6
2 IP Adressenbereiche in einer Domäne möglich?
Hallo Leute,
ich habe folgende Situation. Ich 2 Physikalisch getrennte Standorte so einrichten das alle REchner in der einzigen Domäne sind obwohl sie andere IP-Adressenbereiche haben.
Folgende Gegebenheiten:
Standort A : Adressenbereich z.B. : 192.168.33.x befinden sich hinter einem Router der durch einen Tunnel und einer 2mBit Standleitung (sync.) mit
Standort B : Adressenbereich z.B. : 192.168.34.x der auch hinter nem Router hängt verbunden ist. Domänencontroller (auch DNS ) befinden sich in Standort B.
Gibt es eine möglichkeit die Active Dorectory so anzupassen das sich LEute aus verschiedenen Netzen auf der einen Domäne anmelden können?
WAhrscheinlich ist das nur ne ganz einfache Kleinigkeit aber ich steh irgendwie aufm Schlauch. Hab ehrlich gesagt auch nicht die Muße alle dem DNS Server per Name uznd IP bekannt zu machen aus dem entfernten Netz.
Vielen Dank schonmal
Gruss Sascha
ich habe folgende Situation. Ich 2 Physikalisch getrennte Standorte so einrichten das alle REchner in der einzigen Domäne sind obwohl sie andere IP-Adressenbereiche haben.
Folgende Gegebenheiten:
Standort A : Adressenbereich z.B. : 192.168.33.x befinden sich hinter einem Router der durch einen Tunnel und einer 2mBit Standleitung (sync.) mit
Standort B : Adressenbereich z.B. : 192.168.34.x der auch hinter nem Router hängt verbunden ist. Domänencontroller (auch DNS ) befinden sich in Standort B.
Gibt es eine möglichkeit die Active Dorectory so anzupassen das sich LEute aus verschiedenen Netzen auf der einen Domäne anmelden können?
WAhrscheinlich ist das nur ne ganz einfache Kleinigkeit aber ich steh irgendwie aufm Schlauch. Hab ehrlich gesagt auch nicht die Muße alle dem DNS Server per Name uznd IP bekannt zu machen aus dem entfernten Netz.
Vielen Dank schonmal
Gruss Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41093
Url: https://administrator.de/contentid/41093
Printed on: April 25, 2024 at 12:04 o'clock
6 Comments
Latest comment
Hi,
du kannst ja einer Netzwerkkarte mehrere IP-Adressen zuteilen. LAN-Verbindung => Eigenschaften => TCP/IP.
Gruß
Dani
du kannst ja einer Netzwerkkarte mehrere IP-Adressen zuteilen. LAN-Verbindung => Eigenschaften => TCP/IP.
Gruß
Dani
Erstmal musst du den Router als Standard-Gateway eintragen, was du wahrscheinlich schon getan hast. Dann is der Datenverkehr grundsätzlich möglich. wies mit der Domain aussieht kann ich dir aber leider nicht sagen
also das mit der alternativen IP Adresse werd ich gleich mal versuchen ... danke dafür schonmal dani
Jo Standard-Gateways sind soweit korrekt eingetragen aber die Frage ist eben wie das mit der Domäne aussieht. Vielleicht kann ja auch jemand sagen ob es möglicherweise was mit der Standort und Subnetz Konfiguration der AD zu tun hat osder ob ich da nichts (wie derzeit getan) extra einzustellen ist.
Jo Standard-Gateways sind soweit korrekt eingetragen aber die Frage ist eben wie das mit der Domäne aussieht. Vielleicht kann ja auch jemand sagen ob es möglicherweise was mit der Standort und Subnetz Konfiguration der AD zu tun hat osder ob ich da nichts (wie derzeit getan) extra einzustellen ist.
Hallo Sascha!
Bevor du etwas am Active Directory machst, musst du erst mal sicherstellen, dass die Clients in Standort A auch den DC & den DNS in Standort B erreichen. Die Lösung mit der zweiten IP Adresse ist für deinen Anwendungsfall eher ungeeignet. Ich geh mal davon aus, dass du mit "Tunnel" eine Site-to-Site VPN Verbindung durchs Internet meinst. Der Router in Standort A muss so konfiguriert werden, dass er eine Route nach Standort B bereithält. Heisst: Alle Anfragen, die ein Client aus Netz A macht, die für einen Client oder einen Server in Netz B bestimmt sind, müssen vom Router durch den Tunnel geschickt werden. Normalerweise sollten deine Router diese Route automatisch eingetragen haben. Wenn du den DNS und den DC vom entfernten Netz anpingen kannst, dann hast du eigentlich schon den Großteil geschafft. Stell sicher, dass deine Router für den Tunnel die korrekten Policys eingetragen haben. Benötigt werden unter anderem Richtlinien für DNS, Kerberos, SMB,... Standart Konfiguration bei den meisten Routern ist normalerweise eine "Any" Regel. Bedeutet: Es geht alles durch. Dies nur mal am Rande erwähnt.
