3
Einrichtung eines Client-Serversystems
Bitte um Tipps, Kritik und Ratschläge
Hallo Ihr Lieben,
ich habe ein größeres Anliegen und bitte um Eure Hilfe oder besser Euren Rat für folgendes Szenarium.
Ich bin seit ca. 2 Wochen hier als „Administrator“ in einer gemeinnützigen GmbH tätig, welche ich von nun an betreuen möchte.
Da ich kein Profi bin, aber mit den Basics relativ gut umgehen kann, bitte ich Euch um Hilfe, Ratschläge.
Die gGmbH betreibt ein Client-Server Netzwerk mit einem Windows 2003 Standard Server welcher mit AD, DHCP-, DNS-, Print- und Dateiserver für ca. 80 Clienten (15 feste Mitarbeiter und im Schnitt ca. 65 Benutzer in ca. 6 Gruppen, welche aber nur über einen Zeitraum von 3-6 Monaten "existieren") seine Dienste bereit stellen soll.
Momentan läuft das System, jedoch tauchen eine Menge Fehler auf, welche durch ein falsch konfiguriertes AD (doppelte Computerkonten und SIDs) und Gruppenrichtlinien meiner verschiedenen Vorgänger (ABMs) zurückzuführen ist.
Da das System sporadisch und völlig unnachvollziehbar zusammenbricht (Drucker drucken nicht mehr, Netzlaufwerke können nicht erreicht werden, Anmeldungen schlagen fehl, weil die Domäne nicht gefunden werden kann usw.), plane ich die Neukonfiguration des Systems zwischen den Weihnachtsfeiertagen (ehrenamtlich).
Dazu habe ich mir folgende Gedanken zur Installation gemacht, die Ihr mit Eurer Erfahrung sicherlich verbessern oder gar kritisieren möchtet, ja sogar sollt!
#1 Hardware + Software
- Server:
Wir haben hier einen Serverrechner Intel Core2Duo 6600 mit 2 x 250 GB Festplatten im Raid1-Verbund. 2 Netzwerkkarten IntelPro 1000.
Software Windows Server 2003.
- Clients:
Intel Pentium IV Rechner oder höher.
Win2k Professional + WinXP Professional (kein Vista)
- Sicherungen:
Für die Sicherungen stehen zwei externe USB Festplatten (300 und 500GB) zur Verfügung.
#1 Gateway
CheckPoint Edge VPN Router angeschlossen an ein T-DSL Modem (Telekom)
#2 Proxy
Da wir hier nur eine 3000 DSL Leitung haben und auch nicht zeitnah an eine größere Leitung kommen werden, halte ich es für ratsam einen Proxy dazwischen zu schalten (momentan ist keiner im Netz), der dann den 65 Benutzern (die nur temporär existieren und hauptsächlich Schüler sind) den Zugriff zum Internet beschleunigen und natürlich gleichzeitig per ACLs auch den Zugriff auf dubiose Onlineangebote sperren soll.
Dazu habe ich mich für den Squid Proxy-Cache entschieden, welchen ich auf der Basis von einem Linux (Ubuntu) bereist vorbereitet habe.
#3 Netzwerkplanung
Momentan herrscht folgende Konfiguration:
Internet -> Router( 192.168.1.254) -> (192.168.1.1) Domaincontroller (192.168.0.1) -> Switch -> Clients (IP per DHCP vom DC) Drucker (jeweils fest ab 192.168.0.200) und andere Server(fest ab 192.168.0.2 – 192.168.0.10)
Da somit der Server(Domaincontroller) ebenfalls als Router fungiert und ich ausschließlich über den Proxy den Zugang ins Netz gewähren möchte, dachte ich eher an folgende Konfiguration:
Internet -> Router (192.168.0.254) -> Switch -> und dort kommt dran was „übrig“ ist. Domaincontroller (192.168.0.1), Clients (IP192.168 0.11-192.1680.199 per DHCP vom DC) Drucker (jeweils fest ab 192.168.0.200) und andere Server(fest ab 192.168.0.2-192.168.0.10)
Am Router könnte ich als einzigen Zugriff ins Netz den Proxy (192.168.0.2) zulassen, womit dann das Problem mit dem Umschreiben/Ausschalten des Proxys in den Interneteinstellungen zumindest ein wenig entgegen gewirkt werden kann.
#4 Serveraufteilung und Konfiguration
Den Server würde ich in vier Partitionen aufteilen, wobei eine für den späteren Exchange Server gedacht ist:
- Swap
- System(Windows und Programme)
- Exchange
- Daten (User,Softwareverteilung,Treiber usw.)
