Domäne aufspalten in zwei Standorte

[chewbakka 10]

Hallo

 

wir haben im Moment eine Domäne die trotz zweier Standorte direkt vernetzt ist (d.h. ein Subnetz dank eines Produktes des Providers das mehr oder weniger Ethernet durchschleift an den anderen Standort - ich hoffe ich habe es verständlich ausgedrückt).

Nun soll diese Art der Anbindung in ein normales VPN umgewandelt werden.

Bis jetzt haben wir am Hauptstandort 2 DCS und am entfernten Standort einen normalen Memberserver.

 

Ich denke es wäre am besten den Memberserver am entfernten Standort zum DC zu machen und ihm ein eigenes Subnetz zu geben, aber wie mache ich das real am besten. Hat jemand einen schönen Link wie man es z.B. beim Thema DNS am besten macht?

 

Vielen Dank

[Daim 12]

Hello,

 

Ich denke es wäre am besten den Memberserver am entfernten Standort zum DC zu machen und ihm ein eigenes Subnetz zu geben, aber wie mache ich das real am besten. Hat jemand einen schönen Link wie man es z.B. beim Thema DNS am besten macht?

 

also, bevor du im AD rumschraubst, muss natürlich das Routing stehen und der Standort IP-technisch von der Zentrale aus erreichbar sein (du errinnerst dich an das OSI-Layer Modell?) ;) .

 

Wenn IP-mäßig alles in Ordnung ist, deklariere den Memberserver zum zusätzlichen Domänencontroller der bereits bestehenden Domäne (DCPROMO ausführen und die Option "zusätzlichen DC..." wählen).

Was es zu beachten gilt, wenn ein weiterer DC installiert werden soll, erfährst du aus deisem Artikel:

 

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

 

Das wichtigste ist, die Forward Lookup Zone im DNS sollte AD-integriert gespeichert sein. Dann erledigt die AD-Replikation den Rest für dich. Du musst dich nach dem Heraufstufen des DCs lediglich gedulden bis die Replikation stattgefunden hat. Anschlie0end stehen dir die AD- samt DNS-Informationen auf dem neuen DC zur Verfügung.

 

Richte dann im Snap-In "Active Directory-Standorte und -Dienste" einen Standort samt Subnetz ein und verschiebe den DC an seinen Standort. Aktualisiere danach die Standortverknüpfung. Vorallem musst du beim verschieben eines DCs an einen anderen Standort, unbedingt danach das DNS bereinigen. Ansonsten kann es zu langen Anmeldezeiten an den Clients führen.

 

Yusuf`s Directory - Blog - Domänencontroller am Standort

Yusuf`s Directory - Blog - Einen Domänencontroller an einen anderen Standort verschieben

 

 

Aber wenn vor Ort der DC nicht physikalisch sicher steht, dann solltet ihr evtl. vor Ort keinen DC aufstellen und sich die Benutzer an dem DC in der Zentrale authentifizieren lassen. Natürlich hängt das davon ab, welche Leitung zur Verfügung steht (Bandbreite und Stabilität) und was alles über die Leitung geht.

 

Der Nachteil an dieser Variante ist, wenn die WAN-Leitung unterbrochen wäre, könnten sich die Benutzer nicht am dem DC authentifizieren. Lediglich das anmelden mit ihren zwischengespeicherten Benutzerinformationen wäre möglich. Diese Variante solltet ihr evtl. genauer prüfen.

 

Oder wenn ihr zu Windows Server 2008 migrieren solltet, ist genau für dein Szenario, der Windows Server 2008 RODC gedacht.

 

Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC)

[Stephan Betken 43]

Hallo Chewbakka,

 

erst mal ein herzliches Willkommen an Bo(a)rd.

 

In Deinem Fall ist es das Einfachste, DNS auf dem Member-Server zu installieren und ihn dann mittels DCPROMO hoch zu stufen. Wenn die DNS-Zonen AD-integriert sind, dann werden sie automatisch auf den neuen DC repliziert.

Danach erstelltst Du in Active Directory-Standorte und –Dienste einen neuen Standort und verschiebst den neuen DC dort hin. Schon hast Du Deine Standorte getrennt. Allerdings musst Du natürlich nach der Umstellung auf die VPN-Verbindung noch das entsprechende Subnet für diesen Standort zuweisen.

 

[EDIT]

Okay, DAIM war schneller!

[/EDIT]