AD-Connector in kleinen Umgebungen

german
windows
ssl
ad-connection

#1

Hallo zusammen,

ich habe ein Frage zum AD-Connector bzw. der im Handbuch beschriebenen verschlüsselten Verbindung des Selbigen. Ich möchte diesen in einer kleinen Umgebung ohne verteilte Standorte einrichten. Die beiden Server stehen also physisch nebeneinander.
Für den externen Zugriff auf das Netzwerk wird ausschließlich OpenVPN benutzt.
Kann ich mir in diesem Fall die Einrichtung der Zertifizierungsstelle und das anschließende verschlüsseln der AD-Verbindung nicht sparen?

Viele Grüße
Sven


#2

Nur dann, wenn Sie all Ihren lokalen Benutzern absolut vertrauen. Auch in einem rein lokalen Netz ist des dank ARP spoofing problemlos möglich, Verkehr für einen anderen Rechner zu belauschen und somit sämtlichen unverschlüsselten Verkehr zu und von ihm zu lesen.

Meine Maxime ist: immer Verschlüsselung. Auch in lokalen Netzen.


#3

Ok, verschlüsselt habe ich die Verbindung. Sonst funktioniert alles soweit. Ein (hoffentlich) letzte Frage:

ADS und DNS laufen auf dem ja auf dem Win2012. Der UCS-Master ist mittels Connector angebunden bzw. syncronisiert bidirektional.

Der DHCP-Server ist nun der letzte verbleibende Dienst der auf dem alten Server (Debian8) noch läuft und migriert werden muss. Wo ist der in dieser Umgebung am besten aufgehoben? Am Windows-Server oder am UCS.

Wie ich ihn aufsetze weiß ich. Ich frage deshalb weil ich bei DNS die Info bekam “besser am ADS”. Oder ist dies in dem Fall egal?

Bisher hatte ich UCS als alleinige Server. Da habe ich alle Rechner/Geräte einfach am UCS mit ihrer MAC eingetragen und gut.

Nun sind die Clients vom Win-Admin bereits im ADS angelegt da sie ja in der Domäne sind. Hier sind sie jedoch ohne MAC-Adresse angelegt und haben vom alten DHCP irgendeine IP.

Im UCS werden sie auch unter Rechner angezeigt. Gibt es nun eine Möglichkeit den DHCP auf dem UCS so einzurichten dass jeder Client einfach wieder eine IP bekommt? Oder müsste ich dann jede Client-IP ermitteln und mit der MAC zusammen eintragen?

Viele Grüße
Sven


#4

Moin,

DHCP ist deutlich unkritischer als DNS. Das kann ein Windows-AD-Controller sein, der UCS oder auch andere Geräte wie z.B. ein Router. Sinnvoll ist das, was am wenigsten Arbeit macht und später in der Administration auch am einfachsten gepflegt wird. Daher würde ich zum Windows-AD-DC tendieren. Wenn’s aber nicht zu viele Clients sind, dann kann man die auch UCS-seitig eintragen.

Letzteres. Damit Clients via DHCP eine feste IP bekommen, müssen sie in der UMC sowohl eine MAC- als auch eine IP-Adresse zugewiesen bekommen haben — und es muss zusätzlich den statischen DHCP-Eintrag geben (alle drei Sachen auf dem Haupt-Tab eines Rechner-Objektes in der UMC).

LG,
mosu