Multi-Role Domain Controller

[_n4p_]

Da das Thema grad in nem anderen Thread aufkam und ich dogmatische Aussagen total mag ..  

vor 47 Minuten schrieb Maniska:

Auch in einer Testumgebung: Ein DC ist ein DC ist ein DC, der hat nichts anderes zu tun als AD und DNS zu spielen, über DHCP kann man streiten, aber mehr hat darauf nicht zu laufen!

Warum ist das so?

Ein wenig Google fördert Argumente wie Performance, "Best Practice" zu tage. Die Argumente sind dann aber auch meistens schon staubig (also so 2011 und älter). Und damals hat Microsoft selbst die Best Practice mit dem SBS "igoriert". Klar war damals Performance ein deutliches Argument, aber selbst der 8 Jahre alte Server langweilt sich (ok wir haben auch wenig Mitarbeiter).
 

Die Frage wäre also: was spricht denn tatsächlich dagegen? 

[Chief Wiggum]

Mein Stand ist, dass man sich an einem DC nur mit Domadmin-Berechtigungen anmelden darf - und den Domadmin sollte man wirklich nur für die ganz wichtigen Sachen vorholen.

Alle anderen Memberserver-Services kann man mit "niedrigeren" Adminrechten bearbeiten. Je weniger Rechte ein Adminaccount hat desto sicherer ist das Gesamtkonstrukt.

[Maniska]

vor 14 Stunden schrieb Chief Wiggum:

Mein Stand ist, dass man sich an einem DC nur mit Domadmin-Berechtigungen anmelden darf - und den Domadmin sollte man wirklich nur für die ganz wichtigen Sachen vorholen.

Zum einen das, zum anderen - so wurde es mir zumindest beigebracht - wird ein System mit der Anzahl der Aufgaben die es bewältigen soll immer "instabiler" bzw "anfälliger". Natürlich kann man es anders machen, technisch ist das durchaus möglich, nur ob es klug ist das zu tun ist eine andere Frage.

Wenn ich meinen Server "EierlegendeWollmilchSau01" nun wegen $UnwichtigerDienstXY neu starten muss und dabei mein DC auch mit weg ist, ist das im besten Fall nur blöd, im schlimmsten Fall zerbröselt es den DC. Ich hatte es schon mal, dass ein virtueller DC Server 2012) nach den Windowsupdates nicht mehr hoch kam und komplett am A..llerwertesten war.

Wenn ich mich richtig erinnere war der SBS auch in der Hinsicht ein "Highlander" oder? Sprich, es konnte im Netzwerk nur einen geben. Das der dann Eierlegendewollmichsau spielen musste war dann halt so.

 

[_n4p_]

Also mein Admin ist nur Mitglied der Administratoren auf dem DC aber nicht in der Domadmin Gruppe und kann sich trotzdem anmelden.

Den SBS hatte ich nur angesprochen, weil MS da selbst ganz offensichtlich von der "Best Practice" abgewichen ist. 
Ich wollte auch keine "EierlegendeWollmilchSau01". Natürlich ist es eine relativ schlechte Idee alle Dienste auf einen Server zu werfen. Aber zwischen: "Auf einem DC nur AD, DNS und maximal DHCP" und "auf meinem DC mache ich einfach alles" ist halt viel Spielraum. Mich interessiert halt an der Stelle ob es wichtige technische Gründe für "ein DC ist nur ein DC" gibt, oder ob man die Hardware nicht etwas mehr ausnutzen kann. 

[Maniska]

Alos was es auf einem DC definitiv nicht gibt ist das "normale" lokale Adminkonto, also .\Administrator, der wird afaik deaktiviert sobald der DC zum DC hochgestuft wird.

Technische Gründe außer "DAS zentrale System wird nicht zugemüllt" kann dir leider auch nicht nennen. Ich hab es so gelernt, die Argumente "warum nicht" waren schlüssig (und sind es mMn noch heute), der Hersteller bezeichnet es noch immer als "Best Practice"...

In Zeiten der Virtualisierung sollte die Hardwareauslastung aber kein großes Problem sein, selbst mit der Standardedition von Windows Server darf ich auf der Hardware mit HyperV virtualisieren und 2 VMs laufen lassen. Also einen schlanken DC und ein Arbeitstier. Da der letzte SBS ist soweit ich weiß auch schon außer Wartung, und Essentials bietet wohl deutlich weniger Features als es der SBS getan hat. Da bin ich aber raus, unter "Standard" hab ich mich nie mit den Lizenzmodellen beschäftigt.

[_n4p_]

vor 30 Minuten schrieb Maniska:

Alos was es auf einem DC definitiv nicht gibt ist das "normale" lokale Adminkonto, also .\Administrator, der wird afaik deaktiviert sobald der DC zum DC hochgestuft wird.

Ja. Aber es gibt die Gruppe Administratoren und eine Gruppe Domänen-Admins

vor 45 Minuten schrieb Maniska:

In Zeiten der Virtualisierung sollte die Hardwareauslastung aber kein großes Problem sein

Da gab es aber auch mal die Empfehlung einen der DCs nicht zu virtualisieren. Irgendwie hatte sich die Idee festgesetzt.

[Maniska]

vor 3 Minuten schrieb _n4p_:

Ja. Aber es gibt die Gruppe Administratoren und eine Gruppe Domänen-Admins

I Know

Ich glaube aber irgendwo mal was auf geschnappt zu haben dass auf einem DC "lokaler Admin" < "Konto mit DomAdmin Rechten" < "domain/administrator", also dass dort sehr genau geschaut wird wer woher welche Rechte hat. Ist aber wie gesagt nur Hörensagen und kann auch kompletter Mist sein.

vor 10 Minuten schrieb _n4p_:

Da gab es aber auch mal die Empfehlung einen der DCs nicht zu virtualisieren. Irgendwie hatte sich die Idee festgesetzt.

Jup, daran habe ich mich auch jahrelang gehalten, beim letzten Hardwaretauschmeinte der DL allerdings das sei nicht mehr notwendig, vor allem da wir auch DCs in Niederlassungen haben, von denen man im Zweifel replizieren könnte.

Aber ja, vielleicht ist das dogmatische "macht man nicht" nicht mehr zeitgemäß. Andererseits schadet es wahrscheinlich auch nicht, es weiter so zu handhaben.