Jump to content

Win2019 zu DC hochstufen - pfSense DHCP/DNS empfehlung

Seppim

Von Seppim
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Seppim Experienced

Seppim   14

Geschrieben
Geschrieben

Hallo,

 

ich habe:

1x pfSense mit 5 VLAN´s mit je einem DHCP auf der pfSense

1x Win2019 Standard

 

2 der 5 VLAN´s soll für eine Schule genutzt werden und der Win2019 soll als DC arbeiten.

 

Wenn ich den Server zum Domänen Controller hochstufe, ist DNS ja sehr wichtig, richtig? Da soll also DHCP und DNS unbedingt vom DC verwaltet werden?

 

Ich habe 2 physikalisch NIC´s (1x für VLAN Lehrer, 1x für VLAN Schüler)

Lehrer dürfen ins LAN der Schüler, aber nicht umgekehrt.

 

Ich benötige also auf dem DC also 2 DHCP Bereiche die je auf die passende NIC arbeiten.

 

Muss der Win2019 Server einen Primären DHCP Bereich haben?

DNS gibt es nur eine interne .local

 

Das würde soweit passen?

 

Danke!

Link zu diesem Kommentar
Dukel Grand Master

Dukel   457

Geschrieben
Geschrieben
22 minutes ago, Seppim said:

Wenn ich den Server zum Domänen Controller hochstufe, ist DNS ja sehr wichtig, richtig? Da soll also DHCP und DNS unbedingt vom DC verwaltet werden?

DHCP muss nicht unbedingt auf dem DC gemacht werden. Wenn jemand anderes DHCP macht, sollte der nur die DC's als DNS mitteilen.

22 minutes ago, Seppim said:

Ich habe 2 physikalisch NIC´s (1x für VLAN Lehrer, 1x für VLAN Schüler)

Lehrer dürfen ins LAN der Schüler, aber nicht umgekehrt.

Wo hast du zwei Nics? Auf dem DC? Mach das nicht!

 

Unabhängig davon:

Das klingt nach nur einem DC. Hier wäre min. ein zweiter DC zu überlegen.

Link zu diesem Kommentar
testperson Grand Master

testperson   1.728

Geschrieben
Geschrieben

Hi,

vor 25 Minuten schrieb Seppim:

2 der 5 VLAN´s soll für eine Schule genutzt werden und der Win2019 soll als DC arbeiten.

fünf VLANs und zwei für eine Schule? Was machen die anderen VLANs?

vor 25 Minuten schrieb Seppim:

Wenn ich den Server zum Domänen Controller hochstufe, ist DNS ja sehr wichtig, richtig? Da soll also DHCP und DNS unbedingt vom DC verwaltet werden?

Ja, DNS ist sehr wichtig. Du solltest evtl. von vorneherein nicht nur von "dem Domänen Controller" ausgehen sondern direkt über (mindestens) zwei Domänen-Controller (und DNS) nachdenken. DHCP _muss_ bzw. _sollte_ nicht zwingend auf dem DC laufen.

 

vor 27 Minuten schrieb Seppim:

Ich habe 2 physikalisch NIC´s (1x für VLAN Lehrer, 1x für VLAN Schüler)

Das solltest du direkt bleiben lassen und per Routing / Firewall lösen. Multihomed DCs gilt es zu vermeiden.

 

vor 27 Minuten schrieb Seppim:

DNS gibt es nur eine interne .local

Wenn da noch nichts vorhanden ist, würde ich mir das überlegen: https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

 

vor 28 Minuten schrieb Seppim:

Das würde soweit passen?

In meinen Augen passt da (ziemlich) wenig. Evtl. solltest du jemanden dazu holen der dir dabei unter die Arme greift bzw. das Projekt zusammen mit dir angeht.

 

Gruß

Jan

Link zu diesem Kommentar
Seppim Experienced

Seppim   14

Geschrieben
  • Autor
Geschrieben

Hallo,

 

vielen dank.

Die restlichen 3 VLAN´s sind allgemein und haben mit der Schule nichts zu tun.

 

Dann belasse ich den DHCP auf der pfSense und gebe als DNS den Server an

 

Die Schüler Notebooks werden in die AD eingebunden. Daher benötigen diese Zugriff auf den Server sowie einige Dateien Freigaben.

