Active Directory meerdere locaties

dinsdag 21 mei 2019 10:28

Acties:

Topicstarter

Ik ben op zoek naar een oplossing voor een zorg MKB bedrijf met meerdere locaties (~ 15 locaties). Elke locatie heeft nu zijn eigen Active Directory Server met een beperkt aantal gebruikers die binnen die locatie werken (~ 10). Op de locaties worden voornamelijk desktop PC's gebruikt en een enkele medewerker gebruikt een laptop.

Sommige medewerkers reizen van locatie naar locatie waardoor zij te maken hebben met verschillende inlogcodes op de locatie waar zij inloggen. Daarnaast wanneer we een Group policy willen uitrollen moet dit op alle 15 AD servers een voor een gedaan worden.

Ik ben me aan het oriënteren om een globale opzet te maken waarbij medewerkers 1 inlog kunnen hanteren die op alle locaties werkt. Al snel stuitte ik op Azure Active Directory maar kwam erachter dat Azure AD geen mogelijkheid heeft om een group policy beleid uit te rollen over je devices. Azure AD biedt wel een erg mooie SSO functioniteit die we momenteel niet hebben naar bedrijfsapplicaties toe. (ook daarvoor hanteren we weer aparte logins)

Het liefst koppel ik de locaties aan elkaar zodat we een grote Active Directory hebben. Ik had het volgende bedacht:

Datacenter
1x Windows Server 2019 Active Directory met DirSync naar Azure Active Directory
1x PFsense Firewall voor VPN

Elke locatie heeft een VPN naar het datacenter toe
Op elke locatie zetten we de huidige Active Directory om naar nieuwe domein. De op locatie staande Active Directory repliceert met de AD in het datacenter. Bedrijfsapplicaties kunnen middels SSO worden geïntegreerd met Azure AD zodat medewerkers maar 1 inlog hebben voor alle applicaties.

dinsdag 21 mei 2019 10:47

Acties:

MAX3400

XBL: OctagonQontrol

InTune?

Is het wel 1 bedrijf maar met 15 "Active Directories"? Waarom niet alles centraal consolideren, 15 sites aanmaken en op elke fysieke locatie een RODC neerzetten?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 21 mei 2019 10:48

Acties:

tweakict

Wat ga je doen als de locatie (internet) down gaat en dus geen active Active sync is? Wellicht verstandiger om read-only DC's op locatie te plaatsen (security technisch is dit ook verstandiger bij ontbreken van een dedicated serverruimte per locatie ivm inbraakrisico en dus dataverlies)

Denk daarna aan redundantie binnen je DC. Dit is je hart. Dus minimaal 2 x DC + firewalls.

Zijn de applicaties uberhaubt geschikt voor SSO? Denk er niet te gemakkelijk over.. en maak een Proof of Concept opstelling en test dit met gebruikers. Dit creëert ook draagvlak binnen de organisatie.

Wat voor garanties geef je aan de VPN? Want dit is kritisch voor AD replicatie. Wellicht verstandiger om naar hardware firewalls te gaan, van bijvoorbeeld Fortinet.

[ Voor 40% gewijzigd door tweakict op 21-05-2019 10:54 ]

dinsdag 21 mei 2019 10:50

Acties:

zonderbloem

Topicstarter

MAX3400 schreef op dinsdag 21 mei 2019 @ 10:47:
InTune?

Is het wel 1 bedrijf maar met 15 "Active Directories"? Waarom niet alles centraal consolideren, 15 sites aanmaken en op elke fysieke locatie een RODC neerzetten?

Ja 1 bedrijf met 15 verschillende AD servers. We hebben geprobeerd om te werken met RDP sessies naar het datacenter toe zodat daar alles centraal staat. Maar op locatie wordt gewerkt met Echo apparatuur die specifiek op Windows 10 (serial port) moet draaien anders verleent de fabrikant geen support.

