Jump to content

Problem mit multihomed DC

caballero

Von caballero
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

caballero Contributor

caballero   10

Geschrieben
  • Autor
Geschrieben
Hi,

 

NIC Teaming bringt dir hier nichts - du willst ja keine Leistungssteigerung oder Ausfallsicherheit einzelner Ports erreichen sondern eine Trennung der Kommunikation (so wie ich dich verstanden habe). Eine Trennung erreicht man nur über Segmentierung und entsprechende Regeln. Wenn der Router kein SPOF sein soll, hast du dann auch redundante Switche an denen die Systeme angeschlossen sind?

 

Ich bin noch nicht so versiert mit vLAN. Ich dachte wenn ich die NICs via Teaming oder Trunking zusammenfasse und die Clients in Subnetze einteile, könnte ich bei einer Anfrage der Clients an den DNS zur Namensauflösung des DC erreichen, dass nur die eine IP der logischen zusammengefassen NIC aufgelöst wird und nicht alle 5 anderen was ja zu Problemen mit der Verbindung führt.

 

Anmerkung: Es handelt sich hier um eine sehr kleine Umgebung in einer Schulungsumgebung. Also hier ist keine Hochverfügbarkeit gefragt. Die Switche sind nicht reudndant ausgelegt. NIC1 auf dem Primärsrv und NIC1 auf dem Backupsrv z.B. sind mit Switch1 für Netz 192.168.102.0/24 verbunden. Weiterhin geht von diesem Switch eine Verbindung zum Router. Das ganze für 5 Netze. Router/FW hat somit auch 5 Schnittstellen.

Link zu diesem Kommentar
caballero Contributor

caballero   10

Geschrieben
  • Autor
Geschrieben
Wie syncst du den die Daten zwischen den Hosts/VMs?

FT kann nur eine vCPu, da du den freien ESXi nimmst fällt das auch komplett raus.

 

 

Was du da gebaut hast ist nix ganz und nix halbes. Kauf einen Router/Switch der Layer3 Routing kann, mach den als Standard GW für die Vlans und dann ACLs drauf. Für SPOF kaufst du das Ding zur Not noch mal, legst den in den Schrank und machst jeden Tag mit Rancid eine automaitsche Sicherung. Nur mal so als Lösungsansatz.

 

Machst du DHCP auch über alle 5 Nics oder arbeitest du da wenigstens mit DHCP Relaying (was wesentlich sauberer ist meiner Meinung nach).

 

DHCP über alle NICs - Die DHCPs sind 70/30 aufgeteilt.

 

Welche Daten meinst du?

Link zu diesem Kommentar
zahni Grand Master

zahni   550

Geschrieben
Geschrieben
Ich bin noch nicht so versiert mit vLAN. Ich dachte wenn ich die NICs via Teaming oder Trunking zusammenfasse und die Clients in Subnetze einteile, könnte ich bei einer Anfrage der Clients an den DNS zur Namensauflösung des DC erreichen, dass nur die eine IP der logischen zusammengefassen NIC aufgelöst wird und nicht alle 5 anderen was ja zu Problemen mit der Verbindung führt.

 

NIC-Teaming arbeitet auf MAC-Ebene (Layer 2). Was Du willst ist ein Router (Layer 3), was Du nicht mit Teaming erreichen kannst. Beschäftige Dich ein wenig mit den Grundlagen. Du solltest Dir einen Lyer-3 Switch besorgen und Dich in die VLAN-Thematik einarbeiten.

 

-Zahni

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

Anforderungen sind wie gesagt ein Trennung der Netze (phys.) über mehrere NICs. [/Quote]

 

das ist keine Anforderung, sondern ein Lösungsversuch für eine Anforderung, die du immer noch nicht benannt hast. Auf diese weise reden wir nicht über eine Lösung für dein Problem, sondern über die Probleme deiner Lösung ...

 

Die Clients aus Netz1 sollen nicht mit denen aus Netz2 kommunizieren können.

 

Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"?

 

Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist.

 

Gruß, Nils

Link zu diesem Kommentar
caballero Contributor

caballero   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

 

 

das ist keine Anforderung, sondern ein Lösungsversuch für eine Anforderung, die du immer noch nicht benannt hast. Auf diese weise reden wir nicht über eine Lösung für dein Problem, sondern über die Probleme deiner Lösung ...

 

 

 

Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"?

 

Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist.

 

Gruß, Nils

 

Es gibt 5 Netze (Raum 102, 201, 205, 210, Verwaltung). Diese müssen aus sicherheits- bzw Zugriffsrechtlichen Gründen logisch getrennt werden. Jeder Raum hat einen Switch, von diesem geht eine Verbindung zu den Clients, eine zum Router und jeweils eine zum Primär und Backupserver.

