Matti1 10 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Hallo... Das ist mein erster Beitrag hier, ich hoffe ich bin im richtigen Forum und die Anfrage ist so ok ;-) Ich baue gerade für einen bekannten von mir sein Netzwerk um, das ist ein kleines Büro mit 4 Computern, irgendjemand hat denen das etwas verpfuscht und ich soll ihn da beraten wie wir was ändern könnten. DAs Problem ist halt, das Active Directory ist absolut schlecht eingestellt, und dazu kommt noch, dass die bei der Namensgebung die "local" Klausel nicht beachtet haben und der Domaincontroller jetzt auf den Namen einer Domain läuft, die es schon gibt. Schwer zu erklären, ich brauch auch nicht weiter drauf eingehen, das bleibt nichtmehr lange so. Server ist Uralt Win2k3R2... Clients WinXP also wenigstens das passt zusammen. Ich habe zwei Skizzen gemacht, bei denen die Struktur des Netzes jetzt ist, und wie ich mir das ausgedachte habe. Es geht primär darum, den Wartungsaufwand zu minimieren, deswegen will ich alle Funktionen wie VPN, DHCP, DNS usw. dem Router (letzteres muss er sowieso machen) übergeben, und nurnoch das Active Directory auf dem Server lassen. Die Frage hierbei ist, geht das überhaupt? Ich will, daß der Server mit Verbindungen nichts zu tun hat, kein VPN usw. das soll alles der Router machen. In den Skizzen ist es genauer eingezeichnet. Bilder sagen mehr als tausend Worte, der Router ist ein Draytek Vigor 2700 mit 2 VPN Zugängen (das reicht aus, mehr als zwei Arbeiten da eh nicht gleichzeitig von daheim aus). Das ganze soll auch so ausgelegt sein, dass zukünftig keine Fix-Rechner mehr angeschafft werden, sondern Mobilrechner mit Dockingstation fürs Büro. Daher will ich den VPN auch im selben Subnetz haben wie die Clients. http://img535.imageshack.us/img535/4642/kurtanonymjetzt.jpg http://img718.imageshack.us/img718/3804/kurtanonymnacher.jpg Ich würde mich über den einen oder anderen Vorschlag freuen :-) Zitieren Link zu diesem Kommentar
Dy0nisus 10 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Hallo und willkommen, Es geht primär darum, den Wartungsaufwand zu minimieren, deswegen will ich alle Funktionen wie VPN, DHCP, DNS usw. dem Router (letzteres muss er sowieso machen) übergeben, und nurnoch das Active Directory auf dem Server lassen. Zum einen sehe ich nicht, wo du da den Wartungsaufwand verringerst. Die Dienste werden ja nicht abgeschafft, sondern nur wo anders untergebracht. Aber mal davon abgesehen, brauchst du ja einen administrierbaren DNS-Server, der alle nötigen Einträge für das AD bereit hält. Ich kenne den Vigor zwar nicht, aber idR können solche einfachen Router das nicht. Die machen einfach ein Forward an den DNS des Providers. Nun zum Gesamtproblem. Was genau wurde denn verpfuscht? Dass die Domain kein .local ist, ist noch kein riesen Problem. Mache ich in speziellen konstellation auch so. Kann nämlich vieles auch vereinfachen! Ansonsten ist das ein Scenario, was quasi nach einem SBS schreit. Da hast du alles auf einer Kiste mit vielen schönen Wizzards, die dir das Leben erleichtern. Grüße Dennis Zitieren Link zu diesem Kommentar
