caballero 10 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Hallo, ich habe folgendes Problem: Ich habe auf einem Knoten eine virtuelle Maschine mit ESXi 5.1 erstellt. Auf dieser läuft Win2k8R2 Enterprise mit AD, DNS, Exchange 2010 CAS und HT. Ich habe fünf phyische Netzwerkadapter in dem Host, der virtuelle Maschine sind diese durch die Zuweisung Virtueller Netzwerkadapter quasi 1:1 durchgreicht. Jeder Netzwerkadapter ist in einem eigenen Netz (NIC1 192.168.102.220/24; NIC2 192.168.205.220/24 usw...) Jetzt muss AD natürlich in jedem Netz verfügbar sein, wenn ein Client eine Anfrage stellt kriegt er alle 5 IPs des DC aufgelöst. Ich kann aber folglich ja nicht die DNS Registrierung der anderen Netzwerkkarten (z.B: die 102.220) einfach deaktivieren, da der DC ja dann in dem Netz nicht mehr aufgelöst werden kann. Gibt es dafür eine Lösung? Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Wieso macht man so was? Wieso Exchange und AD auf einem Host? Wieso 5 Netzwerkkarten? Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Hi, soweit mir bekannt ist, ist ein multi-homed DC keine unterstützte Setupmöglichkeit. Der DC müßte dafür alle seine Service Records entsprechend multiplizieren und auch sonst im Hintergrund einiges anstellen. Kann mich täuschen - aber der einzige Weg (den ich auch aus der Praxis so kenne), ist die Installation eines DC's in jedem segmentierten Bereich (wobei die DC's untereinander reden können müssen). LG Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Wieso macht man so was? Wieso Exchange und AD auf einem Host? Wieso 5 Netzwerkkarten? Ich hab schonmal einen Beitrag erstellt, da ging es um Virtualisierung und Ausfallschutz. Ich möchte die nötigen Instanzen für Ausfallschutz möglichst gering halten, deswegen teile ich auf 2 virtuellen Maschinen die Dienste auf: VM1 DC DNS CAS HT VM2 DHCP und MBX Die 5 Schnittstellen sollen eine physikalische Netztrennung gewährleisten. Aber selbst ohne EX auf der VM und unter Verwendung von Subnetzen würde das Problem doch weiter bestehen oder? Muss also wirklich jedes Netz seinen eigenen DC bekommen? Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Hi, soweit mir bekannt ist, ist ein multi-homed DC keine unterstützte Setupmöglichkeit. Der DC müßte dafür alle seine Service Records entsprechend multiplizieren und auch sonst im Hintergrund einiges anstellen. Kann mich täuschen - aber der einzige Weg (den ich auch aus der Praxis so kenne), ist die Installation eines DC's in jedem segmentierten Bereich (wobei die DC's untereinander reden können müssen). LG Ist das etwa die einzige Lösung? Dann müsste ich ja theoretisch 5 VM mit AD aufsetzen, dass frisst ja Ressourcen ohne Ende! Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Kann ich nicht die 5 Netze in Subnetze aufteilen und die 5 NICs per Teaming zu einer bündeln und in ein übergeordnetes Supernetz einteilen? Wäre das theoretisch (mit ESXi 5.1 free) möglich? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Moin, nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist? Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen. Gruß, Nils Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Hi, der optimale Weg ist natürlich wenn du das Routing so hin bekommst, dass die Maschinen den DC direkt erreichen können. Das hängt natürlich davon ab ob du einen Router hast, der dir das ermöglicht. ESXi hat an sich nur vswitche. Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Moin, nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist? Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen. Gruß, Nils Nun ja, sagen wir eine mehr oder weniger physikalische Trennung. Eher eine logische wenn man es genau nimmt. Jedes Netz soll über eine eigene NIC mit dem Server verbunden werden. Die VM soll nur die darauf installierten Dienste bereitstellen, in dem Fall AD EX CAS und HT. Anforderungen sind wie gesagt ein Trennung der Netze (phys.) über mehrere NICs. Die Clients aus Netz1 sollen nicht mit denen aus Netz2 kommunizieren können. Es ist erforderlich, das alle Netze mit der VM bzw dem DC/DNS (auch CAS) verbunden sind (über 5 NICs - ist schlecht, ich weiß). Die Kapazitäten für VM sind beschränkt, es sind maximal zwei auf dem Host aufgrund von Hardwareressourcen möglich. Oder welche Anforderungen meinst du genau? Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Ich hab schonmal einen Beitrag erstellt, da ging es um Virtualisierung und Ausfallschutz. Ich möchte die nötigen Instanzen für Ausfallschutz möglichst gering halten, deswegen teile ich auf 2 virtuellen Maschinen die Dienste auf:VM1 DC DNS CAS HT VM2 DHCP und MBX Ausfallschutz und Geringe Anzahl an Maschinen widerspricht sich etwas. Wo hast du bei deiner Umgebung einen Ausfallschutz? Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Hi, der optimale Weg ist natürlich wenn du das Routing so hin bekommst, dass die Maschinen den DC direkt erreichen können. Das hängt natürlich davon ab ob du einen Router hast, der dir das ermöglicht. ESXi hat an sich nur vswitche. Routing wenn sie im gleichen Netz sind? Ich habe einen Router, jedoch sollte das NW auch noch funktionieren wenn dieser mal Ausfällt. Es sollten SPOF möglichst vermieden werden. Was ist mit NIC Teaming und Subnetzten bzw Supernetz? Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Hi, du könntest deine Anforderungen durch eine einfache Trennung deines Netzes durch vLans erreichen. Wenn du allen Clientgruppen ein eigenes vLan gibst und dazu noch jede Servergruppe in ein eigenes vLan legst, dann kannst du anschließend festlegen wer mit wem reden darf. Das setzt allerdings einen richtigen Router / Switch /Firewall voraus. Zitieren Link zu diesem Kommentar
caballero 10 Geschrieben 12. November 2012 Autor Melden Teilen Geschrieben 12. November 2012 Ausfallschutz und Geringe Anzahl an Maschinen widerspricht sich etwas. Wo hast du bei deiner Umgebung einen Ausfallschutz? Entschuldige bitte, ich habe nur einen Teil der Umgebung beschrieben. Ich dachte den Rest kann ich außer acht lassen. Es gibt 2 phyische Hosts mit ESXi 5.1 als HV. Host1: VM1 AD,DNS,CAS(array),HT VM2 DHCP,MBX(dag) Host2: Die gleichen VM Beide haben 6 NICS, 5 für die Clients und 1 für Failover von CAS bzw DAG. NICs können bei Bedarf noch erweitert werden. Das hilft mir aber alles nichts bei dem Problem mit dem multihomed dc... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Routing wenn sie im gleichen Netz sind? Ich habe einen Router, jedoch sollte das NW auch noch funktionieren wenn dieser mal Ausfällt. Es sollten SPOF möglichst vermieden werden. Was ist mit NIC Teaming und Subnetzten bzw Supernetz? Hi, NIC Teaming bringt dir hier nichts - du willst ja keine Leistungssteigerung oder Ausfallsicherheit einzelner Ports erreichen sondern eine Trennung der Kommunikation (so wie ich dich verstanden habe). Eine Trennung erreicht man nur über Segmentierung und entsprechende Regeln. Wenn der Router kein SPOF sein soll, hast du dann auch redundante Switche an denen die Systeme angeschlossen sind? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 12. November 2012 Melden Teilen Geschrieben 12. November 2012 Entschuldige bitte, ich habe nur einen Teil der Umgebung beschrieben. Ich dachte den Rest kann ich außer acht lassen. Es gibt 2 phyische Hosts mit ESXi 5.1 als HV. Host1: VM1 AD,DNS,CAS(array),HT VM2 DHCP,MBX(dag) Host2: Die gleichen VM Beide haben 6 NICS, 5 für die Clients und 1 für Failover von CAS bzw DAG. NICs können bei Bedarf noch erweitert werden. Das hilft mir aber alles nichts bei dem Problem mit dem multihomed dc... Wie syncst du den die Daten zwischen den Hosts/VMs? FT kann nur eine vCPu, da du den freien ESXi nimmst fällt das auch komplett raus. Was du da gebaut hast ist nix ganz und nix halbes. Kauf einen Router/Switch der Layer3 Routing kann, mach den als Standard GW für die Vlans und dann ACLs drauf. Für SPOF kaufst du das Ding zur Not noch mal, legst den in den Schrank und machst jeden Tag mit Rancid eine automaitsche Sicherung. Nur mal so als Lösungsansatz. Machst du DHCP auch über alle 5 Nics oder arbeitest du da wenigstens mit DHCP Relaying (was wesentlich sauberer ist meiner Meinung nach). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.