DC mit mehreren IP Adressen + 2. DC über VPN...

[Assassin 13]

exakt...den zweiten DC gibts noch nicht lange...er hat sich auch Repliziert, aber es gibt halt mal tage, wo er das nicht macht, und wenn ich mir dann die Namensauflösung ansehe, also Ping auf Hostname Server Standort1 - sehe ich auch warum, weil der Ping anscheinend jeden Tag auf eine andere IP des Primären DCs gehen soll.

 

Gut, also was machen? Routing und die Endgeräte so lassen, oder an jedes endgerät ran, IP bzw. Subnetmaske anpassen und mit VLans etwas einschränken soweit es nötig ist?

bearbeitet 9. Januar 2019 von Assassin

[magheinz 110]

Zeichne doch mal den Aufbau des Netzes mit den Subnetzen auf. Dann kann man mal dne Aufwand abschätzen. Unter anderem ist die Frage welche aktiven Komponenten mit welchen technischen Möglichkeiten da sind. 

[Gulp 263]

Was denn nun? Im ersten Post schreibst Du die Replikation funktioniert und jetzt tut sie es nicht oder nur manchmal?

 

Sieht man mal wieder wie detaillierte Fehlerbeschreibungen im Endeffekt aussehen.

 

Rein interessehalber, wie bekommt man denn so ein VPN hin?

 

Grüsse

 

Gulp

[Assassin 13]

der Tunnel steht...ist eine Site-to-Site Router kopplung.

[Gulp 263]

Also bei uns beinhaltet Site-to-Site auch alle Netze der jeweiligen Sites, deswegen auch die Nachfrage, weil sowas eben nicht ohne Routing im VPN gehen kann und bei mehr als einem vorhandenen Netz eines davon mit einem anderen koppeln Site-to-Site nennen ist schon sportlich.

 

Nichts für ungut, aber ich würde da jetzt nicht mehr groß rumbasteln wollen und das Netz ordentlich neu planen und aufziehen, dann klappt das zum einen mit der Replikation und erleichtert die zukünftige Fehlersuche ungemein.

 

Grüsse

 

Gulp

[magheinz 110]

vor 3 Minuten schrieb Gulp:

Also bei uns beinhaltet Site-to-Site auch alle Netze der jeweiligen Sites, 

Bei uns nicht, deswegen würde ich da s nicht als allgemeingültig sehen. 

[NorbertFe 2.089]

Aber ihr wißt ja auch, was und wie warum das so konfiguriert wurde. ;)

[Gulp 263]

 

vor 12 Minuten schrieb magheinz:

Bei uns nicht, deswegen würde ich da s nicht als allgemeingültig sehen. 

Ich wette, das ist aber eher Absicht und liesse sich mit einer oder mehreren Route recht fix konfigurieren, wäre zumindest so bei uns.

 

Im Unternehmensumfeld mit mehreren Standorten sollte es eher der Standard sein alle Netze der jeweiligen Standorte (also Sites) miteinander zu verbinden. Hat man als Firma XY einen Standort A und B verbindet man aus meinem Verständnis zunächst bei der Planung immer zunächst alle Netze der jeweiligen Standorte generell.

Sicherlich ergeben sich dann je nach Unternehmensstruktur und den jeweiligen Gegebenheiten, Anforderungen und Detailplanungen auch Einschränkungen oder Notwendigkeiten bestimmte Netze nicht zu routen, aber das würde ich immer von "erlaube alle Netze" herunterbrechen und nicht erst mal nur ein Netz verbinden.

 

Grüsse

 

Gulp

bearbeitet 9. Januar 2019 von Gulp

[magheinz 110]

vor 41 Minuten schrieb Gulp:

 

Ich wette, das ist aber eher Absicht und liesse sich mit einer oder mehreren Route recht fix konfigurieren, wäre zumindest so bei uns.

Das ist natürlich richtig.

Mein Gedanke war damals beim Einrichten: wo keine Route ist brauche ich auch keine ACL. Das spart Ressourcen. 

[daabm 1.366]

Der Thread hat meinen Tag gerettet :) :) :)

[NorbertFe 2.089]

So sind wir zu dir. Zukünftig wissen wir, wenns dir schlecht geht, schreiben wir schnell was zu multihomed DCs. ;) :p

[daabm 1.366]

Ja, das hilft immer. Wir machen das seit Jahren - vollautomatisiert, im großen Maßstab und ohne Probleme. Aber man sollte _vorher_ sehr genau wissen, was genau man macht

[Assassin 13]

Also, netzwerk läuft wieder, auch über VPN.

Wir haben die "wichtigsten" Geräte von der IP her so angepasst, dass der DC nur noch eine IP hat, und das DNS damit auch wieder sauber ist.

 

 

Aber was mich dennoch wundert - wie kann es netzintern bisher funktioniert haben?

Ich meine, wenn ein Gerät im anderem IP Adressbereich den DNS Fragt - wie ist die IP vom DC? - konnte sich doch der DC aussuchen, was er als IP als antwort schickt...

 

mir scheint es, als würde das DNS eventuell doch schon IP Adressbereich-Bezogen die korrekte rückantwort geben.

 

also die sache verwirrt mich schon sehr, wie es das über jahre hinweg funktionieren konnte?

[Sunny61 809]

vor 4 Minuten schrieb Assassin:

also die sache verwirrt mich schon sehr, wie es das über jahre hinweg funktionieren konnte?

Wurden die Server 4 Jahre lang nicht neu gestartet? Nicht aktualisiert?

[Assassin 13]

Doch, regelmäßig sogar.

 

Aber kann es sein, das sich die Clients dann selber kümmern und jede IP "durchprobieren"? Wenn ein NSlookup auf den DC Namen gemacht wurde, hat man 3 IP Adressen als antwort bekommen.

Das die Clients da vieleicht schlau genug sind, und merken - ich kann nur die IP erreichen weil ich in dem Subnet stehe - also nutze ich auch nur die IP ?

bearbeitet 15. Januar 2019 von Assassin