Matti1 10 Geschrieben 27. Februar 2010 Autor Melden Teilen Geschrieben 27. Februar 2010 Ja die Dienste will ich verlagern, das ist völlig richtig, weil sie meiner Ansicht nach auf dem Router leichter zu verwalten sind, und ich kein bock hab' ständig auf dem Server rumzufummeln. Das heißt halt nach ner Domain, die es schon gibt. Also sagen wir mal xyz.de Gut, das bleibt nicht so. Ich habe alle Lizenzen für 2k3 Server, die Hardware reicht noch für zwei Jahre aus, das wird schwer sein, ihn für nen SBS zu überreden. Dazu kommt, dass die Rechner auch so sagen wir mal noch zwei Jahre halten. Das mit dem DNS ist halt genau der Knackpunkt. Ich kenne mich damit nicht sehr gut aus, wie genau funktioniert das mit dem Domaincontroller und DNS? Der Server mit dem AD muss ja Domaincontroller sein, aber das dürfte doch kein Problem sein, den Router, den Server und die Clients alle im selben Subnetz unterzubringen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Werter Matti, das 2k3R2 ist nicht uralt, ist durchaus brauchbar, ich betreue einige Dutzend davon sehr erfolgreich und die machen alle ihren Dienst, führen die Dienst aus, die sind nich überlastet, die sind richtig konfiguriert. Ein Versetzen von DNS und DHCP zum Entlasten eines Domänencontrollera auf einen Router ist ein vollkommen falscher Weg, falls ein DC tatsächlich überlastet sein sollte, dann ist die wirkliche Ursache zu suchen und zu beheben. Was beleastet denn den DC tatsächlich? Ist es tatsächlich eine Belastung, wie macht sich die bemerkbar? Der Namensauflösung per DNS ist für mich hauptverdächtig, sehr wahrscheinlich der Knackpunkt, an der Namensauflösung machen Laien die Fehler. Also, kein Sturz in Anemteuer; beschäftige dich mit DNS und bringe das auf die Reihe! das Thema ist hier im Forum schon oft behamndelt worden, es gibt das Technet. Zitieren Link zu diesem Kommentar
Dy0nisus 10 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Ja die Dienste will ich verlagern, das ist völlig richtig, weil sie meiner Ansicht nach auf dem Router leichter zu verwalten sind, und ich kein bock hab' ständig auf dem Server rumzufummeln. Ok. VPN wird der Vigor sicherlich ein wenig einfacher sein ... Aber DHCP ist sicherlich ungefähr der gleiche Konfigurationsaufwand, mit dem Bonus, dass der Windows DHCP noch deutlich mehr an Möglichkeiten bietet. Aber nun gut, wenn man sich nicht wirklich auskennt, mag auch der DHCP des Routers ausreichen. Verwaltet werden will dieser aber auch ... Das heißt halt nach ner Domain, die es schon gibt.Also sagen wir mal xyz.de Ja und? Wieso ist das ein so großes Prblem, dass du es unbedingt ändern willst? Das kann auch Vorteile haben! Ich habe alle Lizenzen für 2k3 Server, die Hardware reicht noch für zwei Jahre aus, das wird schwer sein, ihn für nen SBS zu überreden. Dazu kommt, dass die Rechner auch so sagen wir mal noch zwei Jahre halten. Win2k3 ist ja auch kein schlechtes OS :) Das mit dem DNS ist halt genau der Knackpunkt.Ich kenne mich damit nicht sehr gut aus, wie genau funktioniert das mit dem Domaincontroller und DNS? Darf ich mal fragen, wie intensiv du dich mit AD und Infrastruktur Design auskennst? Damit ein AD funktioniert, braucht es diverse DNS Einträge, die du auf dem Router mit Sicherheit nicht anlegen kannst. Deshalb brauchst du den Windows DNS Server. Schau doch mal ins jetzige DNS. Der Server mit dem AD muss ja Domaincontroller sein, aber das dürfte doch kein Problem sein, den Router, den Server und die Clients alle im selben Subnetz unterzubringen. Der Server wird ein DC, richtig. Sicher ist das kein Problem, warum auch?! Was hat das mit den Thema zu tun? Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Hallo, dein Gedanke zu 2 sieht schon nicht schlecht aus um das Handling zu vereinfachen. Den Router / Firewall als VPN Gateway zu nutzen macht auch sicherheitstechnisch Sinn da die Authentifizierung dort stattfindet. Zum DHCP und DNS würde ich dir dringend empfehlen diese auf dem Server zu installieren und nicht auf dem Router, du baust dir sonst Probleme ein welche du nicht haben willst. Zu der internen Domain mit externen Namen ist eigentlich nichts einzuwenden, solange diese dem Unternehmen gehört. Bei der Namensauflösung hast du halt Probleme welche sich aber durch passende Records im DNS leicht beheben lassen. Zitieren Link zu diesem Kommentar
