Domänencontroller auf vServer

  • Ist es sinnvoll einen Domänencontroller (für das Managen von Usern auf Windows Clients) auf einem vServer zu hosten? Wie kann ich den DC so abschotten, dass dieser nur eine Verbindung zu bestimmten Netzen hat (VPN)?

  • Hallo Georg,


    einen DC in einer VM zu betreiben, ist sicherlich sinnvoll. Aber ob es sinnvoll ist, einen DC bei Netcup zu betreiben, musst du dir vermutlich selbst beantworten.

    Falls deine User an verschiedenen Internetanschlüssen hängen, kann es durchaus sinnvoll sein.


    Bedenke allerdings, dass auf netcup-Servern hauptsächlich Linux Gastsysteme installiert und auch getestet werden. Könnte also sein, dass mit Windows nicht immer alles 100%ig glatt läuft.


    Die Windows Firewall unterscheidet zwischen drei Profilen: Domäne, Öffentlich, Privat.

    Es sollte funktionieren, dass du dein VPN dem Profil Domäne oder Privat zuordnest, und die entsprechenden Dienste dann nur für diese Gruppen erlaubst.


    Falls doch nicht, kannst du über die "Windows-Firewall mit erweiterter Sicherheit" gezielt IP-Adressen erlauben/blockieren.

    Ja - da gibt es viele Regeln und es erfordert einiges an Arbeit, die alle korrekt anzupassen. Aber zum gewünschten Ziel sollte es führen.


    Mehr Sicherheit kannst du erreichen, wenn du dir einen zweiten kleinen vServer holst, der als Firewall fungiert.

    Dazu brauchst du dann allerdings ein eigenes VLAN, welches 15 € pro Monat kostet: https://www.netcup.de/bestellen/produkt.php?produkt=911

    Es sollte möglich sein, dass du dann öffentlichen Zugriff auf deinen DC komplett sperrst und der Zugriff nur über die Firewall möglich ist - näheres kann dir bestimmt der Support mitteilen.

  • Technisch theoretisch zwar möglich, aber ich wüsste ad-hoc nicht wie du das auf einer bei NetCup gehosteten VM korrekt lizenzierst. Microsoft lizenziert keine VMs, sondern physisches Blech mit physischen CPUs bzw. Kernen. Ich würde für so ein Vorhaben daher einen Hoster wählen, der dir die Windows-Lizenz mitvermietet oder gleich in der Microsoft Azure Cloud hosten, dann brauchst Du Dich um die Lizenzierung nicht zu kümmern. Was das VPN angeht würde ich mich in Direct Access und Offline Domain Join einlesen.

  • Bitte bedenke, dass Du für ein VLAN auch für jeden Server ein dediziertes Netzwerkinterface brauchst: https://www.netcup.de/bestellen/produkt.php?produkt=1603

    Gibt es eigentlich irgendwo eine Anleitung von netcup die erklärt wie das VLAN funktioniert?

    Du kannst in einem VLAN alles machen, was Du möchtest. Genau so, als hättest Du die beteiligten Server über ein Netzwerkkabel miteinander verbunden.


    In einem anderen Thread habe ich dazu schon einmal etwas geschrieben: https://forum.netcup.de/admini…rver-verbinden/#post78284



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 () aus folgendem Grund: Produktlink getauscht: Dedizierte NIC » Virtuelle NIC (thx @sudo)

  • Inzwischen genügt allerdings nur für das VLAN stattdessen auch dieses Produkt je Server (es wird aber weiterhin einmal das VLAN-Produkt benötigt):

    https://www.netcup.de/bestellen/produkt.php?produkt=1603

    Danke für den Hinweis, ich habe meinen Link gleich einmal aktualisiert! :)


    netcup Wieso ist das nicht unter Hardware Erweiterungen aufgelistet? Das ist schade, wenn das potentielle Interessenten nicht kennen… ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Gerade hatte ich auch darüber gedacht...Aber für bisschen LAN-Verkehr zwischen

    zwei Root-Servern ist mir das auch zuviel pro Server.
    So komisch wie es klingt - eine PtP-OpenVPN Verbindung ist günstiger :)