8
AD einrichten auf einem gehosteten Domain Controller
Hallo,
gleich vorweg: Mein Anliegen wird dem ein oder anderen Leser sicherlich einen Schauer über den Rücken jagen, Best Practice ist es wohl nicht.
Plan:
Ein Kunde von mir (Startup, ca. 30 User) möchte, dass ich ihm ein Active Directory einrichte. Und wie das bei Startups so ist, planen sie finanziell auf Sicht und daher sind Hinweise wie : "In Zukunft ist das aber garantiert ein Problem" nicht hilfreich und stoßen beim Inhaber auch auf taube Ohren. Ein AD muss jetzt her aber kosten darf es erst einmal nichts.
Daher habe ich eine VM bei strato erstellt, die über eine feste IP erreichbar ist. Sie soll der DC werden. Der Standort des Kunden wird auch mit einer festen IP ausgerüstet werden, außerdem kommt dort eine Sophos UTM zum Einsatz.
Nun habe ich auf der VM (Windows Server 2012 R2) den OpenVPN Client installiert und kann auch erfolgreich eine Site-to-Site VPN Verbindung mit der Sophos UTM aufbauen. Die Sophos UTM fungiert dabei als OpenVPN Server. Pingen zwischen dem Server und einem Rechner hinter der Sophos funktioniert in beide Richtungen. RDP funktioniert nicht auf den Server über die VPN Verbindung, in die andere Richtung aber schon. Das ist ein noch zu klärendes Problem.
Nun zu meiner eigentlichen Frage:
Was muss ich bei der Installation des DCs beachten?
Dieser befindet sich ja in einem anderen Subnetz als die Rechner des Kunden. Ich kann zwar grundsätzlich ein AD aufsetzen, aber wie ich bei der oben beschriebenen Konstellation die DNS Konfiguration vorzunehmen habe, ist mir nicht ganz klar.
Vielleicht kann mir einer von euch helfen, ich bedanke mich schon einmal jetzt ganz herzlich!
Schöne Grüße
Tim
gleich vorweg: Mein Anliegen wird dem ein oder anderen Leser sicherlich einen Schauer über den Rücken jagen, Best Practice ist es wohl nicht.
Plan:
Ein Kunde von mir (Startup, ca. 30 User) möchte, dass ich ihm ein Active Directory einrichte. Und wie das bei Startups so ist, planen sie finanziell auf Sicht und daher sind Hinweise wie : "In Zukunft ist das aber garantiert ein Problem" nicht hilfreich und stoßen beim Inhaber auch auf taube Ohren. Ein AD muss jetzt her aber kosten darf es erst einmal nichts.
Daher habe ich eine VM bei strato erstellt, die über eine feste IP erreichbar ist. Sie soll der DC werden. Der Standort des Kunden wird auch mit einer festen IP ausgerüstet werden, außerdem kommt dort eine Sophos UTM zum Einsatz.
Nun habe ich auf der VM (Windows Server 2012 R2) den OpenVPN Client installiert und kann auch erfolgreich eine Site-to-Site VPN Verbindung mit der Sophos UTM aufbauen. Die Sophos UTM fungiert dabei als OpenVPN Server. Pingen zwischen dem Server und einem Rechner hinter der Sophos funktioniert in beide Richtungen. RDP funktioniert nicht auf den Server über die VPN Verbindung, in die andere Richtung aber schon. Das ist ein noch zu klärendes Problem.
Nun zu meiner eigentlichen Frage:
Was muss ich bei der Installation des DCs beachten?
Dieser befindet sich ja in einem anderen Subnetz als die Rechner des Kunden. Ich kann zwar grundsätzlich ein AD aufsetzen, aber wie ich bei der oben beschriebenen Konstellation die DNS Konfiguration vorzunehmen habe, ist mir nicht ganz klar.
Vielleicht kann mir einer von euch helfen, ich bedanke mich schon einmal jetzt ganz herzlich!
Schöne Grüße
Tim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295654
Url: https://administrator.de/contentid/295654
Printed on: April 20, 2024 at 16:04 o'clock
8 Comments
Latest comment
Hey,
wäre die AzureAD eine Alternative für euch?
https://azure.microsoft.com/de-de/documentation/articles/active-director ...
wäre die AzureAD eine Alternative für euch?
https://azure.microsoft.com/de-de/documentation/articles/active-director ...
