cavaliere
Goto Top

Weitere AD im Netzwerk

Hallo zusammen,

ich würde gerne wissen, ob ich im gleichen bzw. durch einer UTM getrenntes Netzwerk eine weitere AD für Tests erstellen kann, wenn eine produktiv AD bereits im Einsatz ist. Ich bin in dem Bereich noch recht unerfahren und möchte gerne Erfahrungen sammeln, da mein Gebiet sich in dieser Richtung irgendwann im Unternehmen mal ausweiten kann.

Zur Zeit existiert bereits ein Server mit diversen Diensten. Darauf habe ich eine UTM mit einem Switch stehen und somit ein neues Netzwerksegment erstellt. Hab nun Sorgen, dass ich irgendwie dazwischen funken kann.

Content-Key: 354617

Url: https://administrator.de/contentid/354617

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: ashnod
ashnod 13.11.2017 um 12:57:58 Uhr
Goto Top
Moin ..

Unter der Voraussetzung, dass du die Netze sauber getrennt hast, bzw. trennen wirst, kann doch gar nix passieren!
Im gleichen Netz kannst du das natürlich nicht machen!

Also nur eine Frage wie sauber du arbeitest face-wink

Sanfte Grüße
Mitglied: 134464
134464 13.11.2017 aktualisiert um 13:10:06 Uhr
Goto Top
Zitat von @ashnod:
Im gleichen Netz kannst du das natürlich nicht machen!
Die Aussage ist so generell falsch, das lässt sich machen, man muss nur die Verteilung der DNS-Server beachten
https://social.technet.microsoft.com/Forums/windowsserver/en-US/03010dd6 ...
Trennen der Netze ist aber natürlich immer zu bevorzugen, da gebe ich dir absolut recht.
Mitglied: ashnod
ashnod 13.11.2017 um 13:22:41 Uhr
Goto Top
Moin ...

Zitat von @134464:
Zitat von @ashnod:
Im gleichen Netz kannst du das natürlich nicht machen!
Die Aussage ist so generell falsch, das lässt sich machen, man muss nur die Verteilung der DNS-Server beachten

Einigen wir uns auf das ist nicht generell richtig face-wink
Dazu müsste man soviel beachten das ein solcher Aufbau nicht wirklich sinnvoll und ein fehlerfreies Arbeiten nicht garantiert ist.
Und mein Lieblingsatz dazu ... Netze kosten kein Geld (P.S. Ja, auch das ist generell nicht richtig face-wink )

Sanfte Grüße
Mitglied: Cavaliere
Cavaliere 13.11.2017 um 15:00:08 Uhr
Goto Top
In der Regel arbeite ich immer mit bestem Gewissen face-smile Nur an diesem Punkt bin ich sehr vorsichtig.

Habe das "neue" Netzwerk durch einer UTM getrennt, also 192.168.x.x/xx besteht und 192.168.y.y/yy ist neu hinter der UTM, und nur gewisse Dienste freigegeben. Mein Ziel ist, Netzwerk und Dienste praktisch kennenzulernen, bevor es dann erwartet wird und keine Antworten parat habe.
Mitglied: emeriks
emeriks 13.11.2017 um 15:24:48 Uhr
Goto Top
@ashnod
@specht
Im gleichen Netz kannst du das natürlich nicht machen!
Die Anmerkung von Specht ist schon korrekt. Es ist überhaupt kein Problem, das im selben Subnet zu machen und man muss beim DNS auch nichts sonderlich beachten oder gar trennen. Was nicht geht, ist lediglich, dass die Testumgebung dann nicht dieselben Namen verwenden darf, wie bereits in der Produktivumgebung bereits in Verwendung. Aber abseits davon ist das vollkommen unproblematisch.

Aber grundsätzlich stimme ich zu: Wenn man die Möglichkeit hat, dann sollte man seine Testumgebung nicht im produktiven Netz betreiben.

E.
Mitglied: 108012
108012 13.11.2017 um 16:25:34 Uhr
Goto Top
Hallo,

nimm doch einfach einen kleinen MikroTik Router hinter die UTM und dahinter kommt dann das Test- oder Labornetz
und der LAN Switch kommt auch an die UTM und dahinter dann das "normale" bzw. produktive LAN. Dafür sind die
kleinen Router einfach unschlagbar.

Gruß
Dobby
Mitglied: falscher-sperrstatus
falscher-sperrstatus 13.11.2017 um 22:05:23 Uhr
Goto Top
Logisch geht das, die Frage ist, ob es Sinn macht.

Grundsätzlich wirst du aber ohne exakte Netzwerkkenntnisse (die Frage lässt da einen gewissen Tendenzschluss zu) mehr malus denn bonus auswirkend haben.

Grundsätzliches @108012 wofür den MikroTik (manchmal hab ich das Gefühl, du bringst die einfach immer ins Spiel, so von wegen, mal schauen, welcher Firsch anbeisst) - denn, er hat schon eine UTM im Einsatz, wenn die keine Netze segmentieren kann liegt das eher am User als an der UTM (wenn es denn eine ordentliche ist).

Zum technischen, du musst insbesondere beim DHCP aufpassen, wobei auch das kann man grundsätzlich regeln. Aber:

Logisch geht das, die Frage ist, ob es Sinn macht.
Mitglied: ashnod
ashnod 14.11.2017 um 08:17:01 Uhr
Goto Top
Moin ...

Zitat von @falscher-sperrstatus:
Logisch geht das, die Frage ist, ob es Sinn macht.

Sorry, das ich deinen Beitrag zum Beispiel nehme, aber nachdem du auch noch drauf rumreitest ...