[ Voor 4% gewijzigd door zonderbloem op 21-05-2019 10:55 ]

dinsdag 21 mei 2019 10:52

Acties:

MAX3400

XBL: OctagonQontrol

zonderbloem schreef op dinsdag 21 mei 2019 @ 10:50:
[...]

Ja 1 bedrijf met 15 verschillende AD servers. We hebben geprobeerd om te consolideren tot RDP sessies naar het datacenter toe.

Ik zie niet hoe AD en RDP direct aan elkaar gelieerd zijn?

Maar op locatie wordt gewerkt met Echo apparatuur die specifiek op Windows 10 (serial port) moet draaien anders verleent de fabrikant geen support.

Ik zie nog steeds niet waarom dat 15 AD's oplevert?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 21 mei 2019 10:53

Acties:

Rolfie

Is het wel 1 bedrijf maar met 15 "Active Directories"? Waarom niet alles centraal consolideren, 15 sites aanmaken en op elke fysieke locatie een RODC neerzetten?

Eigenlijk de oplossing, en (Basis) AD configuratie.
Hiermee kan je eigenlijk alles inrichten.
Op basis van IP ranges / Sites kan je eventueel specifieke locatie gebonden dingen uitdelen (drive mappings / printers)

dinsdag 21 mei 2019 10:54

Acties:

Verwijderd

tweakict schreef op dinsdag 21 mei 2019 @ 10:48:
Wat ga je doen als de locatie (internet) down gaat en dus geen active Active sync is? Wellicht verstandiger om read-only DC's op locatie te plaatsen (security technisch is dit ook verstandiger bij ontbreken van een dedicated serverruimte)

Denk daarna aan redundantie binnen je DC. Dit is je hart. Dus minimaal 2 x DC + firewalls.

Zijn de applicaties uberhaubt geschikt voor SSO? Denk er niet te gemakkelijk over.. en maak een Proof of Concept opstelling en test dit met gebruikers. Dit creëert ook draagvlak binnen de organisatie.

Wat voor garanties geef je aan de VPN? Want dit is kritisch voor AD replicatie. Wellicht verstandiger om naar hardware firewalls te gaan, van bijvoorbeeld Fortinet.

Daarom een back-up verbinding regelen.

1x ergens een DC en verbinden via VPN tunnel per locatie lijkt mij een prachtige oplossing. Voor een klant van mij heb ik een zelfde setup en dat werkt geweldig.

dinsdag 21 mei 2019 10:59

Acties:

Verwijderd

MKB.. tja.. ik zou zeggen douw alles in O365 met evt Intune. Je gaat toch nu geen eigen infra meer optuigen? Beetje ambachtelijk niet?

dinsdag 21 mei 2019 11:00

Acties:

Vorkie

MAX3400 schreef op dinsdag 21 mei 2019 @ 10:47:
InTune?

Is het wel 1 bedrijf maar met 15 "Active Directories"? Waarom niet alles centraal consolideren, 15 sites aanmaken en op elke fysieke locatie een RODC neerzetten?

Inderdaad, InTune als je alles naar Azure gooit.

Consolideren, eerder een basis AD infrastructuur opbouwen, wat er nu staat is echt, tja, kies een woord.

1 AD forest + 1 AD site per locatie, SSO kan je ook koppelen aan de OnPrem met ADFS, GPO's zijn dan centraal. Locaties alsnog koppelen met Site2Site VPN's, wel een lokale AD (FSMO of gewoon) houden per locatie voor logon cache bij uitval AD server en redundantie.

Gebruikers kunnen overal inloggen met de AD credentials, ook is het in de zorg soms wenselijker dat er geen SSO is, als deze er wel is dien je wel 2FA erbij te implementeren ivm veiligheid.

Zorgsector heeft ook allerlei vereisten qua dataveiligheid, vergeet deze niet mee te nemen in je complete redesign van je project (het is geen RFCtje...) betrek de business erbij, budgetten en zorg dat je alles in een projectplan gooit met wat je gaat opleveren en wat je niet gaat doen.

