R2-Lizenz laufen. Der Zugang erfolgt u.A. per Remote Desktop und über den Server-Manager. Bei Strato bieten sie einen Downstream von 1000 Mbit/s an, der ab einem bestimmten Volumen gedrosselt wird, bei 1und1 sind es von Anfang an 100 Mbit/s. Der Zugang für die Clients wird selbstverständlich über Direct Access, das heißt über IPsec-gesicherte Tunnel realisiert.

 

Der Flaschenhals bei der Lösung dürfte die geringe Bandbreite im Upstream der Standorte darstellen. Die Userprofile müssen ja mit dem Active Directory synchronisiert werden. Es handelt sich überwiegend um einzelne Arbeitsplatzrechner an verschiedenen Standorten, die über einen normalen Vertrag bei irgendeinem Provider ins Internet gehen. Teilweise handelt es sich auch um Laptops, die fast den ganzen Tag mobil im Einsatz sind. Es wäre interessant, ob jemand schon Erfahrungen hierzu in der Praxis gesammelt hat. Schon mal vielen Dank für den Link auf 'Slow Link Detection'!

 

Auch Dein Hinweis auf Azure ist richtig. Ich muss aber ehrlich gestehen, dass mir das Prozedere des Einstiegs dort sehr komplex erscheint. Zunächst will ich die Realisierbarkeit der gehosteten Lösungen generell etwas besser einschätzen können. Der Vergleich der Anbieter wäre dann das nächste Thema.  

bearbeitet von AnTi
Link zu diesem Kommentar

@Daniel -MSFT-: Das ist schon einmal Eingehen auf die Fragestellung, danke! Noch einmal konkreter zu den Voraussetzungen: Ich stelle Vorüberlegungen an, wie die Betreuung von Client-Computern über das Internet am effektivsten zu bewerkstelligen ist. Grundsätzlich will ich die Computer über Gruppenrichtlinien auf einem einheitlichen Sicherheits-Level halten und Backups, sowie Updates über Richtlinien sowie die Bereitstellung eines WSUS steuern. Außerdem sollen regelmäßig die Anwendungs- und Sicherheitsprotokolle der Clients ausgewertet werden.

 

Nur mal so als Beispiel: Hast Du Dir mal die Anforderungen für DirectAccess angesehen? Können die Clients überhaupt Direct Access (Enterprise-Versionen)? Für mich klingen Deine Anforderungen eher nach Management-Lösungen, die über das Internet direkt funktionieren. Schau Dir mal Windows Intune an. Damit kannst Du Richtlinien vorgeben, Software ausrollen, hast den Virenschutz zentral realisiert, kannst Patches wie mit WSUS zentral verwalten und zentrale Logging/Reporting-Funktionen nutzen.

 

Was sind denn das genau für Clients, die Du da verwalten willst? Gehören die zu Deiner Firma? Oder willst Du als Dienstleister PCs anderer Kunden verwalten? Sind das Home-PCs oder Business-PCs? Wie willst Du die Zugriffe lizenzieren? Warum sollen servergespeicherte Profile über eine WAN-Verbindung eingesetzt werden? Wieso bleiben die Profile nicht lokal? Fragen über Fragen. 

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Hallo Nils,

 

Dein zweiter Satz bringt mich schon ein Stück weiter. Wie gesagt, es handelt sich um Vorüberlegungen. Im vergangenen Jahr habe ich einen Lehrgang zur Administration von Server 2012 mit Microsoft-Zertifikat abgeschlossen. Mangels sofortiger Anwendung der Kenntnisse sitzt aber das meiste nicht fest. Zunächst deshalb der Check der wichtigsten Voraussetzungen bevor es ins Detail geht.

 

@Nils und Daniel: Daniel, Deine Antwort ist gerade noch rein geflattert. Die Clients werden alles mögliche sein: Kunden, Mitarbeiter, Kollegen, Familienmitglieder. Für den beschriebenen Zweck spielt das keine Rolle. Es wird ggf. verschiedene Domains und Subdomains für die verschiedenen Gruppen geben. Die Zugriffe werden durch den Erwerb entsprechender User-CALs lizensiert.

@Daniel: Danke für beide Hinweise! Intune kannte ich vorher nicht. Ich werde es mir genau anschauen. In der ersten Stufe könnte das schon ein Schritt sein. Bezüglich der Voraussetzungen für Direct Access habe ich mich wohl tatsächlich geirrt. Dann muss VPN reichen. Leuten, die Home-Versionen haben, werde ich weiterhin die Geräte per Hand auf Trapp halten. Der Preisunterschied dürfte ein Ansporn zum Aufrüsten sein.

 

Ich möchte mich nun erst mal bei allen für die Beiträge bedanken. Als nächstes werde ich mich mit Test-Enviroments der Umsetzung in der Praxis nähern und vielleicht nicht immer prompt auf neue Beiträge antworten. Wenn ich einen Schritt weiter bin, wird es auf jeden Fall noch Bedarf an Gedankenaustausch geben.

bearbeitet von AnTi
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...