ComputerBase Menü
Aktuelles

Windows vServer als Domain Controller

Duke2011

Duke2011

Lieutenant
Registriert
Juni 2011
Beiträge
616
Moin!

Ich hab einen Windows vServer gemietet und frage mich ob man den als Domain Controller einsetzen kann...

Auf dem vServer läuft Windows Server 2019 Datacenter und ich hab die DHCP + DNS + AD Domaindienste hinzugefügt.

Der Server hat eine statische IP, die ich mit einem A-Record an meine Domain geknüpft habe.

Mein Gedanke war, dass man sich so an den DC anmelden kann, aber ich hab mit Sicherheit irgendwo einen fetten Denkfehler :-)

Der Server ist von außen erreichbar, aber wie kann man einen externen Client mit der Domain verbinden?
 
Zuletzt bearbeitet:
Hi,

ganz schlechte Idee ;)
Ein Domaincontroller sollte immer direkt am Netzwerkwerkstandort direkt stehen, da dieser essenzielle Funktionen (AD, DNS, DHCP) bereitstellt. Bei einem Internetausfall/Serverausfall steht dann das ganze Netzwerk.
 
Tom_123 schrieb:
Hi,

ganz schlechte Idee ;)
Ein Domaincontroller sollte immer direkt am Netzwerkwerkstandort direkt stehen, da dieser essenzielle Funktionen (AD, DNS, DHCP) bereitstellt. Bei einem Internetausfall/Serverausfall steht dann das ganze Netzwerk.
Zum Vergrößern anklicken....
Das stimmt natürlich, ich möchte trotzdem wissen ob es technisch gehen würde... :)
 
Wenn du den Zugriff auf diese Adresse über VPN abgesichert hast oder auf die WAN Adresse deines Netzwerkes beschränkt hast, dann sollte es gehen. Ansonsten hast du dir ein dickes Sicherheitsloch gebaut.

Tom_123 schrieb:
Bei einem Internetausfall/Serverausfall steht dann das ganze Netzwerk.
Zum Vergrößern anklicken....

Das kann man heute auf zig verschiedene Arten absichern.
 
Hi,

klar würde dies gehen -> direkte VPN-Verbindung zum v-Server. Ich rate aber dringend aufgrund der genannten Gründe von diesem "Konzept" ab.
 
Ja gehen würde das. Du musst auf den PCs nur den Controller als DNS eintragen und ihn dann zur Domäne hinzufügen.
 
Tom_123 schrieb:
Ich rate aber dringend aufgrund der genannten Gründe von diesem "Konzept" ab.
Zum Vergrößern anklicken....

Quatsch mit Soße! Praktisch jedes mobil verwendete Gerät ist genau so angebunden. Ein PC/Notebook lässt eine Anmeldung auch zu, wenn mal der Server nicht erreicht werden kann.

Wenn du mal ein grösseres Netzwerk mit mehreren Zweigstellen aufbaust, stellst du nicht in jeder Zweigstelle extra einen Server hin. Kann man machen, ist in der heutigen Zeit aber Unsinn.
 
Tom_123 schrieb:
Hi,

klar würde dies gehen -> direkte VPN-Verbindung zum v-Server. Ich rate aber dringend aufgrund der genannten Gründe von diesem "Konzept" ab.
Zum Vergrößern anklicken....
Wie genau?
Ergänzung ()

Masamune2 schrieb:
Ja gehen würde das. Du musst auf den PCs nur den Controller als DNS eintragen und ihn dann zur Domäne hinzufügen.
Zum Vergrößern anklicken....
Du meinst bei IPv4 in den Eigenschaften der Netzwerkkarte? Ich dachte eher an eine VPN Verbindung
 
Ein VPN ist nicht unbedingt nötig, du kannst den Server ja auch so im Internet erreichbar machen. Wie sinnvoll das ist steht auf einem anderen Blatt.
Um einen Client der Domäne hinzuzufügen musst du nur in der Netzwerkkarte den Controller als DNS nutzen.

Wenn das deine Frage war ist sie damit beantwortet. Wenn du das wirklich vor hast: Lass es bitte! So macht man das nicht.
 
Masamune2 schrieb:
Ein VPN ist nicht unbedingt nötig, du kannst den Server ja auch so im Internet erreichbar machen.
Zum Vergrößern anklicken....

Das Problem dabei wäre, wenn du in den Zweigestellen keine feste IP Adresse hast (LTE Backup), müsstest du dann zwangsweise alle IP Adressen zulassen. Eine grössere Sicherheitslücke kann man sich nicht bauen.

Über VPN sehe ich hier aber kein Problem, wenn es aber eh nur um ein paar PC geht, würde ich sowieso stattdessen auf Azure AD zurückgreifen.
 
Masamune2 schrieb:
Ein VPN ist nicht unbedingt nötig, du kannst den Server ja auch so im Internet erreichbar machen. Wie sinnvoll das ist steht auf einem anderen Blatt.
Um einen Client der Domäne hinzuzufügen musst du nur in der Netzwerkkarte den Controller als DNS nutzen.