Die Mitarbeiter bekommen auf der Datenpartition einen eigenen Order „Mitarbeiter“, wo jeder per Ordnerumleitung einen eigenen Ordner erhält. Jede Gruppe erhält ein eigenes Netzlaufwerk zum Tauschen von Dateien.
Alle anderen Gruppen erhalten ebenfalls einen eigenen Ordner, nach demselben Prinzip, wie die Mitarbeiter. Da diese wie schon erwähnt ständig wechseln und Gruppen entfernt/hinzugefügt werden müssen, halte ich diese Aufteilung (zwecks besserer Übersicht)für sinnvoll.
Ebenfalls werde ich die User und Computer im AD in einzelne Organisiationseinheiten aufteilen, welche ich nach Bereichen in unserer gGmbH aufgeteilt werden sollen, da dort auch verschiedene Gruppenrichtlinien(Proxy,Drucker,Laufwerksmapping usw.) „ziehen“ sollen.
Softwareverteilung der meisten Programme mittels PrismDeploy (Paketierungs-, Verteilungs- & Inventarsystem)
Betriebssysteminstallation der Clients mittels Imageverteilungssoftware (Acronis Snap Deploy)
Antivirensoftware wird ebenfalls mittels Kaspersky (Small Business) Administrationskit verteilt
#5 Intranet
Des Weiteren soll ein kleines Intranet (PHP/MySQL) entstehen, welches ich auf der Basis vom XAMPP auf einer WinXP Professional Maschine (192.168.0.3) zur Verfügung stellen möchte.
#6 Sicherung
Der Sicherungstask (ntbackup) sollte Mo-Fr täglich eine inkrementelle und am Samstag eine normale Sicherung der Serverdaten und der Daten des Intranets auf der 300 GB externen USB Platte anlegen. Sonntag wird die 300 GB Platte dann mit dem SystemStatus des DCs auf die 500 GB Platte geschrieben.
#7 zweiter DC
Für die Zukunft plane ich einen zweiten DC anzulegen, jedoch fehlen dazu aber momentan die Mittel ein zweites Win2k3 zu erwerben.
Lange Rede, langer Sinn, lange Frage:
- Was halten Ihr von dieser Konfiguration?
- Was muss noch beachtet werden?
- Was sollte auf keinen Fall so passieren?
- Was muss noch beachtet werden?
Für Tipps, Ratschläge und vor allem konstruktive Kritik bin ich in jedem Fall dankbar.
Alleine denjenigen, der dass bis hier her gelesen hat, bin ich schon dankbar.
Bitte verschont mich mit Beiträgen, wie: “Alles Schei…, die Hardware kannste Dir in den Ars… stecken“
Wir sind auf öffentliche Mittel angewiesen und müssen mit dem klar kommen, was wir haben.
Selbst ich mache das hier freiwillig, das könnt Ihr dann hier auch tun. Also es ist kein Muss hier etwas schreiben.
Vielen Dank.
Gruß Kuli
ich habe ein größeres Anliegen und bitte um Eure Hilfe oder besser Euren Rat für folgendes Szenarium.
Ich bin seit ca. 2 Wochen hier als „Administrator“ in einer gemeinnützigen GmbH tätig, welche ich von nun an betreuen möchte.
Da ich kein Profi bin, aber mit den Basics relativ gut umgehen kann, bitte ich Euch um Hilfe, Ratschläge.
Die gGmbH betreibt ein Client-Server Netzwerk mit einem Windows 2003 Standard Server welcher mit AD, DHCP-, DNS-, Print- und Dateiserver für ca. 80 Clienten (15 feste Mitarbeiter und im Schnitt ca. 65 Benutzer in ca. 6 Gruppen, welche aber nur über einen Zeitraum von 3-6 Monaten "existieren") seine Dienste bereit stellen soll.
Momentan läuft das System, jedoch tauchen eine Menge Fehler auf, welche durch ein falsch konfiguriertes AD (doppelte Computerkonten und SIDs) und Gruppenrichtlinien meiner verschiedenen Vorgänger (ABMs) zurückzuführen ist.
Da das System sporadisch und völlig unnachvollziehbar zusammenbricht (Drucker drucken nicht mehr, Netzlaufwerke können nicht erreicht werden, Anmeldungen schlagen fehl, weil die Domäne nicht gefunden werden kann usw.), plane ich die Neukonfiguration des Systems zwischen den Weihnachtsfeiertagen (ehrenamtlich).
Dazu habe ich mir folgende Gedanken zur Installation gemacht, die Ihr mit Eurer Erfahrung sicherlich verbessern oder gar kritisieren möchtet, ja sogar sollt!
#1 Hardware + Software
- Server:
Wir haben hier einen Serverrechner Intel Core2Duo 6600 mit 2 x 250 GB Festplatten im Raid1-Verbund. 2 Netzwerkkarten IntelPro 1000.
Software Windows Server 2003.
- Clients:
Intel Pentium IV Rechner oder höher.
Win2k Professional + WinXP Professional (kein Vista)
- Sicherungen:
Für die Sicherungen stehen zwei externe USB Festplatten (300 und 500GB) zur Verfügung.
#1 Gateway
CheckPoint Edge VPN Router angeschlossen an ein T-DSL Modem (Telekom)
#2 Proxy
Da wir hier nur eine 3000 DSL Leitung haben und auch nicht zeitnah an eine größere Leitung kommen werden, halte ich es für ratsam einen Proxy dazwischen zu schalten (momentan ist keiner im Netz), der dann den 65 Benutzern (die nur temporär existieren und hauptsächlich Schüler sind) den Zugriff zum Internet beschleunigen und natürlich gleichzeitig per ACLs auch den Zugriff auf dubiose Onlineangebote sperren soll.
Dazu habe ich mich für den Squid Proxy-Cache entschieden, welchen ich auf der Basis von einem Linux (Ubuntu) bereist vorbereitet habe.
#3 Netzwerkplanung
Momentan herrscht folgende Konfiguration:
Internet -> Router( 192.168.1.254) -> (192.168.1.1) Domaincontroller (192.168.0.1) -> Switch -> Clients (IP per DHCP vom DC) Drucker (jeweils fest ab 192.168.0.200) und andere Server(fest ab 192.168.0.2 – 192.168.0.10)
Da somit der Server(Domaincontroller) ebenfalls als Router fungiert und ich ausschließlich über den Proxy den Zugang ins Netz gewähren möchte, dachte ich eher an folgende Konfiguration:
Internet -> Router (192.168.0.254) -> Switch -> und dort kommt dran was „übrig“ ist. Domaincontroller (192.168.0.1), Clients (IP192.168 0.11-192.1680.199 per DHCP vom DC) Drucker (jeweils fest ab 192.168.0.200) und andere Server(fest ab 192.168.0.2-192.168.0.10)
Am Router könnte ich als einzigen Zugriff ins Netz den Proxy (192.168.0.2) zulassen, womit dann das Problem mit dem Umschreiben/Ausschalten des Proxys in den Interneteinstellungen zumindest ein wenig entgegen gewirkt werden kann.
#4 Serveraufteilung und Konfiguration
Den Server würde ich in vier Partitionen aufteilen, wobei eine für den späteren Exchange Server gedacht ist:
- Swap
- System(Windows und Programme)
- Exchange
- Daten (User,Softwareverteilung,Treiber usw.)
Die Mitarbeiter bekommen auf der Datenpartition einen eigenen Order „Mitarbeiter“, wo jeder per Ordnerumleitung einen eigenen Ordner erhält. Jede Gruppe erhält ein eigenes Netzlaufwerk zum Tauschen von Dateien.
Alle anderen Gruppen erhalten ebenfalls einen eigenen Ordner, nach demselben Prinzip, wie die Mitarbeiter. Da diese wie schon erwähnt ständig wechseln und Gruppen entfernt/hinzugefügt werden müssen, halte ich diese Aufteilung (zwecks besserer Übersicht)für sinnvoll.
Ebenfalls werde ich die User und Computer im AD in einzelne Organisiationseinheiten aufteilen, welche ich nach Bereichen in unserer gGmbH aufgeteilt werden sollen, da dort auch verschiedene Gruppenrichtlinien(Proxy,Drucker,Laufwerksmapping usw.) „ziehen“ sollen.
Softwareverteilung der meisten Programme mittels PrismDeploy (Paketierungs-, Verteilungs- & Inventarsystem)
Betriebssysteminstallation der Clients mittels Imageverteilungssoftware (Acronis Snap Deploy)
Antivirensoftware wird ebenfalls mittels Kaspersky (Small Business) Administrationskit verteilt
#5 Intranet
Des Weiteren soll ein kleines Intranet (PHP/MySQL) entstehen, welches ich auf der Basis vom XAMPP auf einer WinXP Professional Maschine (192.168.0.3) zur Verfügung stellen möchte.
