Jump to content
mk100

Neuer DC soll alten ersetzen mit neuer AD Struktur

Recommended Posts

Hallo liebe Kollegen,

 

ich möchte einen neuen DC erstellen mit Server 2019, der aktuelle DC ist Server 2016.

Der aktuelle DC 2016 ist der einzige DC in der Domäne.

 

Jetzt möchte ich in dem Zuge auch die Struktur des AD sinnvoller gestalten, nach dem PWA Prinzip von Microsoft und eine Art "Tiering" System abbilden, damit man nicht in einem Zug durch unsere Server rutschen kann.

 

Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice?

 

Ich hoffe meine Problemstellung ist deutlich geworden. Für jede Empfehlung oder Tipp bin ich dankbar!

 

MFG

 

* Ich bin Software Entwickler in einer kleinen Firma, kein Netzwerktechniker oder Admin, habe aber gutes IT Allgemeinwissen *

Edited by mk100

Share this post


Link to post
Share on other sites

Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen.

 

Folgende Fragen habe ich noch:

  • Warum den 2016er durch den 2019er ersetzen?
  • Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen?

Share this post


Link to post
Share on other sites

Ich würde entweder

- einen zweiten 2016 DC aufnehmen oder

- einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen

 

Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs?

 

Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen.

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb mk100:

Daher meine Frage: wie verhält es sich wenn ich einen zweiten DC als Domaincontroller hochstufe der eine andere AD Struktur hat bzw. wie wäre der Best-Practice?

 

Der 2019 kann keine andere AD-Struktur bekommen als der 2016, denn der 2919 erhält die AD-Struktur der Domäne vom 2016 nach dem Beitritt zur Domäne mit der Replikation.

 

Zum Beitritt des 2019 zur Domäne kann dieser keine AD-Struktur haben. Falls Du meinst, Du könntest einen neuen DC mit einer anderen AD-Struktur bauen und diesen anschliessend der Domäne hinzufügen, dann ist das ein nicht dürchführbares Vorhaben.

Edited by lefg

Share this post


Link to post
Share on other sites

Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen?

 

Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das?

Share this post


Link to post
Share on other sites
vor 9 Stunden schrieb NorbertFe:

Vielleicht PAW? :)

Ja, sorry, da habe ich mich verschrieben. Ich meinte eine PAW :) 

vor 9 Stunden schrieb daabm:

Hmmm - ein AD, das bisher vmtl. aus Kostengründen mit nur einem DC auskommen mußte? Ich finde es prinzipiell richtig, daß Du Dir über Admin-Rechte und PrivEsc Gedanken machst, aber müßtest Du nicht erst mal mit "wir brauchen 2 DCs" anfangen?

 

Und obwohl ich in dem Bereich arbeite: Ich habe PWA noch nie gehört, wofür steht das?

Sorry, ich meinte PAW. 

 

Kannst du mir erläutern welchen Zusammenhang du siehst zwischen 2 DC´s hinsichtlich Sicherheit siehst? 

Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

 

vor 11 Stunden schrieb Dukel:

Ich würde entweder

- einen zweiten 2016 DC aufnehmen oder

- einen 2019 DC aufnehmen und den 2016 durch einen weiteren 2019 DC ersetzen

 

Wieso wollt Ihr auch 2019? Sind andere Server auch auf 2019? Gibt es 2019 CALs?

 

Einen DC kann man entweder in eine Domäne aufnehmen oder eine neue Domäne erstellen, aber bei einem hinzufügen eines DC gibts keine zwei AD Strukturen.



Danke das hat meine Frage ziemlich konkret beantwortet. 

 

vor 11 Stunden schrieb MurdocX:

Kann man machen. Normalerweise würde man den zweiten DC in das AD nehmen und dann den ersten entfernen.

 

Folgende Fragen habe ich noch:

  • Warum den 2016er durch den 2019er ersetzen?
  • Warum nicht beide DCs im AD lassen und die Struktur einfach umbauen?