Ich habe in jedem physischen Server 6 Netzwerkkarten verbaut (5 für LANs, 1 Failover/Management). Es existieren 6 vSwitchte. Jedem vSwitch ist eine phyische NIC zugeordnet, sowie eine Portgruppe mit dem Namen des Netzes. Dieser Portgruppe habe ich wiederum jeweils eine virtuelle NIC von jeder VM zugewiesen, damit jede VM in jedem Netz erreichbar ist. Klappt auch alles super, bis ich das mit multihoming dc mitbekommen habe.

 

Ich komme wohl nicht drum herum, den DC auf eine eigene VM mit nur einer NIC zu betreiben oder? Dann muss ich mit einem Layer 3 Switch und Vlan die Verbindung der Netze sicherstellen.

Link zu diesem Kommentar
caballero Contributor

caballero   10

Geschrieben
  • Autor
Geschrieben
Wieso? Du hast dann doch nur noch eine LAN NIC.

Mit ner VM nur für DC und nur einer NIC?

Ja dann schon...ich suche eine Lösung wobei ich die jetztige Konstellation bestehen lassen kann, aber das sieht schlecht aus. Ist es denn so fatal, wenn der DC 5 LAN Schnittstellen hat? Macht sich das wirklich so stark bemerkbar (Verzögerungen)? Wie sieht es denn mit den anderen multihomed Servern aus, sind ja quasi alle anderen auch.

Link zu diesem Kommentar
zahni Grand Master

zahni   550

Geschrieben
Geschrieben

Ja.Wenn Du für die gleiche Adresse unterschiedliche IP-Adressen registrierst, macht der DNS-Server Round Robin und gibt für jede Abfrage eine andere Adresse aus, egal ob der Client die nun erreichen kann, oder nicht.

 

Das hat sich seit Windows 2000 nicht geändert:

 

Active Directory communication fails on multihomed domain controllers

 

Ganz schlimm wird es, wenn Du mehr als ein Default Gateway einträgst. Das dürfte aber ab Windows 2008 nicht mehr gehen´.

Link zu diesem Kommentar
caballero Contributor

caballero   10

Geschrieben
  • Autor
Geschrieben
Ja.Wenn Du für die gleiche Adresse unterschiedliche IP-Adressen registrierst, macht der DNS-Server Round Robin und gibt für jede Abfrage eine andere Adresse aus, egal ob der Client die nun erreichen kann, oder nicht.

 

Das hat sich seit Windows 2000 nicht geändert:

 

Active Directory communication fails on multihomed domain controllers

 

Ganz schlimm wird es, wenn Du mehr als ein Default Gateway einträgst. Das dürfte aber ab Windows 2008 nicht mehr gehen´.

 

Zum Verständnis (ich bin noch in der Ausb.):

Also ein Server (egal, welche Anwendung drauf) mit mehreren NICs = Adresse wird durch DNS mit mehreren IPs durch RR aufgelöst (das lässt sich bei mir ja grade nicht vermeiden, da auch EX CAS alle 5 NICs benutzen müssen um in allen Netzen erreichbar zu sein). Also würde der DNS bei jeder Anfrage auf einen Server alle IPs nach RR ausgeben, egal ob im selben Netz. Und der Client arbeitet die stumpf ab. Gilt das auch für das Exchange CAS Array? Wieso kann der DNS nicht einfach die IP ausgeben, die sich im gleich Netz befindet!

 

Da ich ja ein 2 Srv DAG mit CAS array und 2 DC/DNS eingerichtet habe und sich die AD/DNS replizieren, werden wahrscheinlich alle 10 IPs (z.B. 5 von DC Primärhost, 5 Backuphost) aufgelöst. Ich hoffe nicht?

 

Ne habe nur ein GW....

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

um noch ein letztes Mal darauf zurückzukommen: Das ganze Konzept ist nicht stimmig. Du hebst deine mühsam aufgebaute Netztrennung auf, wenn alle Server in jedem Netz hängen (oder auch wenn nur ein Server in jedem Netz hängt, auf den die User draufkommen).

 

Du hast immer noch nicht beantwortet, warum die Clients netzweise getrennt sein sollen, wenn sie gleichzeitig dieselben Ressourcen nutzen dürfen. Da das Problem üblicherweise die Ressourcen sind, erschließt sich mir der ganze Ansatz nicht. Um die Clients voneinander zu trennen, reicht die Windows-Firewall üblicherweise völlig aus.

 

Abgesehen davon, nützt reine Netzwerk-Aufteilung auch nichts, wenn keine Firewall die Netze tatsächlich voneinander trennt.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...