Matti1 10 Geschrieben 27. Februar 2010 Autor Melden Teilen Geschrieben 27. Februar 2010 Die Domain gehört ihm aber nicht. Ok, gut, wir sind weiter gekommen das freut mich. Man kann doch folgendes machen: - Der Router macht die WAN Verbindung das ist klar. - Der Server macht DHCP, DNS, DC, AD. Wenn ich mich jetzt per VPN über den Router reinkomme, kriege ich dann vom Server die IP? Das wäre doch eine coole Lösung. Zitieren Link zu diesem Kommentar
Dy0nisus 10 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Die Domain gehört ihm aber nicht. Achso :P Auf so eine Idee bin ich gar nicht gekommen ... Wenn ich mich jetzt per VPN über den Router reinkomme, kriege ich dann vom Server die IP?Das wäre doch eine coole Lösung. Genau ... so sollte es sein! Zitieren Link zu diesem Kommentar
Matti1 10 Geschrieben 27. Februar 2010 Autor Melden Teilen Geschrieben 27. Februar 2010 Ja das ist ja das, was mich so aufregt, wie kommt man auf die Idee ein AD nach ner Domain, die einem nicht gehört zu benennen. Da ich aber keine Zeit und Lust habe, das zu ändern, habe ich einfach alles direkt per IP gemacht und es funktioniert. Das geht jetzt so bis zum Sommer und da will ich dann das Netzwerk umbauen. Ich will das halt nur so weit durchplanen, dass ich alles in einem Rutsch mache, wenn die im Sommerurlaub sind. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 (bearbeitet) Und was willst Du im Netzwerk umbauen? Warum soll das in der Sommerpause geschehen? Sowas macht man in der Frühstückspause ohne das ein User das überhaupt bemerkt. Beschäftige dich mit den Themen, besonders mit DNS im AD-integriert, DNS-Konfiguration an Server und Clients, mit dem DCHP, mit dessen Bereichsoptionen! Den internen Domänennamen kann man übrigens frei wählen, solange dieser Domäne nicht öffentlich im Internet ist. Und falls man den Domänennamen ändern will, dann ist auch das möglich. Dafür gibt es mehrere Möglichkeiten; bei vier Clients kann auch ohne jede Ahnung diese aus der Domäne nehmen, die Domäne auflösen und neu bauen, das zwischen 12 und Mittag, nach Feierabend oder am am Samstag; Lust ist dazu nicht zwingend nötig, nur etwas Vorbereitung und Fleiss. Die eigentlich Arbeit ist das Vordenken, das Erstellen eines Planes, das macht man während des Heimweges im Bus oder auf dem Rad. :) Ich wünsche viel Erfolg. bearbeitet 27. Februar 2010 von lefg Zitieren Link zu diesem Kommentar
Matti1 10 Geschrieben 27. Februar 2010 Autor Melden Teilen Geschrieben 27. Februar 2010 Ja das ist ja schön, dass du das so schnell kannst. Lassen wir das, das führt ja zu nix. Die Frage bleibt nach wie vor bestehen. Wie schaffe ich es, dass ich den Server und den Router ins selbe Subnetz packe. Und was stelle ich bei den Clients an, mach ich dann als primären DNS den Server und als sekundären DNS den Router? Dann müsste ja alles gleich bleiben im Prinzip... Zitieren Link zu diesem Kommentar
