:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Domänencontroller-Redundanz unter Windows Server 2016 Active Directory erweitern und hochverfügbar betreiben
Auch beim Einsatz von Windows Server 2016 als Domänencontroller sollten Unternehmen für eine gewisse Hochverfügbarkeit sorgen. Zusätzliche Domänencontroller entlasten sich gegenseitig und mit schreibgeschützten Domänencontroller lassen sich Niederlassungen und kleine Büros sicher anbinden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Als zusätzliche Domänencontroller eignen sich auch Core-Installationen von Windows Server 2016. Diese bieten zwar keine grafische Oberfläche, dafür aber mehr Sicherheit und Leistung. In der Bildergalerie zu diesem Artikel zeigen wir die Installation und Einrichtung eines zusätzlichen Domänencontrollers auf Basis eines Core-Servers mit Windows Server 2016.
Der neue Nano-Server in Windows Server 2016 kann zwar als Mitglied in eine Domäne aufgenommen werden, unterstützt selbst die Domänencontroller-Rolle aber noch nicht. Dies kann sich in Zukunft aber ändern, denn Microsofts selbst sagt zu diesem Thema: „Nano Server doesn't support the DC role yet.“
:quality(80)/images.vogel.de/vogelonline/bdb/1139100/1139114/original.jpg "Core-Server lassen sich schnell und einfach in eine Domäne aufnehmen. Danach kann der Server zu einem Domänencontroller heraufgestuft werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1139100/1139110/original.jpg "Vor der Aufnahme eines Domänencontrollers sollten Namensauflösung und Netzwerkverbindung getestet werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1139100/1139112/original.jpg "Die Netzwerkeinstellungen auf Core-Servern lassen sich auch in der PowerShell konfigurieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1139100/1139113/original.jpg "Active Directory wird auf Core-Servern mit der PowerShell installiert und eingerichtet.")
Core-Server als Domänencontroller betreiben – Vorbereitung
Um einen Core-Server als Domänencontroller zu betreiben, sollte der Server zunächst als Mitgliedsserver in die Domäne aufgenommen werden. Das stellt sicher, dass später auch die Installation von Active Directory auf dem Server funktioniert. Am einfachsten ist die Konfiguration über das Tool „Sconfig“ vorzunehmen (siehe Abbildung 1). Über den Menüpunkt „8) Netzwerkeinstell.“ wird der Server zunächst an das Netzwerk angebunden. Hier müssen die IP-Adressen, das Subnetz und die DNS-Server angegeben und konfiguriert werden (siehe Abbildung 2).
Nachdem die IP-Adresskonfiguration vorgenommen wurde, sollte der Core-Server seinen neuen Namen über Sconfig erhalten. Das kann zwar auch beim Domänenbeitritt erledigt werden, es schadet aber auch nicht, diese Konfiguration vorher vorzunehmen. Nach einem Neustart lässt sich der Server dann als herkömmlicher Mitgliedsserver an die Domäne anbinden (siehe Abbildung 3). Nach einem Neustart ist der Server Mitglied der Domäne. Auf einem Domänencontroller kann das über das Snap-In „Active Directory-Benutzer und -Computer“ getestet werden. Die Domänenmitgliedschaft zeigt der Core-Server aber auch über „Sconfig“ an.
Mit „nslookup“ sollte die Namensauflösung getestet werden (siehe Abbildung 4). Die anderen Domänencontroller sollten den Core-Server auflösen können und umgekehrt. Auch die Kontaktaufnahme per Ping sollte getestet werden.
Vorbereitungen in der PowerShell durchführen
Wer die Vorbereitungen zur Installation eines Domänencontrollers nicht mit „Sconfig“, sondern über die PowerShell vornehmen will, startet mit dem Befehl „powershell“ aus der Eingabeaufforderung des Servers heraus eine PowerShell-Sitzung. Mit „Get-NetAdapter“ lassen sich Informationen zum Netzwerkadapter des Servers auslesen. Die Informationen werden dazu verwendet, um die IP-Einstellungen zu setzen, zum Beispiel mit folgendem Befehl:
New-NetIPAddress -IPAddress 192.168.178.230 -InterfaceAlias "Ethernet" -DefaultGateway 192.168.178.1 -AddressFamily IPv4 -PrefixLength 24Die DNS-Einstellungen werden mit folgendem CMDlet gesetzt:
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("192.168.178.220","192.168.178.230")
Active Directory auf dem Core-Server installieren und einrichten
Nachdem der Server generell funktioniert, werden die notwendigen Funktionen für Active Directory installiert:
Install-WindowsFeature AD-Domain-Services -IncludeManagementToolsDie erfolgreiche Installation wird in der PowerShell angezeigt (siehe Abbildung 5). Anschließend wird Active Directory eingerichtet, und der Server mit der vorhandenen Domäne verbunden. In diesem Beispiel ist der DNS-Name der Domäne „Joos.int“. Der Befehl installiert auch einen DNS-Server auf dem Domänencontroller (siehe Abbildung 6). Die Daten werden über Active Directory automatisch repliziert:
Install-ADDSDomainController -DomainName joos.int -InstallDNS:$True -Credential (Get-Credential) -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)Abschlusskonfiguration und erste Tests
Sobald der Server neu gestartet ist, wird er als Domänencontroller angezeigt. Das ist über das Snap-In „Active Directory-Benutzer und -Computer“ zu sehen. Außerdem sollte im Snap-In „Active Directory-Standorte und -Dienste“ eine Replikationsverbindung zwischen einem Domänencontroller und dem neuen Domänencontroller angezeigt werden. Über das Kontextmenü kann hier dann auch eine manuelle Replikation gestartet werden. Diese sollte keine Fehlermeldungen anzeigen.
Auch die DNS-Verwaltung sollte überprüft werden. Dazu kann der Core-Server über das Netzwerk an die DNS-Verwaltung auf einem anderen Server oder einer Arbeitsstation angebunden werden. Für Windows 10 stellt Microsoft in diesem Fall die Remoteserver-Verwaltungstools zur Verfügung. Wichtig ist, dass die Zone für das Active Directory in das Active Directory integriert ist und damit durch die Replikation in Active Directory auf neue Server verteilt wird. Die IP-Adresse des Core-Servers kann dann auch als DNS-Server auf den Clients und anderen Arbeitsstationen verwendet werden.
Um die Verbindung mit Active Directory zu verifizieren, sollten auf dem Core-Server folgende Befehle ausgeführt werden. Die Domäne lautet in diesen Beispielen wieder „joos.int“ (siehe Abbildung 7):
Nltest /dsgetsite
Nltest /dclist:Joos
Repadmin /showreps
Dcdiag
(ID:44443681)
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")