Thema "Peer to Peer Migration in ActiveDirectory" in Technisches zu Software

Peer to Peer Migration in ActiveDirectory

MarkusH1 — Thu, 02 Nov 2023 18:32:43 GMT

Hallo zusammen,

hier ist eine Unternehmensinstallation mit drei Clients vorhanden. Das ganze läuft auf einem Win10 Client. Eigentlich ganz problemlos seit ca. 2 Jahren. Nun ist das Netzwerk gewachsen und es gibt ein AD, und damit beginnen die "Probleme" 😉 Da neue Richtlinien gelten ist unter anderem alle 30 Tage ein Kennwort Wechsel erforderlich. Da anschließend das Kennwort auf dem Peer-Server ein anderes ist, kann Datev nicht mehr genutzt werden bis am Peer-Server ebenfalls das neue Kennwort hinterlegt wurde. Keine Dauerzustand!

Erste Idee war, den Peer-Server einfach in die Domäne zu integrieren. Servername und die Usernamen würde gleich bleiben. Nun hab ich aber in einem Thread gelesen, dass da trotzdem so viel anzupassen ist.

Nächste Idee ist nun, DATEV auf einen eigenen (Member)-Server umzuziehen. Damit sollten alle Probleme erledigt sein.

Welchen Weg würdet ihr wählen? Kann ich nach dieser Anleitung vorgehen?

Gruß - Markus

Peer to Peer Migration in ActiveDirectory

metalposaunist — Thu, 02 Nov 2023 19:11:09 GMT

@MarkusH1 schrieb:
Da neue Richtlinien gelten ist unter anderem alle 30 Tage ein Kennwort Wechsel erforderlich.

Über Sinn und Unsinn streiten sich ja die Geister 👻. Ich würde da eher die Komplexität vorgeben und auf 2FA setzen. Andernfalls habe ich in solchen Umgebungen immer ein Passwort genommen und am Ende die gesetzte Zahl dahinter um +1 erhöht. Ändert nichts an der Sicherheit; ist für den Anwender smart und löst das nervige Problem 😅.

@MarkusH1 schrieb:
Nächste Idee ist nun, DATEV auf einen eigenen (Member)-Server umzuziehen. Damit sollten alle Probleme erledigt sein.

Würde ich auch so machen. Dann ist's sauber.

@MarkusH1 schrieb:
Kann ich nach dieser Anleitung vorgehen?

Kannst Du. Ich empfehle trotzdem im Zweifel ein Backup und jemanden, der sich mit DATEV auskennt und diese Aufgaben tagtäglich macht. Es kann alles glatt laufen; es kann aber auch einiges schief laufen. DATEV ist da relativ eigen und ab und zu hilft da Erfahrung viel weiter, denn bei DATEV anrufen ☎️ und um Hilfe bitten, dauert lange und kostet am Ende noch mehr Geld 🤑, wenn's schnell gehen soll. Daher ggf. mal einen Solution Partner anfragen, ob der an Tag X zumindest schnell zu greifen wäre, wenn man selbst verzweifelt. Irgendwann wollen die 3 User ja auch wieder arbeiten 😉. Oder gleich den Solution Partner machen lassen und die gesparte Zeit kann man selber sinnvoll für andere Dinge nutzen. Du arbeitest ja auch nicht für lau.

An die Sicherung der Systeme denken.

Peer to Peer Migration in ActiveDirectory

MarkusH1 — Thu, 02 Nov 2023 19:17:13 GMT

@metalposaunist schrieb:
...Ich würde da eher die Komplexität vorgeben ...

Ja die ist natürlich auch noch mit drin, sowie eine 12-monatige History...

Kannst Du. Ich empfehle trotzdem im Zweifel ein Backup und jemanden, der sich mit DATEV auskennt und diese Aufgaben tagtäglich macht. Es kann alles glatt laufen; es kann aber auch einiges schief laufen. DATEV ist da relativ eigen und ab und zu hilft da Erfahrung viel weiter, denn bei DATEV anrufen und um Hilfe bitten, dauert lange und kostet am Ende noch mehr Geld, wenn's schnell gehen soll. Daher ggf. mal einen Solution Partner anfragen, ob der an Tag X zumindest schnell zu greifen wäre, wenn man selbst verzweifelt. Irgendwann wollen die 3 User ja auch wieder arbeiten 😉.

An die Sicherung der Systeme denken.

Sicherung ist überhaupt kein Thema, es erfolgt täglich ein Datenbankbackup mit den Datev-Tools inkl. Bereinigung. Außerdem ein Vollbackup durch den Hypervisor und zusätzlich ein tägliches Veeam-Backup. Ist auch getestet bzw. wurde schon mal bei einem Umzug der Serverhardware benutzt. Hat problemlos funktioniert. Aktuelles Notfallprogramm ist natürlich auch vorhanden.

Von daher würde ich es mir schon zutrauen, zumal ich im absoluten Total Crash ja einfach wieder den Peer Server in Betrieb nehmen könnte oder? Und wie gesagt, der Servername bleibt und auch Usernamen ändern sich nicht.