Nun zum AD:
Generell sollten sich deine Clients aus Standort A nun schon an der Domäne authentifizieren können. (DNS Server aus Netz B eintragen!!!) Trotzdem solltest du im AD unter Standorte und Sites die beiden Subnetze eintragen. U.a. der Sauberkeit wegen.
Noch zwei Tipps zum Schluss:
1. Wenn der Tunnel aus irgendwelchen Gründen mal zusammenbricht, bekommen die Clients in Standort A evtl. Probleme beim Anmelden. Klappt zwar auch über Caching, ist aber keine saubere Lösung. Für den Fall solltest du in Standort A noch einen kleinen Server platzieren, der zumindest nen Global Catalog hält. Dann kann der Tunnel auch mal wegbrechen und die Clients können sich trotzdem anmelden.
2. Win hat ab und an Probleme bei der Auth. über nen VPN Tunnel. Da helfen dann WINS & lmhosts weiter. Ist aber wieder ne separate Geschichte.
Hoffe ich konnt dir ein klein wenig weiterhelfen.
Schönes Wochenende!
Basti
Bevor du etwas am Active Directory machst, musst du erst mal sicherstellen, dass die Clients in Standort A auch den DC & den DNS in Standort B erreichen. Die Lösung mit der zweiten IP Adresse ist für deinen Anwendungsfall eher ungeeignet. Ich geh mal davon aus, dass du mit "Tunnel" eine Site-to-Site VPN Verbindung durchs Internet meinst. Der Router in Standort A muss so konfiguriert werden, dass er eine Route nach Standort B bereithält. Heisst: Alle Anfragen, die ein Client aus Netz A macht, die für einen Client oder einen Server in Netz B bestimmt sind, müssen vom Router durch den Tunnel geschickt werden. Normalerweise sollten deine Router diese Route automatisch eingetragen haben. Wenn du den DNS und den DC vom entfernten Netz anpingen kannst, dann hast du eigentlich schon den Großteil geschafft. Stell sicher, dass deine Router für den Tunnel die korrekten Policys eingetragen haben. Benötigt werden unter anderem Richtlinien für DNS, Kerberos, SMB,... Standart Konfiguration bei den meisten Routern ist normalerweise eine "Any" Regel. Bedeutet: Es geht alles durch. Dies nur mal am Rande erwähnt.
Nun zum AD:
Generell sollten sich deine Clients aus Standort A nun schon an der Domäne authentifizieren können. (DNS Server aus Netz B eintragen!!!) Trotzdem solltest du im AD unter Standorte und Sites die beiden Subnetze eintragen. U.a. der Sauberkeit wegen.
Noch zwei Tipps zum Schluss:
1. Wenn der Tunnel aus irgendwelchen Gründen mal zusammenbricht, bekommen die Clients in Standort A evtl. Probleme beim Anmelden. Klappt zwar auch über Caching, ist aber keine saubere Lösung. Für den Fall solltest du in Standort A noch einen kleinen Server platzieren, der zumindest nen Global Catalog hält. Dann kann der Tunnel auch mal wegbrechen und die Clients können sich trotzdem anmelden.
2. Win hat ab und an Probleme bei der Auth. über nen VPN Tunnel. Da helfen dann WINS & lmhosts weiter. Ist aber wieder ne separate Geschichte.
Hoffe ich konnt dir ein klein wenig weiterhelfen.
Schönes Wochenende!
Basti
Also erstmal vielen Dank Basti für die ausführliche Antowrt.
$Edit$: Also meinst du allein mit dem funktinierenden Ping und dem DNS eintrag sowie den erlaubenden Policies schon die Möglichkeit besteht das sich die Standort A auf der Domäne anmeldet?
Kleiner Server für Standort A is nich, da die Anmeldung an der Domäne nicht essentiell ist aber bevorzugt das heisst also wenns Probleme mit dem Tunnel gibt isses halt Pech. Derzeit arbeiten die ja sowieso ausserhalb der Domäne.
Die VPN Verbindung besteht schon länger auch der Ping funktioniert soweit einwandfrei.
Klar ist mir jedoch noch immer nicht wie ich Standort A in die Domäne bekomme dies scheint nämlich irgendwie nicht zu funktionieren.
DNS Server ist selbstverständlich eingetragen.. könntest du evtl genauer erklären wo ich die Subnetzte eintrage....
Denek du meinst im AD Standorte und Dienste aber ... muss ich 2 Sites anlegen oder reicht es die 2 Subnetzte einzutragen.
Fragen über Fragen ...
Danke nochmal und ein weiteres Mal im Vorraus ...
$Edit$: Also meinst du allein mit dem funktinierenden Ping und dem DNS eintrag sowie den erlaubenden Policies schon die Möglichkeit besteht das sich die Standort A auf der Domäne anmeldet?
Kleiner Server für Standort A is nich, da die Anmeldung an der Domäne nicht essentiell ist aber bevorzugt das heisst also wenns Probleme mit dem Tunnel gibt isses halt Pech. Derzeit arbeiten die ja sowieso ausserhalb der Domäne.