Verder is het een aardige casus, maar jij wordt betaald voor deze opdracht en het voelt nogal raar als hier op Tweakers je werk wordt voorgekauwd? Iedereen moet leren, maar dit is niet een opdrachtje van "even"

woensdag 22 mei 2019 10:42

Acties:

ElCondor

Geluk is Onmisbaar

Ik zou ook nog even het onderdeel AD configuration voor MSITP goed doornemen. Daar zou je eigenlijk alle vraagstukken voor het inrichten en consolideren van je AD tegen moeten komen.
Je kunt twee dingen doen:
Een hele nieuwe centrale AD inrichten (al dan niet op Azure). RODC's uitrollen op de verschillende locaties en dan ben je klaar.
Of een centrale AD opzetten en de bestaande AD's als child domains/trusted domains opnemen. Dit geeft je echter zo veel hassle, dat het eigenlijk niet de moeite waard is.

Gewoon lekker voor optie 1 gaan.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 22 mei 2019 11:18

Acties:

anboni

Verwijderd schreef op dinsdag 21 mei 2019 @ 10:59:
MKB.. tja.. ik zou zeggen douw alles in O365 met evt Intune. Je gaat toch nu geen eigen infra meer optuigen? Beetje ambachtelijk niet?

"naar de cloud" is nooit het antwoord. Hooguit kan het een hulpmiddel zijn, als onderdeel van een groter plaatje. Zogauw bedrijven iets meer doen dan alleen office IT, is eigen infra gewoon het beste.

woensdag 22 mei 2019 11:27

Acties:

Rolfie

anboni schreef op woensdag 22 mei 2019 @ 11:18:
[...]

"naar de cloud" is nooit het antwoord. Hooguit kan het een hulpmiddel zijn, als onderdeel van een groter plaatje. Zogauw bedrijven iets meer doen dan alleen office IT, is eigen infra gewoon het beste.

Mee eens. Juist voor dit soort klanten is een on-prem omgeving veel gemakkelijker. Office / Exchange kan je vrij gemakkelijk in de cloud afnemen, maar voor de rest hoeft dit zeker niet zo te zijn. Dit is zeer gemakkelijk met een goede om-prem AD op te lossen, zonder complexiteit van Azure. Nog afgezien de kosten waarschijnlijk van Azure veel hoger zullen zijn (maar wel extra flexibiliteit kunnen bieden).

Voor fileshares is er eigenlijk geen goede oplossing. Er is wel wat, maar eisen eigenlijk een hele andere manier van werken, wat bij kleine bedrijven eigenlijk niet werkt.

Om zomaar even te roepen om alles in de cloud te gooien, laat eigenlijk zien, dat je niet weet waarover je praat of wat een klant nodig heeft. Ambachtelijk is juist vaak een betere oplossing, dan de wolken.

Het kan inderdaad een hulp middel zijn, maar is vaak geen "oplossing" voor al je problemen.

woensdag 22 mei 2019 12:52

Acties:

Verwijderd

Rolfie schreef op woensdag 22 mei 2019 @ 11:27:
[...]

Om zomaar even te roepen om alles in de cloud te gooien, laat eigenlijk zien, dat je niet weet waarover je praat of wat een klant nodig heeft. Ambachtelijk is juist vaak een betere oplossing, dan de wolken.

Ah we gaan op die toer.. ok.. Dat ik een kort antwoord geef zegt helemaal niks. 15 jaar ervaring in Enterprise infra, design, implementatie, migratie, etc. Hoezo ik weet niet waar ik over praat?
Tuurlijk heb je altijd on prem infra. Ontkom je niet aan. De business case voor mkb bedrijven om onprem te doen is vast wel ergens, maar hij is flinterdun en/of zeldzaam. En om dan even op jouw toer verder te gaan, als jij die business case vaak vindt, dan weet je waarschijnlijk niet waar je over praat.

En verder, als je op een forum moet vragen hoe het moet, stop maar. Wordt niks, huur een integrator in met kennis van zaken. 15 forests/domains zegt al genoeg eigenlijk.

woensdag 22 mei 2019 13:07

Acties:

Verwijderd

anboni schreef op woensdag 22 mei 2019 @ 11:18:
[...]

"naar de cloud" is nooit het antwoord. Hooguit kan het een hulpmiddel zijn, als onderdeel van een groter plaatje. Zogauw bedrijven iets meer doen dan alleen office IT, is eigen infra gewoon het beste.

Mha er wordt amper wat bijzonders besproken door TS en alhoewel een heleboel mensen op tweakers roepen dat on prem heilig is, zie ik vanuit eigen perspectief alle on prem servers keihard eruit getrapt worden. Er zijn zo veel applicaties die prima direct bij een leverancier draaien i.p.v. op eigen hardware. Ik snap zijn punt wel.

Juist voor MKB zie ik alleen maar meer mogelijkheden om van lokaal af te stappen.

woensdag 22 mei 2019 14:20

Acties:

MAX3400

XBL: OctagonQontrol

Verwijderd schreef op woensdag 22 mei 2019 @ 13:07:
[...]
Juist voor MKB zie ik alleen maar meer mogelijkheden om van lokaal af te stappen.

Alles staat of valt met een technisch & logisch onderbouwd design. En natuurlijk de toegang / uptime naar/van bepaalde systemen.

Er is geen MKB wat 15 "losse" AD's nodig heeft dus als we dat eerst opgelost krijgen, kan later eventueeeel de migratie van/naar on-prem/hybrid/off-site bekeken worden.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 22 mei 2019 21:24

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ook nog een optie:

Alles centraliseren en clients via DirectAccess secure laten verbinden op je interne lan. Voor die paar gebruikers per lokatie is een lokale DC overkill. Dat was vroeger intressant, toen WAN verbindingen en internet nog duur en niet betrouwbaar waren, Tegenwoordig speelt dat allang niet meer.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 22 mei 2019 22:09

Acties:

Xelefim

Kzou alles netjes in de cloud gooien: alles mooi centraal, vpn’s naar de sites voor de speciale gevalleke’s en backup oplossingen lokaal voorzien voor de PC met de speciale soft. Klant van ons met 12 locaties heeft nooit problemen.

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

donderdag 23 mei 2019 10:17

Acties:

Rolfie

Question Mark schreef op woensdag 22 mei 2019 @ 21:24:
Ook nog een optie:

Alles centraliseren en clients via DirectAccess secure laten verbinden op je interne lan. Voor die paar gebruikers per lokatie is een lokale DC overkill. Dat was vroeger intressant, toen WAN verbindingen en internet nog duur en niet betrouwbaar waren, Tegenwoordig speelt dat allang niet meer.

Moet je wel overal Windows Enterprise hebben draaien. En de meeste MKB klanten gebruiken hebben gewoon de standaard Windows 10 Pro draaien welke vanuit de OEM leverancier en de infrastructuur is een complexer in je datacenter.

Alternatief is Alway On VPN, want volgens mij de opvolger van Direct Access en een stuk gemakkelijker te implementeren.

Je hoeft ook inderdaad niet overal een DC te hebben draaien. Eventueel lokaal een file/print server of eventueel een NAS (in de AD geïntegreerd) voldoet vaak ook genoeg. Eventueel Branche caching aanzetten.

Ofwel mogelijkheden genoeg, om de huidige complexe opzet niet voor te zetten.

Xelefim schreef op woensdag 22 mei 2019 @ 22:09:
Kzou alles netjes in de cloud gooien: alles mooi centraal, vpn’s naar de sites voor de speciale gevalleke’s en backup oplossingen lokaal voorzien voor de PC met de speciale soft. Klant van ons met 12 locaties heeft nooit problemen.

Hoop "specials" en infrastructuur voor een cloud oplossing.

[ Voor 15% gewijzigd door Rolfie op 23-05-2019 10:19 ]

Vraag

Alle reacties