Peer to Peer Migration in ActiveDirectory

metalposaunist — Thu, 02 Nov 2023 19:22:24 GMT

@MarkusH1 schrieb:
Ja die ist natürlich auch noch mit drin, sowie eine 12-monatige History... 🤔

Ist auch vollkommen egal. Ich nehme dann geilerTyp1!, geilerTyp2!, geilerTyp3!, geilerTyp4!, ... Was bringt das? Das AD meckert dann nicht rum, weil es immer andere Hashes sind. Wenn ich 10J bei Euch arbeite: geilerTyp112! 😅

Aber das ist eine andere Diskussion. Das löst das eigentliche IT-Problem nicht. Das löst man im MS AD wie Du richtig erkannt hast, ganz anders 👍. Wir sind ja bei "repariere die Ursache, nicht das Symptom".

@MarkusH1 schrieb:
zumal ich im absoluten Total Crash ja einfach wieder den Peer Server in Betrieb nehmen könnte oder?

Bin mir nicht sicher, ob in allen Fällen auch der DATEV Lizenzmanager wieder grün wird 🤔. Der hat intern ja einen Zähler, der mit Dateien auf dem Laufwerk abgeglichen wird, sodass man nicht das SWM an 10 PCs anstecken kann und 10x DATEV installiert. Irgendwann sagt DATEV dann: bitte bei DATEV anrufen und das SWM zurücksetzen lassen. Das kann wirklich nur DATEV allein und niemand anderes. Ob das noch so ist, kann ich nicht sicher sagen. Habe schon länger keine "DATEV-Technik" mehr gemacht.

@MarkusH1 schrieb:
Und wie gesagt, der Servername bleibt und auch Usernamen ändern sich nicht.

Hm, dann bräuchtest Du den Serveranpassungsassisten eigentlich nicht: Server umziehen ohne Server-Anpassungs-Assistent

Viel Erfolg! 🍀

Peer to Peer Migration in ActiveDirectory

janm — Fri, 03 Nov 2023 07:16:43 GMT

Ich habe es noch nie gemacht, da P2P 😉 Aber in der Theorie:

Alle P2P-Beteiligten Computer in die Domain aufnehmen
(Die lokalen User vorsichtshalber umbenennen / löschen)
Die entsprechenden Domain User der DATEV User in eine Gruppe im AD packen
Die (neue) AD Gruppe in die lokale "DATEV User" Gruppe auf dem Quasi Server
(Vorsichtshalber von den Systemen ab- und anmelden oder kurz booten, damit die Gruppenmitgliedschaften "greifen".)
Als lokaler Admin am Quasi Server das Not-Tool ausführen
In der BRV die alten DATEV User mit den neuen AD Usern verknüpfen

Da es aber so klingt, als wäre ein Member Server da / es wäre nicht das Problem einen weiteren Server anzuschaffen -> Dann würde ich jetzt alles gerade ziehen und per Server-Anpassungs-Assistent den Umzug machen. Ggfs. könnte man für drei User noch überlegen den neuen Server als All-in-One (DATEV File + Terminalserver) zu betreiben. (Hängt allerdings ein wenig von den (Office) Lizenzen / CALs ab. Oder man "investiert" hier für die drei User, um am Ende des Tages viel Zeit in Sachen Updates zu sparen.)

P.S.: Regelmäßige Kennwortänderungen sind kontraproduktiv. Insbesondere bei so kurzen Intervallen. Option 1 hat @metalposaunist ja bereits auf- und hochgezählt. 😉 Die andere Option: Die Kennwörter landen als Notiz am Bildschirm oder sonstwo. Lange Kennwörter mit min. 16 Zeichen, die nichtmal komplex sein müssen. Bzw. werden die i.d.R. eh komplex, wenn man den Users zu "Kennwortsätzen" (oder sowas Schwester-Pelzhut-Ledersofa-Auch: Sichere Kennwörter | faq-o-matic.net) rät. Zweiter Faktor dazu -> Very nice. 🙂

Peer to Peer Migration in ActiveDirectory

oliverstippe — Mon, 06 Nov 2023 07:54:55 GMT

Hallo zusammen,

ich bin mal so frei und grätsche mit einer Frage zu 2FA bei Windows Server dazwischen.

Mit Boardmitteln ist dies nicht zu realisieren, wenn ich richtig informiert bin.

Hat einer von Euch Erfahrung mit Lösungen von Drittanbietern hierzu?

Peer to Peer Migration in ActiveDirectory

metalposaunist — Mon, 06 Nov 2023 07:58:19 GMT

@oliverstippe schrieb:
Mit Boardmitteln ist dies nicht zu realisieren, wenn ich richtig informiert bin.

M365 gehört doch auch zu Windows Boardmitteln. Würde mich wundern, wenn das damit nicht geht 😬. Andernfalls die Anfrage konkretisieren.

Peer to Peer Migration in ActiveDirectory

oliverstippe — Mon, 06 Nov 2023 08:06:03 GMT

M365 habe ich nicht.