Wenn das deine Frage war ist sie damit beantwortet. Wenn du das wirklich vor hast: Lass es bitte! So macht man das nicht.
Zum Vergrößern anklicken....
Aber via VPN könnte man es machen :)
 
Das Problem dabei wäre, wenn du in den Zweigestellen keine feste IP Adresse hast (LTE Backup), müsstest du dann zwangsweise alle IP Adressen zulassen. Eine grössere Sicherheitslücke kann man sich nicht bauen.
Zum Vergrößern anklicken....
Richtig, daher sagte ich ja das es geht aber man das auf keinen Fall so macht.

Aber via VPN könnte man es machen :)
Zum Vergrößern anklicken....
Ja in dem Moment ist es ja nichts anderes mehr als ein Domaincontroller im lokalen LAN.
 
Masamune2 schrieb:
Richtig, daher sagte ich ja das es geht aber man das auf keinen Fall so macht.


Ja in dem Moment ist es ja nichts anderes mehr als ein Domaincontroller im lokalen LAN.
Zum Vergrößern anklicken....
Aber wie mach ich das genau ?
 
Hi,

das kommt darauf an, wo der v-Server gehostet wird und ob der Anbieter VPN-Tunnel anbietet. Wenn ja, dann einen entsprechenden Tunnel zum "Firmennetzwerk" einrichten.

Ansonsten kannst du auch direkt über den Windows Server eine VPN-Verbindung zum Gateway des "Firmennetzwerkes" aufbauen -> https://www.hosteurope.de/faq/server/windows-server/realisierung-vpn-windows/

Ich persönlich halte von der Windows VPN Lösung relativ wenig und würde auf dedizierte Hardware/Services setzen.
 
Da gibt es nicht die eine richtige Methode sondern viele Wege mit Vor- und Nachteilen.
Wenn der Hoster das anbietet könntest du einen zwei vServer anmieten der als Firewall/VPN Server dient und da deine Tunnel hin laufen lassen. Oder gleich einen physikalischen Server auf dem du selbst mehrere VMs betreiben kannst du diese Jobs übernehmen.
Es gäbe auch die Möglichkeit das direkt mit dem Windows Server zu machen, da bietet Windows einen klassischen IPSec Tunnel oder AnyVPN als Nachfolger von Direct Access.
 
@TE
hast du das jetzt schon umgesetzt?

Stehe vor der selben Idee: ein Bekannter hat 2 getrennte Werkstätten, da wurde (von jemand anderem) ca. 2013 in beiden Werkstätten ein DL380 (völlig übertrieben) installiert und eine Domain eingerichtet mit einmal 2011 SBS, einmal 2008 Standard. Er hat jedoch nie die VPN-Verbindung eingerichtet so dass sich beide Server seitdem nie wieder gesehen haben und der eine Standort sowieso nicht auf den Exchange zugreifen konnte.

Da die Kisten ja noch 2008 sind, und eigentlich beide mehr oder weniger überflüssig sind (eigentlich nur als DHCP, DNS, DC, WSUS und Printserver genutzt sowie eine läpprige Anwendung), hatte ich auch die Idee, den DC in eine Cloud zu schieben.

Mittlerweile haben beide Standorte halbwegs brauchbare Leitungen (glaube 1x 16Mbps DSL und einmal ca. 50) und eine FritzBox. WSUS ist meiner Meinung nach somit überflüssig, könnten sich die Kisten auch direkt von MS ziehen (einstellige Client-Zahl an beiden Standorten), VPN, DHCP und DNS sollen die FritzBoxen machen.

Somit müsste nur noch die eine Anwendung mit auf den virtuellen Server, Printserver würde ich weg lassen, geht auch ohne.

Wie ist da eure Meinung?

Eine Migration der beiden Server auf 2019 lohnt sich meiner Meinung nach nicht, Lizenzkosten zu hoch, Garantie haben sie auch keine mehr und als Rack-Geräte sind sie meiner Meinung nach sowieso völlig fehl am Platz.
 
Wozu dann noch nen eigenen AD betrieben? Azure AD wäre da wesentlich einfacher.
 
  • Gefällt mir
Reaktionen: xexex
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
CAL Lizenzen bei Domain Controller
Antworten
11
Aufrufe
1.656
nubi80
nubi80
K
Windows vServer mit Plesk?
Antworten
13
Aufrufe
2.184
[KoC]Marlboro
K
Haloman
NAS als DHCP, Domain Controller und Fileserver
2
Antworten
25
Aufrufe
4.418
redjack1000
R
tujay
Windows vServer für Hyper-V Annäherung!?
2
Antworten
39
Aufrufe
3.313
tujay
tujay
D
Domäne von Samba-Server als Domain Controller auf Windows Server migrieren
Antworten
7
Aufrufe
3.388
johnripper
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz