vrijdag 17 juli 2020 12:05

Acties:
  • 0 Henk 'm!
  • kipjr
  • Registratie: Oktober 2009
  • Laatst online: 17-09 23:38

kipjr

Topicstarter
Ik beheer een bedrijf.lan domein en we vroegen ons af of het zin heeft om hem te hernoemen naar een ad.bedrijf.nl. Het heeft 950 AD-users (voornamelijk voor webservices), 2 DCs, 10 werkstations en twee overige servers (web / vpn). Het domein is opgezet in 2011 en deze vraag kwam langs vanwege certificaten en ADFS.

Enkele opties die voorbij kwamen:
VoordeelNadeel
Azure AD geen idee geen idee
Split DNSRelatief snel uitgevoerdHandmatig bijwerken
RendomRelatief snel uitgevoerd"no way back"
downtime
Migratie naar ad.bedrijf.nl Bijna geen downtimeLangzaam
NETBIOS moet anders zijn / of je moet intermediate domein hebben
Extra tijdelijke DC nodig


In een labomgeving heb ik de derde en de vierde optie getest en de vierde was aanzienlijk meer werk ivm trust opzetten en ADMT gebruiken. Met name de situatie dat een DC demoted wordt en daarna een DC wordt van het nieuwe domein baart me wat zorgen vanwege de verstrengelde zaken als DFS, RADIUS en dergelijke.

Wat zijn jullie ervaringen en aanbevelingen tegenwoordig? We leven nu in 2020 en veel adviezen en situaties op internet lijken zich te focussen op periodes tussen 2008 en 2018. Wat is de huidige stand van zaken?

vrijdag 17 juli 2020 14:32

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 12:20

Hero of Time

Moderator LNX

There is only one Legend

Je vraag kwam vanwege certificaten en ADFS. Wat is de reden dat je ADFS hebt? Maak je gebruik van Exchange Online/Office 365 voor email? Zo ja, dan heb je AzureAD en kan je middels de AAD-Sync je authenticatie omzetten van ADFS naar PHS of PTA. Dan ben je iig van de draak van ADFS af en hoef je je alleen maar zorgen te maken over de certificaten.

Het is overigens wel mogelijk om een AD domein te hernoemen.

Is de tld van je AD ook echt .lan, of een internet routeerbaar tld zoals .nl? Wat is de reden, naast certificaten en ADFS, dat je de naam wilt veranderen?

Commandline FTW | Tweakt met mate

vrijdag 17 juli 2020 14:33

Acties:
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 10:01

Semt-x

Certificaten
Als je intern publieke SSL certificaten wil gebruiken, kun je nu al de ad.domain.nl naam gebruiken, zolang je de dns zone ook intern host. als je voor andere toepassingen certificaten wil gebruiken (code signing bijv), wordt de domein naam lang niet altijd gebruikt.

ADFS
Afhankelijk van de relying party trust(s?) die staan geconfigureerd in ADFS kan het zijn, dat ADFS helemaal los staat van de domeinnaam. als de federation url een *.lan adres is , is het sowiezo een goed idee dat naar een publieke benaderbare URL te wijzigen. zodat het technisch mogelijkl wordt ook gebruikers van buiten te bedienen ( mits je WAP koppelt en die publiek maakt)

Keuze
AD hernoemen zou ik niet aan beginnen. Als het al ondersteund wordt is het een bron van toekomstige problemen. Problemen die je misschien niet direct hebt, maar pas over 3 jaar als er een feature nodig is die niet kan of anders werkt omdat het domein ooit is hernoemd.

Ik kan niet inschatten of ADMT de moeite waard is met de gegeven details. Het is inderdaad vaak veel en ingewikkeld werk als je het nooit eerder hebt gedaan.

vrijdag 17 juli 2020 18:53

Acties:
  • 0 Henk 'm!
  • kipjr
  • Registratie: Oktober 2009
  • Laatst online: 17-09 23:38

kipjr

Topicstarter
Hero of Time schreef op vrijdag 17 juli 2020 @ 14:32:
Je vraag kwam vanwege certificaten en ADFS. Wat is de reden dat je ADFS hebt? Maak je gebruik van Exchange Online/Office 365 voor email? Zo ja, dan heb je AzureAD en kan je middels de AAD-Sync je authenticatie omzetten van ADFS naar PHS of PTA. Dan ben je iig van de draak van ADFS af en hoef je je alleen maar zorgen te maken over de certificaten.

Het is overigens wel mogelijk om een AD domein te hernoemen.

Is de tld van je AD ook echt .lan, of een internet routeerbaar tld zoals .nl? Wat is de reden, naast certificaten en ADFS, dat je de naam wilt veranderen?
Ja het is door mijn voorganger opgezet als .LAN

Ik ben totaal niet bekend met Azure (nog van oude garde) en ik was in de veronderstelling dat SSO enkel met AD FS icm routeerbaar TLD kon.

vrijdag 17 juli 2020 18:56

Acties:
  • 0 Henk 'm!
  • kipjr
  • Registratie: Oktober 2009
  • Laatst online: 17-09 23:38

kipjr

Topicstarter
Semt-x schreef op vrijdag 17 juli 2020 @ 14:33:
Certificaten
Als je intern publieke SSL certificaten wil gebruiken, kun je nu al de ad.domain.nl naam gebruiken, zolang je de dns zone ook intern host. als je voor andere toepassingen certificaten wil gebruiken (code signing bijv), wordt de domein naam lang niet altijd gebruikt.

ADFS
Afhankelijk van de relying party trust(s?) die staan geconfigureerd in ADFS kan het zijn, dat ADFS helemaal los staat van de domeinnaam. als de federation url een *.lan adres is , is het sowiezo een goed idee dat naar een publieke benaderbare URL te wijzigen. zodat het technisch mogelijkl wordt ook gebruikers van buiten te bedienen ( mits je WAP koppelt en die publiek maakt)

Keuze
AD hernoemen zou ik niet aan beginnen. Als het al ondersteund wordt is het een bron van toekomstige problemen. Problemen die je misschien niet direct hebt, maar pas over 3 jaar als er een feature nodig is die niet kan of anders werkt omdat het domein ooit is hernoemd.

Ik kan niet inschatten of ADMT de moeite waard is met de gegeven details. Het is inderdaad vaak veel en ingewikkeld werk als je het nooit eerder hebt gedaan.
Dank. Dan laat ik denk ik dat hele hernoemen zitten. Wel zit ik met situatie betreffende self-signed certificaten bij RDP / Powershell / LDAPs en ik zat er aan te denken om van het self-signed af te stappen. Vandaar mijn vraag. Wat bedoel je met "als je voor andere toepassingen certificaten wil gebruiken (code signing bijv), wordt de domein naam lang niet altijd gebruikt." ?

vrijdag 17 juli 2020 20:07

Acties:
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 10:01

Semt-x

"Ik ben totaal niet bekend met Azure (nog van oude garde) en ik was in de veronderstelling dat SSO enkel met AD FS icm routeerbaar TLD kon."

Gebruik je Exchange online? Daar heb je ook een routeerbaar domein nodig (bijv: bedrijf.nl voor een mailbox bijv: user@bedrijf.nl). Als je "bedrijf.nl" als UPN opvoert in AD kun je alle users een UPN geven met die domein naam. Dat staat helemaal los van de Active Directory domein naam.

Als ADFS alleen gebruikt wordt voor de koppeling met office 365, kun je in azure voor dat domein overstappen naar een "managed" ipv een "federated" domein, Voor een "managed" domein heb je geen ADFS nodig en kun je toch SSO bieden.

Wat bedoel je met "self signed" certificaten. Ik denk tussen de regels door te lezen, dat je iets anders bedoelt dan echte "self signed". Een self signed certificaat is een certificaat dat is ondertekend door de machine die het certificaat gebruikt. Als je een eigen Certificate Authority hebt waarmee je certificaten maakt, gebruik je geen "self signed" certificates.

Als men het over certificaten heeft, worden vaak alleen met SSL certificaten genoemd. en daar zit inderdaad een domein naam in. Maar er zijn ook andere toepassingen voor certificaten waar die domein naam niet gebruikt wordt. maar als je dat niets zegt, zul je die wel niet gebruiken.

zaterdag 18 juli 2020 02:39

Acties:
  • 0 Henk 'm!
  • kipjr
  • Registratie: Oktober 2009
  • Laatst online: 17-09 23:38

kipjr

Topicstarter
Semt-x schreef op vrijdag 17 juli 2020 @ 20:07:
"Ik ben totaal niet bekend met Azure (nog van oude garde) en ik was in de veronderstelling dat SSO enkel met AD FS icm routeerbaar TLD kon."