Wenn bloß das DNS das Problem sein sollte:
Eine Möglichkeit wäre:
Den DC auch als DNS für sein eigenes AD einrichten. Auf dynamisches Update für die Clients verzichten. Also Clients mit fester IP betreiben und fest im DNS eintragen. Am Standort des Kunden einen kleinen DNS-Server betreiben (z.B. im Router?) der bedingte Weiterleitungen unterstützt. Für die Zone des AD die Anfragen an den DC/DNS weiterleiten. Für alle andere an den DNS beim Internetprovider weiterleiten.#
E.
Eine Möglichkeit wäre:
Den DC auch als DNS für sein eigenes AD einrichten. Auf dynamisches Update für die Clients verzichten. Also Clients mit fester IP betreiben und fest im DNS eintragen. Am Standort des Kunden einen kleinen DNS-Server betreiben (z.B. im Router?) der bedingte Weiterleitungen unterstützt. Für die Zone des AD die Anfragen an den DC/DNS weiterleiten. Für alle andere an den DNS beim Internetprovider weiterleiten.#
E.
Guten Morgen,
danke für die schnellen Rückmeldungen!
@Tjelvar: Das wäre eine Option, allerdings recht teuer und so lange das Modell mit der Telekom als Datentreuhänder noch nicht verfügbar ist, dem Kunden zu heiß. Aber ich werde das im Auge behalten, in einigen Monaten müssen wir vielleicht nochmal ran an das Ganze, dann überlege ich auch nochmal in die Richtung.
@emeriks: Die Sophos UTM kann DNS, da schaue ich gleich mal nach. Statische Routen gehen da auch auf jeden Fall. Vielleicht ist die sogar schlauer als ich denke und man kann beim DNS noch allerhand mehr Funktionen benutzen.
Schöne Grüße
Tim
danke für die schnellen Rückmeldungen!
@Tjelvar: Das wäre eine Option, allerdings recht teuer und so lange das Modell mit der Telekom als Datentreuhänder noch nicht verfügbar ist, dem Kunden zu heiß. Aber ich werde das im Auge behalten, in einigen Monaten müssen wir vielleicht nochmal ran an das Ganze, dann überlege ich auch nochmal in die Richtung.
@emeriks: Die Sophos UTM kann DNS, da schaue ich gleich mal nach. Statische Routen gehen da auch auf jeden Fall. Vielleicht ist die sogar schlauer als ich denke und man kann beim DNS noch allerhand mehr Funktionen benutzen.
Schöne Grüße
Tim
Das mit den RDP hat sich erledigt. War nur ein Firewall Problem.
"Zu Teuer" ist so ne Sache. in der kleinsten Ausführung ist die Azure AD sogar kostenlos, ist halt nur die Frage ob sie euren Anforderungen genügt.
Und bezüglich des Datenschutzes kann ich die Sorgen einerseits Nachvollziehen, andererseits würde Microsoft damit ganz schnell auf die Fresse kriegen wenn die mit den daten schmu machen.
Und bezüglich des Datenschutzes kann ich die Sorgen einerseits Nachvollziehen, andererseits würde Microsoft damit ganz schnell auf die Fresse kriegen wenn die mit den daten schmu machen.
Wir bräuchten GPOs und wenn ich das richtig gelesen habe, geht das erst ab der Premium Version die 5,05€ pro User pro Monat kostet.
Das mit dem Datenschutz sehe ich ähnlich, aber so ein Startup ist nach einmal Schmu halt pleite. Daher zu heiß.
Schöne Grüße
Tim
Das mit dem Datenschutz sehe ich ähnlich, aber so ein Startup ist nach einmal Schmu halt pleite. Daher zu heiß.
Schöne Grüße
Tim
Statische Routen? Du meinst sicher bedingte Weiterleitungen im DNS?
Statische Routen wirst Du sowieso brauchen, hat aber nichts mit DNS zu tun.
Statische Routen wirst Du sowieso brauchen, hat aber nichts mit DNS zu tun.
Du siehst, der ganz große DNS Held bin ich nicht 