1. In erster Linie weil wir das erste mal ein Sicherheitskonzept implementieren wollen, und da wir Action Pack Kunde sind und administrative Tätigkeiten eher alle 1-2 Jahren machen, wollen wir vorsorglich auf den Server 2019 gehen. 

2. Meines Wissens nach kann man die Struktur eines AD  nicht "einfach" umbauen !? Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s `

Edited by mk100

Share this post


Link to post
Share on other sites
vor 17 Minuten schrieb mk100:

erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

Und das gehört nicht zu Sicherheit/Verfügbarkeit?

Share this post


Link to post
Share on other sites
vor 39 Minuten schrieb mk100:

Meines Wissens nach gibt es große Probleme beim nachträglichen verschieben von Usern in neue übergeordnete OU´s `

Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben.

 

vor 40 Minuten schrieb mk100:

2. Meines Wissens nach kann man die Struktur eines AD  nicht "einfach" umbauen !?

Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr.

vor 42 Minuten schrieb mk100:

Für mich war ein zweiter DC in erster Instanz Replizierungsserver, wenn sich der erste DC verabschiedet!? 

Das ist doch auch ein Teil der Sicherheit.

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb Sunny61:

Welche Probleme soll es geben, wenn man User und/oder Computerobjekte in andere OUs verschiebt? Im Zweifel muss man die GPOs ebenfalls eine Ebene nach oben verschieben.

 

Weshalb denn nicht? Natürlich kann ich umbauen, OU1 in OU4 umbenennen, neue OUs für Computer und User anlegen. Und vieles mehr.

Das ist doch auch ein Teil der Sicherheit.

Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. 

Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. 

Share this post


Link to post
Share on other sites

Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin?

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb Dukel:

Wie wäre es mit einer AD Schulung? Wieso darfst du als Entwickler das AD verwalten? Gibt es keine Admin?

Nein es gibt keine Admins. 

Wie schon gesagt kleine Firma, wenig Aufwand im administrativen Bereich daher überzogen. Ich "verwalte" das AD auch nicht, sondern ich unterstütze nur wenn etwas umgesetzt werden soll. 

 

vor 37 Minuten schrieb NorbertFe:

Und das gehört nicht zu Sicherheit/Verfügbarkeit?

Ja, ist schon richtig :) 

Edited by mk100

Share this post


Link to post
Share on other sites
vor 55 Minuten schrieb mk100:

Unsere Struktur hat bisher keine OU' s, es wurde die Standard Struktur genutzt. 

Habe gerade mal getestet User,Computer und Gruppen zu verschieben, das war entgegen meiner Erwartung problemlos möglich. 

Puh, dann solltest Du eine Schulung machen und das in der Firma mit jemandem machen, der weiß was welche Auswirkungen haben kann.

Share this post


Link to post
Share on other sites

Und zumindest für die Inbetriebnahme eines neuen Servers einen externen hinzuziehen, das kann man im Rahmen eines Workshops erledigen, und du lernst dabei was.

Es sei denn, das ist nicht gewünscht...

Share this post


Link to post
Share on other sites

Ok, wir kommen der Sache näher :-) Über PAW reden wir, sobald Du 2 DCs hast. Und weißt, was PAW alles mit sich bringt - separater Computer als PAW, darauf eine VM mit dem Arbeitsrechner (grad noch akzeptiert, eigentlich aber wirklich separater Computer), dann separater Netzzugang, abgeschotteter Raum, 2FA, und genaugenommen Bastion Forest. PAW ist einer der Bestandteile von ESAE, die man am ehesten wegrationalisieren kann - meine Meinung.

 

Wenn Ihr bisher nicht mal OUs genutzt habt, hattet Ihr im AD keinerlei Delegation. Damit auch keine Tier-Trennung, keine gezielten GPOs für's Hardening und und und :-)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...