Implementieren und konfigurieren Sie Domain Controller Best Practices

IT-Administratoren arbeiten seit der Einführung der Technologie in Windows 2000 Server mit und um Active Directory herum. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, aber viele Administratoren begannen bereits Ende 1999 mit Active Directory zu arbeiten, als es am 15. Dezember 1999 zur Herstellung freigegeben wurde (RTM).

Es gibt einige gute Praktiken, an die man sich halten sollte, wenn man DCs einsetzt. Viele dieser Praktiken sind dokumentiert. Aber nicht viele Organisationen setzen diese Praktiken um.

Wie man einen Domain Controller einrichtet und konfiguriert

Wir werden die allgemein bekannten Best Practices überspringen, wie das Halten der Active Directory database auf einem Satz von Festplattenspindeln, die Protokolldateien auf separaten Festplattenspindeln und das Betriebssystem auf seinem eigenen Satz von Festplattenspindeln.

Einige der weniger umgesetzten bewährten Methoden für Domänencontroller sind:

Führen Sie die Server Core-Installation des Betriebssystems aus.

Viele Administratoren scheuen Veränderungen, besonders bei Systemen wie AD DS, die unglaublich stabil sind. Wenn also ein neuer Administrator vorschlägt, auf die Server Core-Installation umzusteigen, wird er oft mit eisigen Blicken konfrontiert. Aber die Realität ist, dass die meisten Administratoren AD DS aus der Ferne verwalten, indem sie ADUC oder PowerShell auf ihrem Client- oder Administrationscomputer starten. Alle zentralen Verwaltungstools, einschließlich des Active Directory Administrative Center (ADAC) und Windows PowerShell, funktionieren fast identisch, egal ob sie lokal auf einem DC oder aus der Ferne von einem Client-Computer oder einem Administrationscomputer verwendet werden. Indem man also zur Server Core-Installation wechselt, wird das administrative Erlebnis nicht beeinträchtigt. Und man gewinnt Sicherheitsverbesserungen und einige kleine Leistungsverbesserungen.

Führen Sie keine andere Software oder Dienste auf einem DC aus.

Früher, vor etwa 10 Jahren, verwendeten die meisten Organisationen physische Server, da die Virtualisierung noch in den Kinderschuhen steckte. Wenn also ein neuer Dateiserver, DHCP-Server oder Druckerserver bereitgestellt werden sollte, griffen Administratoren oft auf einen bestehenden Server zurück. Häufig wurde auch ein DC verwendet. Springen wir vorwärts ins Jahr 2015, als Virtualisierung der de facto Standard war und automatisierte Bereitstellung es ermöglichte, innerhalb von Minuten eine neue VM zu liefern, und die alte Vorgehensweise nicht mehr so überzeugend war. Jetzt, wenn Sie einen Platz für einen Dateiserver, DHCP-Server, Druckerserver oder einen anderen Anwendungsserver benötigen, können Sie eine neue VM bereitstellen. Oder besser noch, Sie können eine neue VM als Utility-Server bereitstellen. Ein Utility-Server ist ein Server, der alle Anwendungen und Dienste hostet, die zu klein sind, um einen dedizierten Server zu rechtfertigen. Dies ermöglicht Ihren DCs, sich auf einen dedizierten Dienst zu konzentrieren, was mehr Stabilität bringt.

Passen Sie die Startreihenfolge an und setzen Sie ein BIOS-Passwort.

Während alle Ihre Lese-Schreib-DCs in einem sicheren Rechenzentrum sein sollten, gibt es viele IT- und Nicht-IT-Personen, die Zugang zum Rechenzentrum haben. Zum Beispiel haben die beauftragten Elektriker, die an der Kühlanlage arbeiten, Zugang zum Rechenzentrum. Darüber hinaus gibt es wahrscheinlich Netzwerktechniker, Kabeltechniker und IT-Management mit Zugang zum Rechenzentrum. Jeder, der physischen Zugang zu einem DC hat, kann innerhalb von nur ein paar Minuten an einer Konsole im Rechenzentrum Zugang zu einem physischen DC erlangen. Es gibt spezialisierte Freeware-Boot-Images, die Sie verwenden können, um zu booten und Passwörter zurückzusetzen, Malware zu installieren oder auf die Festplattendaten zuzugreifen, vorausgesetzt, die Festplatte ist nicht verschlüsselt. Um dies zu vermeiden, führen Sie die folgenden Konfigurationen durch:

• Stellen Sie sicher, dass alle Wechselmedien nicht Teil der BIOS-Startreihenfolge sind. Stattdessen sollte nur die Festplatte, auf der das Betriebssystem installiert ist, Teil der Startreihenfolge sein. Dies gilt auch für Ihre Virtualisierungshostserver, falls Sie virtuelle DCs haben.
• Legen Sie ein starkes BIOS-Passwort fest. Wenn Sie kein BIOS-Passwort setzen, kann jemand die Boot-Reihenfolge ändern, von den Installationsmedien des Windows Servers oder vielen Freeware-Toolkits booten, eine Reparatur durchführen, um eine Eingabeaufforderung zu erhalten. Einmal an der Eingabeaufforderung, können sie einige Verwüstungen anrichten und schnell Passwörter für Domänenkonten zurücksetzen.
• Bewahren Sie die DCs in einem verschlossenen Schrank auf. Ein BIOS-Passwort ist zwar eine Sicherheitsebene, aber wenn der Angreifer halbwegs fähig ist, wird er oder sie wahrscheinlich wissen, wie man das BIOS zurücksetzt, sodass die Konfiguration zurückgesetzt wird und das Passwort entfernt ist. Oft erfordert dies Zugang zur Hauptplatine. Sie können das Risiko eines solchen Angriffs verringern, indem Sie DCs in einem verschlossenen Schrank aufbewahren. Einige Server ermöglichen auch Gehäuseschlösser. In hochsicheren Umgebungen sollten Sie sich für beides entscheiden.

Standardisieren Sie die Konfiguration aller Domänencontroller.

Sie sollten versuchen, die Konfigurationseinstellungen für jeden DC abzugleichen. Einiges davon können Sie mit Build-Automatisierung durch Deployment-Tools wie System Center Configuration Manager erreichen. Interessante Punkte für DCs sind die Einstellungen der Ereignisprotokollgröße, um sicherzustellen, dass Sie große Größen haben, um Auditing- und sicherheitsrelevante Informationen zu erfassen, Boot-Einstellungen wie die Wartezeit auf die Betriebssystemauswahl auf physischen Servern, Firmware- und BIOS-Versionen und -Einstellungen sowie Hardwarekonfiguration. Natürlich gibt es viele andere Konfigurationselemente, die durch die Verwendung von Group Policy standardisiert werden können. Das Hauptziel ist es, die DCs identisch zu konfigurieren.

Weitere Informationen zu den Grundlagen von Active Directory finden Sie in unserem AD tutorial for beginners.