Gebruik je Exchange online? Daar heb je ook een routeerbaar domein nodig (bijv: bedrijf.nl voor een mailbox bijv: user@bedrijf.nl). Als je "bedrijf.nl" als UPN opvoert in AD kun je alle users een UPN geven met die domein naam. Dat staat helemaal los van de Active Directory domein naam.

Als ADFS alleen gebruikt wordt voor de koppeling met office 365, kun je in azure voor dat domein overstappen naar een "managed" ipv een "federated" domein, Voor een "managed" domein heb je geen ADFS nodig en kun je toch SSO bieden.

Wat bedoel je met "self signed" certificaten. Ik denk tussen de regels door te lezen, dat je iets anders bedoelt dan echte "self signed". Een self signed certificaat is een certificaat dat is ondertekend door de machine die het certificaat gebruikt. Als je een eigen Certificate Authority hebt waarmee je certificaten maakt, gebruik je geen "self signed" certificates.

Als men het over certificaten heeft, worden vaak alleen met SSL certificaten genoemd. en daar zit inderdaad een domein naam in. Maar er zijn ook andere toepassingen voor certificaten waar die domein naam niet gebruikt wordt. maar als je dat niets zegt, zul je die wel niet gebruiken.
Nee, we gebruiken Gsuite. Met self signed bedoelde ik een eigen CA die niet gesigned is door een externe instantie. Pardon, ik had betere woorden moeten kiezen. De certificaten zijn nodig voor oa. Ldaps, RDP, interne HTTPs, NPS en VPN

zaterdag 18 juli 2020 11:00

Acties:
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 10:01

Semt-x

kipjr schreef op zaterdag 18 juli 2020 @ 02:39:
[...]
Nee, we gebruiken Gsuite.
ok ik heb ADFS nooit met GSuite gekoppeld, maar zie dat het inderdaad kan, en dat het op basis van user's UPN gaat (dat is ook de standaard waarde voor een koppeling Azure).
AD hermoemen is niet nodig voor deze koppeling.
Met self signed bedoelde ik een eigen CA die niet gesigned is door een externe instantie. Pardon, ik had betere woorden moeten kiezen. De certificaten zijn nodig voor oa. Ldaps, RDP, interne HTTPs, NPS en VPN
Self signed betekent want anders dan een eigen CA gebruiken. Als een server zijn eigen certificaat genereerd, zondert CA..Dan heet dat self signed. Een eigen CA kan een certificaat genereren voor elke domein naam. dus ook daar zit geen AD domein naam afhankelijkheid,
Als je CA op een domein controller draait heb je wel een afhankelijjheid, Dan kun je het domein en de DC niet hernoemen.

maandag 20 juli 2020 12:03

Acties:
  • +1 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 12:18

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

kipjr schreef op vrijdag 17 juli 2020 @ 12:05:
Het domein is opgezet in 2011 en deze vraag kwam langs vanwege certificaten en ADFS.
Wat is nu de exacte aanleiding voor je domain rename?

Het wordt aangeraden om voor ADFS publieke trusted cert's te gebruiken, maar is géén verplichting.Zolang de clients het certificaat vertrouwen kun je eigen uitgegeven certs gebruiken.
AD FS does not require that certificates be issued by a CA. However, the SSL certificate (the certificate that is also used by default as the service communications certificate) must be trusted by the AD FS clients.
De vraag is dan even voor wie en hoe je ADFS wilt gaan gebruiken?

Let daarnaast even op dat een domain rename wel kan, maar dat niet elke applicatie dit ondersteund (SCCM, Skype for Business, oudere Exchange versies, etc). Controleer dit vooraf dan wel goed.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 juli 2020 12:07

Acties:
  • 0 Henk 'm!
  • kipjr
  • Registratie: Oktober 2009
  • Laatst online: 17-09 23:38

kipjr

Topicstarter
De aanleiding was de implementatie van AD FS en het huidig gebruik van een .LAN tld. Momenteel ben ik zeer dankbaar voor de suggesties hier. Inmiddels heb ik Azure AD in gebruik genomen en dit voldoet aan de verwachtingen. Ik zie mogelijkheden om SSO op deze manier uit te rollen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq