3
Netzwerkumgebung redundant auslegen und vor Ausfall schützen- Konzept
Hallo zusammen,
ich habe folgende Szenario: Eine Umgebung mit ca. 80 Rechnern und Mitarbeitern. Die interne IT ist recht überschaubar aufgebaut.
Es ist eine Windowsumgebung mit mehreren Windows Server 2008 R2 Systemen und einer ActiveDirectory Umgebung. Auch diverse Linux Server, diese dienen aber eher als Webserver oder Freeradius server etc.
Das Netzwerk ist über 3 Etagen mit Netgear GS724T Switchen ausgestattet. Es gibt ein Router von Peplink der 3 VDSL WAN Verbindungen nach aussen hat und sonst auch das komplette Routing der Firma übernimmt, sowie Portforwarding für gewisse Dienste (OWA..).
Da fängt es schon an, wenn der Router ausfällt ist keine Internetverbindung für die ganze Firma mehr vorhanden, auch das Routing in verschiedene Netze fällt flach.
Daher die erste Frage, wie kann man ein Router "redundant" schalten? Wenn dieser ausfällt soll ein Ersatzgerät einschalten. Gibt es in dem Bereich auch eine Art "Heartbeat" Funktion wie bei diversen anderen Server oder wie würdet ihr so einen Ausfall vorbeugen? Bisher ist hier ein ähnliches Gerät, welches gleich konfiguriert ist welches dann aber von Hand umgetauscht werden muss.
Das gleiche bei den Switchen. Es gibt Switche welche die Verteiler sind für andere Switche. Alle sind über PortTrunking und LinkAggregation und aktiviertem STP Protokoll verbunden. Wie geht man da vor einem Ausfall eines Verteilerswitches vor? Kann man zwei identische Switche zusammenschließen, sodass wenn eines davon ausfällt der zweite Switch trotzdem die Pakete weiterleiten kann oder wie sollte man da vor gehen?
Und zuletzt geht es noch um eine redundaten Auslegung von diversen Protokollen wie DHCP, DNS, ActiveDirectory. Wie sollte man da am besten vorgehen?
Momentan werden die Dienste auf Windows 2008 Servern bereitgestellt. Fällt ein Server aus, ist der Dienst auch nicht mehr erreichbar. Sollte man diese Dienster dann clustern? Viele Server laufen virtualisiert auf einem HyperV. Der DHCP und DNS allerdings läuft auf einer physischen Maschine.
Es war schon oft der Fall das der DHCP Server ausgefallen ist und dann garkeine Netzwerkverbindungen bei den CLients mehr vorhanden war. Das kann aber eigentlich garnicht sein oder? Es gibt ja normal eine Lease-Time wenn ein Rechner bereits am DHCP angemeldet war. Weiß jemand wo man diese konfiguriert bei Win2008 R2 als DHCP als Rolle?
Was würdet ihr noch unternehmen, um das Netzwerk und die Systeme allgemein so Ausfallsicher wie möglich auszulegen? Es wird auch am Wochenende gearbeitet und die IT ist dann nicht vor Ort. Sollte da ein Ausfall sein muss immer einer von der IT vorbei kommen oder über Remote versuchen das Problem zu lösen.
Vielen Dank im Voraus
ich habe folgende Szenario: Eine Umgebung mit ca. 80 Rechnern und Mitarbeitern. Die interne IT ist recht überschaubar aufgebaut.
Es ist eine Windowsumgebung mit mehreren Windows Server 2008 R2 Systemen und einer ActiveDirectory Umgebung. Auch diverse Linux Server, diese dienen aber eher als Webserver oder Freeradius server etc.
Das Netzwerk ist über 3 Etagen mit Netgear GS724T Switchen ausgestattet. Es gibt ein Router von Peplink der 3 VDSL WAN Verbindungen nach aussen hat und sonst auch das komplette Routing der Firma übernimmt, sowie Portforwarding für gewisse Dienste (OWA..).
Da fängt es schon an, wenn der Router ausfällt ist keine Internetverbindung für die ganze Firma mehr vorhanden, auch das Routing in verschiedene Netze fällt flach.
Daher die erste Frage, wie kann man ein Router "redundant" schalten? Wenn dieser ausfällt soll ein Ersatzgerät einschalten. Gibt es in dem Bereich auch eine Art "Heartbeat" Funktion wie bei diversen anderen Server oder wie würdet ihr so einen Ausfall vorbeugen? Bisher ist hier ein ähnliches Gerät, welches gleich konfiguriert ist welches dann aber von Hand umgetauscht werden muss.
Das gleiche bei den Switchen. Es gibt Switche welche die Verteiler sind für andere Switche. Alle sind über PortTrunking und LinkAggregation und aktiviertem STP Protokoll verbunden. Wie geht man da vor einem Ausfall eines Verteilerswitches vor? Kann man zwei identische Switche zusammenschließen, sodass wenn eines davon ausfällt der zweite Switch trotzdem die Pakete weiterleiten kann oder wie sollte man da vor gehen?
Und zuletzt geht es noch um eine redundaten Auslegung von diversen Protokollen wie DHCP, DNS, ActiveDirectory. Wie sollte man da am besten vorgehen?
Momentan werden die Dienste auf Windows 2008 Servern bereitgestellt. Fällt ein Server aus, ist der Dienst auch nicht mehr erreichbar. Sollte man diese Dienster dann clustern? Viele Server laufen virtualisiert auf einem HyperV. Der DHCP und DNS allerdings läuft auf einer physischen Maschine.
Es war schon oft der Fall das der DHCP Server ausgefallen ist und dann garkeine Netzwerkverbindungen bei den CLients mehr vorhanden war. Das kann aber eigentlich garnicht sein oder? Es gibt ja normal eine Lease-Time wenn ein Rechner bereits am DHCP angemeldet war. Weiß jemand wo man diese konfiguriert bei Win2008 R2 als DHCP als Rolle?
Was würdet ihr noch unternehmen, um das Netzwerk und die Systeme allgemein so Ausfallsicher wie möglich auszulegen? Es wird auch am Wochenende gearbeitet und die IT ist dann nicht vor Ort. Sollte da ein Ausfall sein muss immer einer von der IT vorbei kommen oder über Remote versuchen das Problem zu lösen.
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281821
Url: https://administrator.de/contentid/281821
Printed on: April 19, 2024 at 05:04 o'clock
3 Comments
Latest comment
Hallo Stay,
erster Punkt: Was für ein Budget hast du?
Zweiter Punkt: Grundsätzlich kannst du alles von der Internetleitung über die Firewall bis hin zum Server redundant gestalten. Nur wird es, je mehr du an die annähernd 100% gehst eben entsprechend preisintensiver - ob man es teuer nennen mag oder nicht, kommt auf den BWLer an
Dritter Punkt, Zertifizierung: Grundsätzlich sieht die ISO 27001 eine Ausfallsicherheit im Prinzip schliesslich vor, die Frage ist, ob es das nur auf dem Blatt tut, oder tatsächlich.
Final: Was genau dein Konzept bzw auch die Umsetzung sein wird kommt auf die genaue Umgebung und das Budget an. DHCP, DNS etc sind natürlich entsprechend redundant bis hochredundant fahrbar. Alle anderen Dienste grundsätzlich auch. Es kommt nur auf die Anstrengung an, diese in den Status zu bringen.
Viele Grüße,
Christian
PS: Wenn du dazu externe Unterstützung brauchst, darfst dich gerne an mich wenden.
PPS: Denke nicht, dass die IT nicht trotzdem gerufen werden sollte, wenn am Samstag Mittag um 4 ein System steht - Murphy's Law und so - nur mit dem Reserverad fahren, weil man eins hat ist nicht die Optimallösung, gerade, wenn 80+ Mitarbeiter deswegen am Montag ggf. Däumchendrehen - bei 80*4*8,5 sind das nämlich rein beim Mindestlohn (welchen Ihr hoffentlich toppt) schon 3000€ Lohnkosten für nichts. (@BWLer )
erster Punkt: Was für ein Budget hast du?
Zweiter Punkt: Grundsätzlich kannst du alles von der Internetleitung über die Firewall bis hin zum Server redundant gestalten. Nur wird es, je mehr du an die annähernd 100% gehst eben entsprechend preisintensiver - ob man es teuer nennen mag oder nicht, kommt auf den BWLer an
Dritter Punkt, Zertifizierung: Grundsätzlich sieht die ISO 27001 eine Ausfallsicherheit im Prinzip schliesslich vor, die Frage ist, ob es das nur auf dem Blatt tut, oder tatsächlich.
Final: Was genau dein Konzept bzw auch die Umsetzung sein wird kommt auf die genaue Umgebung und das Budget an. DHCP, DNS etc sind natürlich entsprechend redundant bis hochredundant fahrbar. Alle anderen Dienste grundsätzlich auch. Es kommt nur auf die Anstrengung an, diese in den Status zu bringen.
Viele Grüße,
Christian
PS: Wenn du dazu externe Unterstützung brauchst, darfst dich gerne an mich wenden.
PPS: Denke nicht, dass die IT nicht trotzdem gerufen werden sollte, wenn am Samstag Mittag um 4 ein System steht - Murphy's Law und so - nur mit dem Reserverad fahren, weil man eins hat ist nicht die Optimallösung, gerade, wenn 80+ Mitarbeiter deswegen am Montag ggf. Däumchendrehen - bei 80*4*8,5 sind das nämlich rein beim Mindestlohn (welchen Ihr hoffentlich toppt) schon 3000€ Lohnkosten für nichts. (@BWLer
)
Dieser Thread behandelt eine identische Thematik und sollte alle Fragen,jedenfalls die zur Netzwerk Infrastruktur, beantworten:
Optimierung einer bestehenden Netzwerkinfrastruktur
Optimierung einer bestehenden Netzwerkinfrastruktur
Hallo,
das mit dem Budget sollte man immer wirklich vorher klären, denn sonst raten wir uns hier
einen ab und das auch noch im freien Fall.
(Distributed Layer) und wie und woran sind die denn angebunden?
Interface zwei redundante Geräte aufsetzen, gar kein Thema. Da gibt es auch mehrere
Ansätze zu die sich bewährt haben und zu einer Lösung führen. Kommt immer darauf
an was ihr dort direkt macht!
Eigenbau & fertige Router:
- Cisco ASR
- OpenBSD & OpenBGPD
- DD-WRT oder OpenWRT
- MikroTik RouterBoards oder CCRs
Eigenbau & fertige Firewalls:
- Sophos UTM
- Juniper SSG, SRX und EX
- Cisco ASA 5xxx
- pfSense, ClearOS
etwas unternehmen, nur sollte dann auch immer die Hardware Dimensionierung
stimmen.
- Core Layer (Kernrouter)
- Distributed Layer (Etagen oder Gebäude Switche)
- Access Layer (Anbindung der Enduser und Geräte)
Und die Stapel werden dann an zwei Core Switche angebunden
oder? Zwei Server mit Hyper-V und ein oder sogar zwei SANs im Hintergrund und alles ist
hübsch bei Euch.
Gruß
Dobby
das mit dem Budget sollte man immer wirklich vorher klären, denn sonst raten wir uns hier
einen ab und das auch noch im freien Fall.
Das Netzwerk ist über 3 Etagen mit Netgear GS724T Switchen ausgestattet.
Ist dort kein zentraler Serverraum mit im Spiel oder sind das Etagen Switche(Distributed Layer) und wie und woran sind die denn angebunden?
Es gibt ein Router von Peplink der 3 VDSL WAN Verbindungen nach aussen hat und
Nutzt Ihr denn Dienste von Peplink? So etwas wie MLPPP (MPLS)?sonst auch das komplette Routing der Firma übernimmt,
Das ist wohl schon eher ein einziger Knackpunkt.sowie Portforwarding für gewisse Dienste (OWA..).
Das macht ja fast jeder Router/Firewall.Da fängt es schon an, wenn der Router ausfällt ist keine Internetverbindung für die
ganze Firma mehr vorhanden,
Wenn der eine ISP ausfällt hat man ja auch kein Internet mehr! Man kann sicherlich am WANganze Firma mehr vorhanden,
Interface zwei redundante Geräte aufsetzen, gar kein Thema. Da gibt es auch mehrere
Ansätze zu die sich bewährt haben und zu einer Lösung führen. Kommt immer darauf
an was ihr dort direkt macht!
Eigenbau & fertige Router:
- Cisco ASR
- OpenBSD & OpenBGPD
- DD-WRT oder OpenWRT
- MikroTik RouterBoards oder CCRs
Eigenbau & fertige Firewalls:
- Sophos UTM
- Juniper SSG, SRX und EX
- Cisco ASA 5xxx
- pfSense, ClearOS
auch das Routing in verschiedene Netze fällt flach.
Das würde mir am meisten am Herzen liegen wollen.Daher die erste Frage, wie kann man ein Router "redundant" schalten? Wenn dieser
ausfällt soll ein Ersatzgerät einschalten. Gibt es in dem Bereich auch eine Art
"Heartbeat" Funktion wie bei diversen anderen Server oder wie würdet ihr so
einen Ausfall vorbeugen?
Ja gibt es natürlich.ausfällt soll ein Ersatzgerät einschalten. Gibt es in dem Bereich auch eine Art
"Heartbeat" Funktion wie bei diversen anderen Server oder wie würdet ihr so
einen Ausfall vorbeugen?
Bisher ist hier ein ähnliches Gerät, welches gleich konfiguriert ist welches dann
aber von Hand umgetauscht werden muss.
Wenn das jetzt nicht so eine spezielle Lösung ist dann kann man da sicherlichaber von Hand umgetauscht werden muss.
etwas unternehmen, nur sollte dann auch immer die Hardware Dimensionierung
stimmen.
Das gleiche bei den Switchen. Es gibt Switche welche die Verteiler sind für andere Switche.
Dann wäre es ja mal schick zu wissen was dort alles vor Ort ist!- Core Layer (Kernrouter)
- Distributed Layer (Etagen oder Gebäude Switche)
- Access Layer (Anbindung der Enduser und Geräte)
Alle sind über PortTrunking und LinkAggregation und aktiviertem STP Protokoll verbunden.
Wie geht man da vor einem Ausfall eines Verteilerswitches vor?
Stapeln (Switch stack) und/oder Geo Stack mehrerer Switche.Wie geht man da vor einem Ausfall eines Verteilerswitches vor?
Kann man zwei identische Switche zusammenschließen, sodass wenn eines davon
ausfällt der zweite Switch trotzdem die Pakete weiterleiten kann oder wie sollte man
da vor gehen?
Mehrere Switche stapeln im Ring (Ring Switch Stack) oder im Geo Stapel.ausfällt der zweite Switch trotzdem die Pakete weiterleiten kann oder wie sollte man
da vor gehen?
Und die Stapel werden dann an zwei Core Switche angebunden
Und zuletzt geht es noch um eine redundaten Auslegung von diversen Protokollen wie
DHCP, DNS, ActiveDirectory. Wie sollte man da am besten vorgehen?
Na alles redundant vorhalten, mittels Hypervisoren sollte das doch kein Problem mehr seinDHCP, DNS, ActiveDirectory. Wie sollte man da am besten vorgehen?
oder? Zwei Server mit Hyper-V und ein oder sogar zwei SANs im Hintergrund und alles ist
hübsch bei Euch.
Was würdet ihr noch unternehmen, um das Netzwerk und die Systeme allgemein so
Ausfallsicher wie möglich auszulegen?
Alles redundant auslegen, Server, SAN/NAS, Netzwerk wie Switche und Router.Ausfallsicher wie möglich auszulegen?
Es wird auch am Wochenende gearbeitet und die IT ist dann nicht vor Ort.
Bereitschaft einteilen und dafür mehr Geld verdienen!Sollte da ein Ausfall sein muss immer einer von der IT vorbei kommen oder über Remote
versuchen das Problem zu lösen.
So wie überall anders halt auch, oder?versuchen das Problem zu lösen.
Gruß
Dobby
