Jump to content

Neuer DC soll alten ersetzen mit neuer AD Struktur


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Kollegen,

 

ich möchte einen neuen DC erstellen mit Server 2019, der aktuelle DC ist Server 2016.

Der aktuelle DC 2016 ist der einzige DC in der Domäne.

 

Jetzt möchte ich in dem Zuge auch die Struktur des AD sinnvoller gestalten, nach dem PWA Prinzip von Microsoft und eine Art "Tiering" System abbilden, damit man nicht in einem Zug durch unsere Server rutschen kann.

 

Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice?

 

Ich hoffe meine Problemstellung ist deutlich geworden. Für jede Empfehlung oder Tipp bin ich dankbar!

 

MFG

 

* Ich bin Software Entwickler in einer kleinen Firma, kein Netzwerktechniker oder Admin, habe aber gutes IT Allgemeinwissen *

bearbeitet von mk100
Link zu diesem Kommentar

Ich würde entweder

- einen zweiten 2016 DC aufnehmen oder

- einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen

 

Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs?

 

Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen.

Link zu diesem Kommentar
vor 5 Stunden schrieb mk100:

Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice?

 

Der 2019 kann keine andere AD-Struktur bekommen als der 2016, denn der 2919 erhält die AD-Struktur der Domäne vom 2016 nach dem Beitritt zur Domäne mit der Replikation.

 

Zum Beitritt des 2019 zur Domäne kann dieser keine AD-Struktur haben. Falls Du meinst, Du könntest einen neuen DC mit einer anderen AD-Struktur bauen und diesen anschliessend der Domäne hinzufügen, dann ist das ein nicht dürchführbares Vorhaben.

bearbeitet von lefg
Link zu diesem Kommentar

Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen?

 

Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das?

Link zu diesem Kommentar
vor 9 Stunden schrieb NorbertFe:

Vielleicht PAW? :)

Ja, sorry, da habe ich mich verschrieben. Ich meinte eine PAW :) 

vor 9 Stunden schrieb daabm:

Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen?

 

Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das?

Sorry, ich meinte PAW. 

 

Kannst du mir erläutern welchen Zusammenhang du siehst zwischen 2 DC´s hinsichtlich Sicherheit siehst? 

Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

 

vor 11 Stunden schrieb Dukel:

Ich würde entweder

- einen zweiten 2016 DC aufnehmen oder

- einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen

 

Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs?

 

Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen.



Danke das hat meine Frage ziemlich konkret beantwortet. 

 

vor 11 Stunden schrieb MurdocX:

Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen.

 

Folgende Fragen habe ich noch:

  • Warum den 2016er durch den 2019er ersetzen?
  • Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen?

1. In erster Linie weil wir das erste mal ein Sicherheitskonzept implementieren wollen, und da wir Action Pack Kunde sind und administrative Tätigkeiten eher alle 1-2 Jahren machen, wollen wir vorsorglich auf den Server 2019 gehen. 

2. Meines Wissens nach kann man die Struktur eines AD  nicht "einfach" umbauen !? Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s `

bearbeitet von mk100
Link zu diesem Kommentar
vor 39 Minuten schrieb mk100:

Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s `

Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben.

 

vor 40 Minuten schrieb mk100:

2. Meines Wissens nach kann man die Struktur eines AD  nicht "einfach" umbauen !?

Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr.

vor 42 Minuten schrieb mk100:

Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

Das ist doch auch ein Teil der Sicherheit.

Link zu diesem Kommentar
vor 3 Minuten schrieb Sunny61:

Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben.

 

Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr.

Das ist doch auch ein Teil der Sicherheit.

Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. 

Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. 

Link zu diesem Kommentar
vor 3 Minuten schrieb Dukel:

Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin?

Nein es gibt keine Admins. 

Wie schon gesagt kleine Firma, wenig Aufwand im administrativen Bereich daher überzogen. Ich "verwalte" das AD auch nicht, sondern ich unterstütze nur wenn etwas umgesetzt werden soll. 

 

vor 37 Minuten schrieb NorbertFe:

Und das gehört nicht zu Sicherheit/Verfügbarkeit?

Ja, ist schon richtig :) 

bearbeitet von mk100
Link zu diesem Kommentar
vor 55 Minuten schrieb mk100:

Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. 

Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. 

Puh, dann solltest Du eine Schulung machen und das in der Firma mit jemandem machen, der weiß was welche Auswirkungen haben kann.

Link zu diesem Kommentar

Ok, wir kommen der Sache näher :-) Über PAW reden wir, sobald Du 2 DCs hast. Und weißt, was PAW alles mit sich bringt - separater Computer als PAW, darauf eine VM mit dem Arbeitsrechner (grad noch akzeptiert, eigentlich aber wirklich separater Computer), dann separater Netzzugang, abgeschotteter Raum, 2FA, und genaugenommen Bastion Forest. PAW ist einer der Bestandteile von ESAE, die man am ehesten wegrationalisieren kann - meine Meinung.

 

Wenn Ihr bisher nicht mal OUs genutzt habt, hattet Ihr im AD keinerlei Delegation. Damit auch keine Tier-Trennung, keine gezielten GPOs für's Hardening und und und :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...