Die VPN Verbindung besteht schon länger auch der Ping funktioniert soweit einwandfrei.
Klar ist mir jedoch noch immer nicht wie ich Standort A in die Domäne bekomme dies scheint nämlich irgendwie nicht zu funktionieren.
DNS Server ist selbstverständlich eingetragen.. könntest du evtl genauer erklären wo ich die Subnetzte eintrage....
Denek du meinst im AD Standorte und Dienste aber ... muss ich 2 Sites anlegen oder reicht es die 2 Subnetzte einzutragen.
Fragen über Fragen ...
Danke nochmal und ein weiteres Mal im Vorraus ...
Hallo Sascha.
Um gleich deine erste Frage zu beantworten: Eigentlich sollte es jetzt schon funktioniere, ja.
OK, wenn kein kleiner Server für Standort A drin ist, dann sei dir aber bitte bewusst, dass die User bei Tunnelausfall sich lokal am Client anmelden, wenn der Cache nicht funktioniert. Damit haben Sie auch automatisch ein anderes Profil als in der Domäne. Dies wollt ich nur erwähnt haben.
An den Clients in Standort A muss der DNS Server aus Standort B eingetragen werden. Diesen solltest du auf jeden Fall erreichen können. Um zu Prüfen, ob das auch einwandfrei klappt, einfach mal in der Kommandozeile "nslookup" und dann den domänenname (z.b.: yourdomain.local) eingeben. Dann sollte dein DNS Server die IP-Adresse von deinem DC ausspucken. Wenn das funktioniert, solltest du eigentlich eine erfolgreiche Anmeldung an der Domäne durchführen können.
Nun zu den Subnetzen:
Diesen Eintrag benötigst du nicht unbedingt, da kein zweiter DC in Standort A auftaucht. Der Sauberkeit wegen, trage ich meine Subnetze allerdings immer ein. Im Active Directory Snap-In "Active Directory-Standorte und -Dienste" findest du einen Ordner Sites. Darunter einen Ordner "Subnets". Hier erstellst du deine beiden Subnetze. Wenn du die beiden Netze erstellt hast, dann ruf jeweils die Eigenschaften davon auf. Direkt auf der ersten Registerkarte findest du einen Eintrag "Standort". Wähle bei beiden Subnetzen den selben Standort aus. Sollte, sofern du ihn nicht geändert hast, "Standardname-des-ersten-Standorts" heissen. Du benötigst im AD nur einen Standort, auch wenn es in der Realität zwei sind!
Wenn du zwei DC's hättest, könntest du mit Hilfe dieses Snap-Ins z.B. die Replikationseinstellungen konfigurieren.
Hoffe ich konnte dir wieder ein Stückchen weiterhelfen.
Lass mich doch wissen, obs funktioniert hat.
Gruß Basti
Um gleich deine erste Frage zu beantworten: Eigentlich sollte es jetzt schon funktioniere, ja.
OK, wenn kein kleiner Server für Standort A drin ist, dann sei dir aber bitte bewusst, dass die User bei Tunnelausfall sich lokal am Client anmelden, wenn der Cache nicht funktioniert. Damit haben Sie auch automatisch ein anderes Profil als in der Domäne. Dies wollt ich nur erwähnt haben.
An den Clients in Standort A muss der DNS Server aus Standort B eingetragen werden. Diesen solltest du auf jeden Fall erreichen können. Um zu Prüfen, ob das auch einwandfrei klappt, einfach mal in der Kommandozeile "nslookup" und dann den domänenname (z.b.: yourdomain.local) eingeben. Dann sollte dein DNS Server die IP-Adresse von deinem DC ausspucken. Wenn das funktioniert, solltest du eigentlich eine erfolgreiche Anmeldung an der Domäne durchführen können.
Nun zu den Subnetzen:
Diesen Eintrag benötigst du nicht unbedingt, da kein zweiter DC in Standort A auftaucht. Der Sauberkeit wegen, trage ich meine Subnetze allerdings immer ein. Im Active Directory Snap-In "Active Directory-Standorte und -Dienste" findest du einen Ordner Sites. Darunter einen Ordner "Subnets". Hier erstellst du deine beiden Subnetze. Wenn du die beiden Netze erstellt hast, dann ruf jeweils die Eigenschaften davon auf. Direkt auf der ersten Registerkarte findest du einen Eintrag "Standort". Wähle bei beiden Subnetzen den selben Standort aus. Sollte, sofern du ihn nicht geändert hast, "Standardname-des-ersten-Standorts" heissen. Du benötigst im AD nur einen Standort, auch wenn es in der Realität zwei sind!
Wenn du zwei DC's hättest, könntest du mit Hilfe dieses Snap-Ins z.B. die Replikationseinstellungen konfigurieren.
Hoffe ich konnte dir wieder ein Stückchen weiterhelfen.
Lass mich doch wissen, obs funktioniert hat.
Gruß Basti