Auch ist der Wunsch das die Netze an sich getrennt sind. Ein zweiter DC als eigenständigen Server ist nicht möglich. Hier wäre nur der Hyper-V möglich. Ich habe nur einen Physikalischen Server.

 

Wenn dies für den DC ein großes Problem ist, würde ich noch eher die beiden Netze zusammenlegen. Das das Netz Schüler auf das Netz Lehrer kommt und da nur auf die eine Server IP und sonst nichts im Lehrer LAN.

 

Vielen Dank!

Link zu diesem Kommentar
Dukel Grand Master

Dukel   457

Geschrieben
Geschrieben

Du kannst die VLans schon trennen, aber nicht, wie du dir das vorstellst.

Ich würde dafür drei VLans anlegen. VLan Schüler, VLan lehrer und VLan Server / DC. Über ein Routing kann dann das Subnetz der Schüler auf das Server / DC Netz zugreifen und auch das Lehrer Subnetz auf das Server / DC aber das Schüler nicht auf das Lehrer Netz und andersrum.

Link zu diesem Kommentar
testperson Grand Master

testperson   1.728

Geschrieben
Geschrieben

  

vor 22 Minuten schrieb Seppim:

Die restlichen 3 VLAN´s sind allgemein und haben mit der Schule nichts zu tun.

Dann habe die in meinen Augen überhaupt nichts in der Infrastruktur einer Schule zu suchen.

 

Sei mir nicht böse, aber ich habe die Vermutung, dass du ein wenig zu blauäugig an diese Sache hier ran gehst.

 

Link zu diesem Kommentar
Seppim Experienced

Seppim   14

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo,

 

hat nun alles gut geklappt  :-)

 

Nun wäre noch ein Punkt zu erledigen:

Die Schüler Notebooks sollen nicht automatisch Updates installieren. Wenn diese die Notebooks starten und ein großes Update läuft, behindert das den Unterricht.

 

ich habe per Gruppenrichtline:

image.thumb.png.2f598da87edb39a5c45add1eb970ae75.png

 

mal alles deaktiviert. Passt das soweit?

 

Am Server ist WSUS installiert ... kann ich ein Update per Script oder Kommando manuell auf allen Rechner starten?

Dann ist einmal in der Woche am Ende der Stunde ein Update check und Installation.

 

Oder wir würdet ihr das machen?

 

bearbeitet von Seppim
Link zu diesem Kommentar
BOfH_666 Veteran

BOfH_666   577

Geschrieben
Geschrieben
vor 30 Minuten schrieb Seppim:

Dann ist einmal in der Woche am Ende der Stunde ein Update check und Installation.

Unabhängig von den technischen Aspekten ... "... am Ende der Stunde ..." ... und die Schüler warten dann so lange, bis das Update gechecked und fertig installiert ist?  Das könnte - je nach bestehender Konfiguration schon mal eine ganze Weile dauern.  ;-) 

Link zu diesem Kommentar
mwiederkehr Mentor

mwiederkehr   384

Geschrieben
Geschrieben

Es gibt für Schulen spezielle Notebookwagen, in denen die Notebooks mit Strom und Netzwerk versorgt werden. Die Stecker werden dem Notebookmodell entsprechend positioniert, so dass die Notebooks von den Schülern nur in das Fach geschoben werden müssen.

 

Dann hat man Wake on Lan zur Verfügung und kann Updates nachts installieren. Falls man eine Softwareverteilung hat, kann die das, sonst muss man es selber scripten.

Link zu diesem Kommentar
Seppim Experienced

Seppim   14

Geschrieben
  • Autor
Geschrieben

Die Notebooks bleiben so lange am Tisch, bis die fertig sind .. der Lehrer räumt dann weg :-) (Wurde mir gesagt).

Alle Notebooks kommen in einen Schrank und hängen am Strom.

 

Leider habe ich wohl beim hinzufügen zum WSUS noch ein Problem.

image.thumb.png.ef921c4e4124288fc81a082380e9483a.png

 

srv01 ist der Wsus Server .. muss ich noch einen Port angeben oder das irgendwo sonst noch aktivieren? GP wurde manuell aktualisiert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...