#6 Sicherung
Der Sicherungstask (ntbackup) sollte Mo-Fr täglich eine inkrementelle und am Samstag eine normale Sicherung der Serverdaten und der Daten des Intranets auf der 300 GB externen USB Platte anlegen. Sonntag wird die 300 GB Platte dann mit dem SystemStatus des DCs auf die 500 GB Platte geschrieben.
#7 zweiter DC
Für die Zukunft plane ich einen zweiten DC anzulegen, jedoch fehlen dazu aber momentan die Mittel ein zweites Win2k3 zu erwerben.
Lange Rede, langer Sinn, lange Frage:
- Was halten Ihr von dieser Konfiguration?
- Was muss noch beachtet werden?
- Was sollte auf keinen Fall so passieren?
- Was muss noch beachtet werden?
Für Tipps, Ratschläge und vor allem konstruktive Kritik bin ich in jedem Fall dankbar.
Alleine denjenigen, der dass bis hier her gelesen hat, bin ich schon dankbar.
Bitte verschont mich mit Beiträgen, wie: “Alles Schei…, die Hardware kannste Dir in den Ars… stecken“
Wir sind auf öffentliche Mittel angewiesen und müssen mit dem klar kommen, was wir haben.
Selbst ich mache das hier freiwillig, das könnt Ihr dann hier auch tun. Also es ist kein Muss hier etwas schreiben.
Vielen Dank.
Gruß Kuli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99509
Url: https://administrator.de/contentid/99509
Printed on: April 24, 2024 at 07:04 o'clock
3 Comments
Latest comment
Nur was Kosmetisches zum Netzdesign:
Falls du irgendwann mal planst remoten Benutzern einen Zugriff per VPN zu gewaehren solltest du von dieser banalen Allerwelts IP Netzwerk Adresse die jeder Router vom Bloedmarkt vom Grabbeltisch hat, gleich schnell Abstand nehmen und lieber etwas Exotischeres bzw. Krummes nehmen wie 192.168.75.xx oder sowas.
Oder gleich in den 172.16-32er oder 10er Bereich wechseln ! Der RFC 1918 laesst dir ja die freie Auswahl:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Damit beugst du gleich schon beim Ansatz fatalen IP Netzdopplungen vor und musst dann hier diesbezueglich keine VPN Threads eroeffnen
Wenn du den 172er oder 10er bereich niimmst kannst du ggf. gleich statt einer 24 Bit Maske (255.255.255.0) eine 23 Bit Maske (255.255.254.0) nehmen um dann statt 253 maximalen Benutzern gleich 510 in deinem Netz bedienen zu koennen. (Wenn du mit krummen Masken nicht umgehen kannst tuts auch ne 16 Bit Maske (255.255.0.0))
Nur um gleich gewappnet zu sein falls das Netz mal waechst und du keine IPs mehr hast.
Falls du irgendwann mal planst remoten Benutzern einen Zugriff per VPN zu gewaehren solltest du von dieser banalen Allerwelts IP Netzwerk Adresse die jeder Router vom Bloedmarkt vom Grabbeltisch hat, gleich schnell Abstand nehmen und lieber etwas Exotischeres bzw. Krummes nehmen wie 192.168.75.xx oder sowas.
Oder gleich in den 172.16-32er oder 10er Bereich wechseln ! Der RFC 1918 laesst dir ja die freie Auswahl:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Damit beugst du gleich schon beim Ansatz fatalen IP Netzdopplungen vor und musst dann hier diesbezueglich keine VPN Threads eroeffnen
Wenn du den 172er oder 10er bereich niimmst kannst du ggf. gleich statt einer 24 Bit Maske (255.255.255.0) eine 23 Bit Maske (255.255.254.0) nehmen um dann statt 253 maximalen Benutzern gleich 510 in deinem Netz bedienen zu koennen. (Wenn du mit krummen Masken nicht umgehen kannst tuts auch ne 16 Bit Maske (255.255.0.0))
Nur um gleich gewappnet zu sein falls das Netz mal waechst und du keine IPs mehr hast.
Hallo Aqui,
danke für den Tip. Ich hatte bereits gelesen, dass der IP-Adressraum laut RFC 1918 auch mit der 172.16er möglich ist. Allerdings habe ich noch keinen Grund gehabt, diesen zu nutzen. Das Netz wird definietiv nicht größer werden, da wir aus Platzgründen maximal 100 User (wenn überhaupt) "bedienen" können. Allerdings verstehe ich noch nicht ganz, warum der 192.168.0.0/24 die schlechtere Wahl ist. Oder anders gesagt, was meinst Du mit Netzdopplungen? Heißt das, wenn ich mich per VPN einwählen sollte und ich daheim ebenfalls den Adressbereich habe, dass es da zu Problemen kommen kann?
Ganz egal ich werde mich für eine andere Adresse entscheiden.(Ich will es eben nur verstehen.
)
z.B. 192.168.133.0/24 (denn so springt man automatisch ins nächste Eingabefeld beim Eingeben der IP Adressen
.
Dennoch vielen Dank fürs Lesen, ansonsten war alles soweit o.k.?
Gruß Kuli
PS: Habe gerade Deinen Thread über das Einrichten eines W-Lans mit AP gelesen. Du hast es echt drauf, jemanden etwas klar zu machen. Sehr gutes Tutorial! 1PLus!
danke für den Tip. Ich hatte bereits gelesen, dass der IP-Adressraum laut RFC 1918 auch mit der 172.16er möglich ist. Allerdings habe ich noch keinen Grund gehabt, diesen zu nutzen. Das Netz wird definietiv nicht größer werden, da wir aus Platzgründen maximal 100 User (wenn überhaupt) "bedienen" können. Allerdings verstehe ich noch nicht ganz, warum der 192.168.0.0/24 die schlechtere Wahl ist. Oder anders gesagt, was meinst Du mit Netzdopplungen? Heißt das, wenn ich mich per VPN einwählen sollte und ich daheim ebenfalls den Adressbereich habe, dass es da zu Problemen kommen kann?
Ganz egal ich werde mich für eine andere Adresse entscheiden.(Ich will es eben nur verstehen.
)
z.B. 192.168.133.0/24 (denn so springt man automatisch ins nächste Eingabefeld beim Eingeben der IP Adressen
.Dennoch vielen Dank fürs Lesen, ansonsten war alles soweit o.k.?
Gruß Kuli
PS: Habe gerade Deinen Thread über das Einrichten eines W-Lans mit AP gelesen. Du hast es echt drauf, jemanden etwas klar zu machen. Sehr gutes Tutorial! 1PLus!
[EDIT] Habs gerade gelesen:
Umgekehrt führt die Verwendung von privaten Adressbereichen regelmäßig zu Problemen,
wenn etwa Firmen-LANs per VPN miteinander verbunden werden sollen und beide
Standorte die selben Netze verwenden. Dem kann im Vorfeld entgegengewirkt werden,
indem auch bei unverbundenen Netzen die privaten Adressbereiche durchdacht und sinnvoll
aufgeteilt werden.
Mit Verwendung öffentlicher und somit einmaliger IP-Adressen kann dieses Problem gänzlich vermieden werden,
allerdings auf Kosten des knappen IP->Adressraums.
Umgekehrt führt die Verwendung von privaten Adressbereichen regelmäßig zu Problemen,
wenn etwa Firmen-LANs per VPN miteinander verbunden werden sollen und beide
Standorte die selben Netze verwenden. Dem kann im Vorfeld entgegengewirkt werden,
indem auch bei unverbundenen Netzen die privaten Adressbereiche durchdacht und sinnvoll
aufgeteilt werden.
Mit Verwendung öffentlicher und somit einmaliger IP-Adressen kann dieses Problem gänzlich vermieden werden,
allerdings auf Kosten des knappen IP->Adressraums.
"...Heißt das, wenn ich mich per VPN einwählen sollte und ich daheim ebenfalls den Adressbereich habe, dass es da zu Problemen kommen kann?..."
Ganz genau, das VPN funktioniert dann nicht !!! Jeder Dummbatz Router hat diese IP und jeder übernimmt sie kritiklos.
Bei VPN Verwendung ist das dann tödlich, wie du oben ja selber erkannt hast
Besser also den 172er oder 10 Adresse mit 24er Subnetzmaske.
Wenn du alles neu machst hast du ja eh grüne Wiese !!!
Ganz genau, das VPN funktioniert dann nicht !!! Jeder Dummbatz Router hat diese IP und jeder übernimmt sie kritiklos.
Bei VPN Verwendung ist das dann tödlich, wie du oben ja selber erkannt hast
Besser also den 172er oder 10 Adresse mit 24er Subnetzmaske.
Wenn du alles neu machst hast du ja eh grüne Wiese !!!