Also mal ehrlich ... Ihr seid meist diejenigen die hier oft den Best Practice-Gedanken vertretet, deshalb verstehe ich an dieser Stelle die vehemenz nicht mit der das nochmals ausdrücklich betont wird das es geht.

Zwischen dem was technisch machbar ist und technisch sinnvoll ist besteht nunmal ein deutlicher Unterschied, den du ja auch selbst beschreibst.

Für meinen Teil würde ich das nicht ernsthaft in Betracht ziehen wollen, weil es keine Vorteile aber jede Menge Nachteile bietet.

In diesem Sinn, sanfte Grüße
Mitglied: 134464
134464 14.11.2017 aktualisiert um 08:26:31 Uhr
Goto Top
Dann schreibe es das nächste mal gleich so das keiner drauf rum reiten kann face-smile.
Aussagen die klingen wie "Im gleichen Netz kannst du das natürlich nicht machen!" kann man halt so nicht stehen lassen, denn andere Neulinge die diesen Post lesen könnten das fehl interpretieren und nur darum ging es.

So long.
Mitglied: emeriks
emeriks 14.11.2017 um 08:27:39 Uhr
Goto Top
denn andere Neulinge die diesen Post lesen könnten das fehl interpretieren und nur darum ging es.
Dito
Mitglied: ashnod
ashnod 14.11.2017 um 08:35:27 Uhr
Goto Top
Moin ...

Ihr seid Beamte oder?
Zumindest @emeriks hätte auffallen können das ich das bereits im zweiten Post beschrieben habe.
Wenn Eure(?) Beiträge sich an Neulinge richten sollten, dann solltet Ihr euch bei diesem Vorschlag aber präziser zu allen Nachteilen äußern!

Sanfte Grüße
Mitglied: emeriks
emeriks 14.11.2017 um 08:43:17 Uhr
Goto Top
Äh, nein, ich bin kein Beamter. Bitte keine Beleidigungen für diesen Berufsstand!
Aber ich bin staatlich zertifizierter Krümelkacker. face-wink

Wenn Eure(?) Beiträge sich an Neulinge richten sollten, dann solltet Ihr euch bei diesem Vorschlag aber präziser zu allen Nachteilen äußern!
Warum? Wir haben nur eine getroffene, absolute Aussage relativieren wollen, damit Neulinge/Unkundige/Suchende daraus keine falschen Schlussfolgerungen ziehen. Im Übrigen bin ich davon überzeugt, dass weitaus die meisten dieser absoluten Aussagen in solchen Foren wie diesem rein wegen falscher und/oder unvollständiger Ausformulierungen dessen, was man eigentlich ausdrücken wollte, zustande kommen. Das Gleiche gilt zu oft auch für Fragen, welche hier gestellt werden.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.11.2017 um 11:06:11 Uhr
Goto Top
Ich halte viel mehr, davon, dass man Neulinge, um Sie nicht von Anfang an mit false positives/negatives zu belasten entweder klar und hart darauf hinweisst, dass Sie DAS nicht alleine machen sollten, oder eben, dass Sie in die Ausbildung gehen müssen (läuft aufs selbe hinaus - solideres Wissen, sichere(re) und sinnvollere Netze)

Das ist das gleiche, wie die pauschale Aussage, dass Atomkraftwerke unsicher sind. Kann man so auch nicht stehen lassen, wobei, kann schon, wenn man keine sog. "Fake News/Infos" verbreiten will, sollte man es nicht.

Um mit Einstein, da aus "meiner" Stadt kommend, ab zu schliessen: Alles ist relativ.

LG

PS: Ashnod, du weisst doch, dass ich kein Beamter bin ;)
Mitglied: Cavaliere
Cavaliere 16.11.2017 um 16:06:44 Uhr
Goto Top
Hi zusammen,

danke für die vielen Hinweise, dass es kaum Sinn macht. In erster Linie geht es für mich darum, dass ich ein Netzwerk mit einer Domäne habe, um ein paar Sachen zu testen und somit zu praktischen Erfahrungen komme. Einen Lehrer habe ich nicht mehr, da ich aus der Ausbildung schon raus bin und niemand da ist, der mich unterrichten kann/will :/ Somit arbeite ich nach dem Motto "learning by doing".

Deshalb war ja die Frage, ob in einem separaten Netzwerk ohne Probleme solche Dienste aufgebaut werden könne ohne jemanden ungewollt zu stören.
Mitglied: 108012
108012 16.11.2017 um 16:26:42 Uhr
Goto Top
Deshalb war ja die Frage, ob in einem separaten Netzwerk ohne Probleme solche Dienste aufgebaut werden könne
ohne jemanden ungewollt zu stören.
Am besten wäre es wenn man vor die UTM einen Switch hinstellt und dort dann das Modem dran anschließt sowie
auch die UTM und den MikroTik Router dann kann jeder auf das Interne zugreifen und stört den anderen nicht im
geringsten. Oder aber, wenn man denn nicht gleich alles umbauen möchte, kann man sicherlich auch nur den
MikroTik Router an die UTM mit anschließen und dann ist ist durch das NAT am MikroTik RB Router das andere
Netzwerk auch nicht gefährdet. Klar nicht so pralle aber auch machbar und auf jeden fall sicherer als den zweiten
AD in das selbe Netzwerk zu hängen wie den anderen. Was man alles tolles machen kann ist ja schön und gut,
nur wenn ich es sicher haben möchte lasse ich die Netzwerke gar nciht erst zusammen kommen oder trenne sie
eben nicht nur durch die UTM.

Gruß
Dobby