Dy0nisus 10 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Ich glaube du nutzt hier den Begriff Subnetz falsch ... zumindest kann ich keinen sinnvollen Zusammenhang herstellen ... Win DNS + DHCP Im Win DNS macht du für externe Domains eine Weiterleitung auf den Router oder den DNS deines Providers Die Clients bekommen ihre IPs vom DHCP Server ... Dort konfigurierst du entsprechend die Bereichsoptionen, dass der Win DNS primärer DNS wird. Sekundär könntest du den Router eintragen, damit man wenigstens Surfen kann, während das AD down ist?! Oder wo ist jetzt noch ein Problem? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 (bearbeitet) Werter Matti, es hat nichts damit zu tun, dass ich es schnell kann, ich versuchte Dir zu verdeutlichen, das diese Dinge keine weltbewegenden Äffären sind, sowas kann mit ein wenig sorgfältiger Vorbereitung auch von Laien gelöst werden in einem kleinen Zeitfenster. Den Server/DC und den Internetrouter kann doch problemlos in das selbe physikalische (am selben Switch) und logische Netz, der Router erhält z.B. die 192.168.0.1, der Server die 192.168.0.11 und die Clients ab 192.168.0.21. Oder ist das im konkreten Fal anders? Manche schliessen an einem Interface des Servers den Router, an das andere den LAN-Switch, richten auf dem Server eine Bridge oder ein Routing ein. Ich empfehle die einfache Variante. Für die Einstellung Primärer DNS wird die IP des Servers gewählt, das am Server und an den Clients, falls letztere fest adressiert werden. Bei Verwendung von DHCP werden Gateway und DNS mit dessen Bereichsoptionen konfiguriert. Bei richtiger Konfiguration des DNS ist die Einstellung Sekundärer DNS (eigentlich) völlig überflüssig. Allerdings ist es weit verbreitet, dort den Inet-Router einzutragen für Serverausfall. Der Router kann die Namen der lokalen Hosts, der Clienst nicht auflösen, er ist selbst nur Weiterleiter an den DNS des Providers; letzterer kennt die lokalen Hosts auch nicht, kann da also nicht helfen, damit ist aber die Namensauflösung für das Internet möglich, dafür muss der Router aber vom Client aus erreichbar sein. bearbeitet 27. Februar 2010 von lefg Zitieren Link zu diesem Kommentar
Matti1 10 Geschrieben 27. Februar 2010 Autor Melden Teilen Geschrieben 27. Februar 2010 Wie auf der Skizze zu erkennen, hat der Server 2 Netzwerkkarten und 2 getrennte Netze. Das erste ist der Router, der da DHCP ist, und 192.168.1.X Adressen vergibt, in dem Netz hängt nur der Server mit Statischer IP 192.168.1.2 Das zweite ist das des Servers, da ist des Servers zweite Netzwerkkarte dran, mit 192.168.2.1 für den Server und die Clients per DHCP vom Server. Und die will ich in ein Netz zusammenfassen. Das ist alles. Weil wenn ich mich im Moment per VPN im Ruter einwähle, bekomme ich eine 1.X IP und ich möchte aber per VPN im selben Netz landen, wie des des Servers. Da habe ich schon _alles_ probiert, mit weiterleiten DMZ usw. es geht einfach nicht und mir ist es auch zu ****, wenn ich durch eine kleine Umstrukturierung dieses Problem aus der Welt schaffen kann. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 (bearbeitet) Dann schliesse doch den Router, das eine Interface des Server und die Clients an einen Switch, mache die Adressierung für ein IP-Netz, konfiguriere auf dem Server DHCP und DNS und fertig ist die Laube. In der zweiten Zeichnung ist das doch richtig dargestellt, nur DHCP und DNS sollten vom Server ausgeführt werden, weg vom Router damit! Natürlich kann man sich bei vier Clients den DHCP "sparen" und feste Adressierung wählen, ein DHCP hat aber den Vorteil, kommt da mal jemand mit einem Laptop zu Besuch, da klappt das meist besser. Nochmals: Einfache Internetrouter haben keinen wirklichen DNS am Bord, sie sind nur Weiterleiter zum DNS des Providers, dieser kennt die Hosts des lokalen Netzes nicht und kann diese Namen deshalb auch nicht auflösen. Weiter: Die Funktionsfähigkeit des DNS auf den DC ist eine wesentliche Vorausetzung für die Funktionsfähigkeit des Active Directory und des logischen Netzwerkes. bearbeitet 27. Februar 2010 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.