Domänencontroller in Azure betreiben (2)

Neue Heimat

Der erste Teil dieser Workshopserie zeigte verschiedene Möglichkeiten, die Active-Directory-Domänendienste in Azure bereitzustellen. Schickt der Administrator Domänencontroller als Azure-VMs in das Exil eines Azure-AD-Standorts, gibt es einige Hürden, bevor sich der DC so richtig heimisch fühlt. Daher spendieren wir im zweiten und abschließenden Teil des Workshops dem Azure-Standort noch einen ADFS- und einen WAP-Server und richten diese hochverfügbar ein.
Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

Nachdem wir das virtuelle Netzwerk und auch das Gateway im ersten Teil dieses Workshops erstellt haben, wird es Zeit, dem Active Directory (AD) mitzuteilen, dass es in der Infrastruktur einen neuen Standort in Azure gibt. Die Standorttopologie ist in den AD-Domänendiensten ein zentraler Designaspekt [1]. Der Azure-AD-Standort verhält sich aus Sicht des Active Directory genauso wie jede andere Lokation im Unternehmen, an der Sie Domänencontroller platzieren. Das Erstellen der Objekte im Active Directory erledigen Sie über die Verwaltungskonsole "Active Directory-Standorte und -Dienste" (dssite.msc). Achten Sie darauf, dem Azure-Standortobjekt das korrekte Subnetz zuzuweisen – in unserem Fall "10.1.0.0/16". Es empfiehlt sich auch, die Topologie am Start zu haben, bevor Sie den DC aktivieren. Somit ist sichergestellt, dass der DC, basierend auf seiner IP-Adresse, direkt im Azure-AD-Standort landet.

Werden später Mitgliedsserver in Azure installiert und der Domäne "kbcorp.de" hinzugefügt, ermittelt der DC-Locator-Prozess auf dem jeweiligen Server den nahegelegensten Domänencontroller, hier "Azure-DC1", und verwendet ihn als Anmeldeserver. Somit ist sichergestellt, dass die AD-Kommunikation mit Azure-DC1 erfolgt. Und Azure-DC1 wiederum repliziert mit dem DC1 des lokalen Rechenzentrums. In unserem Beispiel ist die gesamte AD-Topologie übersichtlich, besteht diese doch lediglich aus zwei Standorten. Bild 1 zeigt alle relevanten AD-Objekte.

Server in Betrieb nehmen

Netzwerkadapter von Server-VMs in Azure werden immer "automatisch" konfiguriert und nicht statisch, wie bei Servern sonst üblich. Hierzu dienen in Azure die Eigenschaften des Netzwerkadapterobjektes beziehungsweise die Liste der DNS-Server aus den Einstellungen des virtuellen Netzwerks. Beides wird zu den betroffenen Servern publiziert. Ob die Server-VM auf diese Weise den

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020