Zwei Standorte per VPN miteinander verbunden = eine Domain?

[Wolke2k4 11]

Moin Zusammen,

 

wir haben vor, das gute alte Novell durch eine Windows Server 2003 Domain abzulösen.

 

Dazu folgende Vorraussetzungen:

 

Standort A (IP Netz: 192.168.0.0/24) mit Novell Server (wird durch einen neuen Server mit W2K3 ersetzt)

 

Standort B (IP Netz: 192.168.95.0/24) bekommt den alten Server (die Hardware) von Standort A ebenfalls mit W2K3

 

Da die Standorte zukünftig per VPN miteinander verbunden werden war unsere Überlegung gleich nur eine Domain aus dem Boden zu stampfen.

Somit würden wir zunächst den neuen Server in Standort A als ersten DC installieren, danach den Novell Server platt machen, ebenfalls mit W2K3 bestücken und als zweiten DC für Standort B einrichten.

 

Meine Fragen nun: Macht das Szenario Sinn, empfiehlt es sich doch zwei getrennte Domains einzurichten (IHMO nicht...) und gibt es Probleme, wenn man den DC von Standort B zunächst im IP Netz von Standort A installiert und dann später die IP ändert (entsprechend dem Standort B)?

Eventuell hatte ich daran gedacht einen Router aufzusetzen um die Server schon in den entsprechenden Netzen zu installieren.

 

Ich bin für jede Anregungen dankbar!

[the_brayn 10]

Hiho,

 

eine Domäne macht hier Sinn, es sei denn Deine Domäne hat zu viele Objekte, was ich angesichts von Zwei DC nicht glaube.

 

Standorte dort in OU´s abbilden.

Eventuell hatte ich daran gedacht einen Router aufzusetzen um die Server schon in den entsprechenden Netzen zu installieren.

Macht Sinn, da ich IMHO nicht die IP am DC ändern kann, zumindest nicht ohne weitere Probleme.

 

Gruß Guido

[Velius 10]

@Wolke2k4

 

Das von MS empfohlene Szenario für zwei Domänen setzt nur dann ein, wenn man unterschiedliche Passwortrichtlinien hat, oder wenn man die Amin Berechtigungen klarer trennen möchte.

Bei dir ist ja scheinbar keines von beidem der Fall.

 

 

Gruss

Velius

 

 

P.S.: Die Objektanzahl hat seit AD auch nur noch eine untergeordnete Rolle; die maximale Objektanzahl ist im Gegensatz zu NT 4.0 Domänen nahezu nicht erreichbar.

[Hr_Rossi 10]

hallo

 

Apropos Objekt Zahl im AD !

 

Wusstet ihr, dass in Taiwan das komplette Meldewesen im AD ist !? cool oder

 

mfg

rossi

 

p.s.: Zum Thread würde folgendes empfehlen :

 

An jedem Standort eien Router der IPSec fähig ist z.B: Zyxel Zywall2 die beiden dann mit IPSec Site-to-Site verbinden !!

Das ist der wenigste Aufwand und du kannst dann dies mit Hostrouten steuern !

Bei mit funkt das so supi !!

[Wolke2k4 11]

Schön, dass wir da alle einer Meinung sind. :)

 

Die VPN Endgeräte haben wir schon, verschlüsselt wird mit IPSec und das Routing ist auch klar. Von daher sollten wir keine Probleme haben.

 

Einzige offene Frage ist jetzt noch, ob es Probleme geben kann, wenn der Server für Standort B sich nicht gleich regelmässig mit A abgleicht. Wir werden Server A und B zunächst zwar gleichzeitig aufsetzen Server B jedoch erst eine Woche später in Standort B aufstellen, da erst dann die VPN Verbindung stehen wird. Aber eigentlich sollte sich Server B nicht schwer tun, wenn er mit B mal ein paar Tage nicht spricht oder?

 

Wie schaut es eigentlich mit dem Traffic zwischen den beiden DCs aus? Gibt es Aussagen, wie oft und mit wieviel Traffic sich beide Server miteinander abgleichen?

 

Vielen Danke erstmal für die Antworten!

[Hubert N 10]

Das Replikationsintervall kannst du deinen Wünschen entsprechend anpassen. Einer Aussage zum Thema "Traffic" lässt sich so pauschal garnicht machen. Das ist sicher abhängig davon, wieviele Änderungen repliziert werden müssen.

Wichtig ist, dass du an jedem Standort einen Server als globalen Katalog definierst.

[Wolke2k4 11]

Beide Server sehen sich doch über die VPN Verbindung warum also den Server in der Außenstelle als GC einrichten?

 

Das Replikationsintervall kann man wo einstellen?

[gogo_sven 10]

Also, ich habe letze Woche, 3 Standorte mithilfe von VPN Access geräten von Bintec verbunden und eine Domäne mit 3 Servern gebaut.... nach anlaufschwierigkeiten klappt es jetzt echt SUPER.... wir haben dort eine 2 M/bit SDSL Leitung mit festen IP´s.

 

Wenn du erst den ein Server aufstellst, kann der ja seinen Dienst erfüllen und eine Woche später machst du auf den anderen Server einfach dcpromo und sagst als zusätzlichen DC hinzufügen... klappt 100%.

 

Gruß Sven

[Wolke2k4 11]

Das ist schon soweit klar, anders hatte ich es auch nicht vor.

 

Aber nochmal die Frage: Muss ich den DC im Standort B auch zum Golbal Catalog Server machen?

[gogo_sven 10]

Nein, du fügst ihn als zusätzlichen DC hinzu, replizieren wird er sich soweit es nötig selbst.

Der Globale Katalog bleibt, denke ich, nur auf den Server 1.

[Wolke2k4 11]

Laut http://www.wintotal-forum.de/index.php/topic,47686.0.html wäre es dann wohl aber doch besser beide Server zum GC zu machen...??

[Velius 10]

Nö, ist nur eine Domäne, dann brauchts echt nicht mehrere GC's, da Anfragen an diesen nahezu geich Null sind. Anders sieht es in einer Multi-Domain Umgebung aus.

 

Ausserdem steht da im Thread dass man auf einem anderen DC das Häckchen reinmachen soll, dann klappt's auch wieder mit dem Nachbarn, äh GC. ;)

[Wolke2k4 11]

Jup sehe gerade, es würde wohl reichen, wenn man den DC im Standort B manuell zum GC macht, wenn der DC im Standort A mal ausfallen sollte... oder?

 

Für die Replika ist es also nicht zwingend notwendig beide zum GC zu machen. Änderungen an DC B wie auch DC A werden aber trotzdem auf das jeweilige Gegenstück repliziert?

[Velius 10]

Yep, genau.

 

Innerhalb einer Domäne replizieren alle DC's alles. Falls der eine abrauchen sollte kann man einen anderen zum GC machen.

 

 

Gruss

Velius

[Wolke2k4 11]

Alles klar, Danke!