Cool wäre, wenn die Anmeldung an den WTS mit 2 FA geschützt wäre. Auch wenn es die Mitarbeiter nerven würde.

Peer to Peer Migration in ActiveDirectory

metalposaunist — Mon, 06 Nov 2023 08:17:13 GMT

@oliverstippe schrieb:
Cool wäre, wenn die Anmeldung an den WTS mit 2 FA geschützt wäre.

Ja, das geht. Haben wir nicht im Einsatz aber technisch möglich, weil davon schon gehört. Dann braucht's aber eine lokale Software auf der Farm, die dann in dem Beispiel, was ich kenne, nicht automatisch aktualisiert wird und man noch ein Softwareprodukt mehr drauf hat, dass potentielle Lücken haben kann und man zusätzlich pflegen muss. Ob das der technischen Wahrheit letzter Schuss ist? Hm. Bin mir da unsicher.

Aber vielleicht gibt es noch andere Produkte und wenn es um 2FA geht und man nur den WTS damit absichert: 2FA ist ja nur ein Teil eines ganzes Sicherheitskonzeptes. Nicht, dass Häcker dann andere Wege finden, die nicht abgesichert sind aber ebenso großen Schaden anrichten können.

Ob 2FA bei http://sit.nrw geholfen hätte, wenn Ransomware via E-Mail ins System kam (meine Vermutung, weil der Weg am verbreitesten ist) - fraglich.

Peer to Peer Migration in ActiveDirectory

janm — Mon, 06 Nov 2023 08:15:56 GMT

@oliverstippe schrieb:
Mit Boardmitteln ist dies nicht zu realisieren, wenn ich richtig informiert bin.

Windows Hello for Business oder auch SmartCard Authentication wären ein Boardmittel.

Hat einer von Euch Erfahrung mit Lösungen von Drittanbietern hierzu?

Duo.com (https://guide.duo.com/rdp / https://duo.com/docs/rdp)
Manage Engine ADSelfService Plus (https://www.manageengine.de/produkte-loesungen/active-directory/adselfservice-plus/features/multi-faktor-authentifizierung-endpoints.html / https://james-rankin.com/articles/adding-microsoft-authenticator-mfa-to-windows-logon-using-manageengine-ad-self-service-plus/)
RCDevs OpenOTP (https://www.rcdevs.com/ / https://jans.cloud/2019/02/rcdevs-kostenlose-multi-faktor-authentifizierung-part-i/ und folgende.. (Ist aber schon was älter der Beitrag))

Peer to Peer Migration in ActiveDirectory

oliverstippe — Mon, 06 Nov 2023 08:20:56 GMT

Danke euch beiden. Nun habe ich etwas zum nachdenken bzw. recherchieren.

Insb. die beiden Boardmittel, die @janm genannt hat, sind interessant, da kein fremder Dritter mit im Spiel ist.

Peer to Peer Migration in ActiveDirectory

metalposaunist — Mon, 06 Nov 2023 08:23:28 GMT

@janm schrieb:
Windows Hello for Business oder auch SmartCard Authentication wären ein Boardmittel.

Je nach Unternehmen nur dran denken, dass Windows Hello eine IR Webcam benötigt und wenn man das Notebook zugeklappt an einer Docking betreibt, man im besten Falle passende Webcams in / an den Monitoren hat, damit der Login klappt. Und bei SmartCards dann schauen, dass unternehmensweit alle einen Leser haben oder der eingebaute Leser kompatibel ist bzw. bei Neubestellung von Hardware dabei drauf geachtet wird.

Peer to Peer Migration in ActiveDirectory

janm — Mon, 06 Nov 2023 08:24:36 GMT

Streiche am besten direkt SmartCard Auth. Alleine das Aufsetzen der benötigten PKI (in sicher und verfügbar) dürfte jeglichen Rahmen sprengen.

Windows Hello for Business finde ich persönlich "nervig", wenn häufig Devices gewechselt werden, da an jedem Device "enrolled" werden muss.

Peer to Peer Migration in ActiveDirectory

siro — Mon, 06 Nov 2023 08:34:02 GMT

@janm schrieb:
Streiche am besten direkt SmartCard Auth. Alleine das Aufsetzen der benötigten PKI (in sicher und verfügbar) dürfte jeglichen Rahmen sprengen.

Vielleicht hat ja noch jemand die alte Anleitung vom grünen Riesen rumliegen 😁

Peer to Peer Migration in ActiveDirectory

janm — Mon, 06 Nov 2023 13:25:00 GMT

Wobei mir gerade einfällt, dass rein "On-Premises" mit Hello for Business ebenfalls eine PKI benötigt...

Peer to Peer Migration in ActiveDirectory

oliverstippe — Mon, 06 Nov 2023 13:47:37 GMT

Ok. Danke für den Hinweis. Ich merke schon, alles nicht so einfach...

Peer to Peer Migration in ActiveDirectory

janm — Mon, 06 Nov 2023 14:07:04 GMT

Ich würde halt Duo.com bevorzugen. Hängt aber letztlich von den Anforderungen ab und wie / von wo derzeit überall zugegriffen wird.