10
Domänencontroller für zwei Standorte
Hallo zusammen,
momentan habe ich folgende Situation:
- Standort A: Netz 172.22.0.0/16
- Standort B: Netz 172.23.0.0/16
Am Standort A befindet sich ein "richtiger Server" (Proxmox-Host) - Darauf ist u.A. ein Windows Server 2008 R2 (Domänencontroller, DNS, DHCP) und eine Sophos UTM (virtuell) installiert.
Über die Sophos UTM wird die Netzkopplung (Site-to-Site-VPN) zwischen dem Standort A und Standort B bereitgestellt.
Am Standort B (neuer Standort) habe ich nur einen kleinen Server (auch Proxmox-Host), auf dem momentan nur die Sophos UTM installiert ist. DHCP & DNS macht dort die Sophos-Firewall. Die Verbindung zwischen den beiden Standorten erfolgt über DSL mit einer Übertragungsgeschwindigkeit von ca. 6 MBit/s.
Da ich nun am Standort B auch zwei Windows 7-Clients in die vorhandene Domäne einbinden will, frage ich nun, wie ich das am Besten lösen könnte bzw. was es für Ansätze gibt.
Spontan fällt mir hier ein:
- 2. Domänencontroller am Standort B (als Replikat)
- DNS-Forwarder von der Firewall am B-Standort zu dem Windows Server 2008 R2 am Standort A (dann müssten die Clients die Domäne finden, oder?)
Danke schon mal für Eure Vorschläge!
VG
Frank
momentan habe ich folgende Situation:
- Standort A: Netz 172.22.0.0/16
- Standort B: Netz 172.23.0.0/16
Am Standort A befindet sich ein "richtiger Server" (Proxmox-Host) - Darauf ist u.A. ein Windows Server 2008 R2 (Domänencontroller, DNS, DHCP) und eine Sophos UTM (virtuell) installiert.
Über die Sophos UTM wird die Netzkopplung (Site-to-Site-VPN) zwischen dem Standort A und Standort B bereitgestellt.
Am Standort B (neuer Standort) habe ich nur einen kleinen Server (auch Proxmox-Host), auf dem momentan nur die Sophos UTM installiert ist. DHCP & DNS macht dort die Sophos-Firewall. Die Verbindung zwischen den beiden Standorten erfolgt über DSL mit einer Übertragungsgeschwindigkeit von ca. 6 MBit/s.
Da ich nun am Standort B auch zwei Windows 7-Clients in die vorhandene Domäne einbinden will, frage ich nun, wie ich das am Besten lösen könnte bzw. was es für Ansätze gibt.
Spontan fällt mir hier ein:
- 2. Domänencontroller am Standort B (als Replikat)
- DNS-Forwarder von der Firewall am B-Standort zu dem Windows Server 2008 R2 am Standort A (dann müssten die Clients die Domäne finden, oder?)
Danke schon mal für Eure Vorschläge!
VG
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 343047
Url: https://administrator.de/contentid/343047
Printed on: April 27, 2024 at 01:04 o'clock
10 Comments
Latest comment
Moin,
du hast es richtig erfasst.
Gruß
PS: Ja ein zweiter DC macht Sinn...
du hast es richtig erfasst.
Gruß
PS: Ja ein zweiter DC macht Sinn...
Hi,
E.
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.E.
Zitat von @emeriks:
Hi,
E.
sag ich dochHi,
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.E.
Hallo zusammen,
okay, das klingt schon mal recht eindeutig
Das mit dem 2. DC (als Replikation) hatte ich mir eigentlich für den Standort A überlegt, da ich dort einen "richtigen Server" habe. Am Standort B habe ich nur eine Krücke (HP MicroServer). Da müsste ich erstmal RAM usw. aufrüsten..
Würde das denn gehen, wenn ich zwei DC's am Standort A habe und in der Firewall am Standort B das DNS-Forwarding auf den 1. DC am Standort A zeigen lasse?
PS: Die Nutzerdaten (Home-Shares, servergesp. Profile) würde ich am Standort lokal belassen - ich habe am Standort A einen Linux-Samba-Server mit winbind und SW-Raid am laufen, das habe ich für Standort B auch vor (braucht einfach wenig Ressourcen).
VG
okay, das klingt schon mal recht eindeutig
Das mit dem 2. DC (als Replikation) hatte ich mir eigentlich für den Standort A überlegt, da ich dort einen "richtigen Server" habe. Am Standort B habe ich nur eine Krücke (HP MicroServer). Da müsste ich erstmal RAM usw. aufrüsten..
Würde das denn gehen, wenn ich zwei DC's am Standort A habe und in der Firewall am Standort B das DNS-Forwarding auf den 1. DC am Standort A zeigen lasse?
PS: Die Nutzerdaten (Home-Shares, servergesp. Profile) würde ich am Standort lokal belassen - ich habe am Standort A einen Linux-Samba-Server mit winbind und SW-Raid am laufen, das habe ich für Standort B auch vor (braucht einfach wenig Ressourcen).
VG
Das würde ohne weiters so gehen.
Das klingt gut - mehr als das DNS-Forwarding muss ich ja am Standort B soweit nicht einrichten, oder?
Die Clients finden ja den DC über DNS, soweit ich richtig informiert bin..
Die Netze sind komplett gegeneinander freigeschaltet, das hab ich auch schon getestet.
VG
Frank
jep.
Also - kurz und knapp - es funktioniert!
Danke noch mal @all!
Im Detail habe ich letzendlich DNS-Forwarding nutzen müssen, da der kleine Server am Standort B nicht in der Lage war, Windows Server 2008 R2 zu hosten.
Im ActiveDirectory habe ich es wie folgt umgesetzt:
- Verschiedene Anmeldescripte (entweder User in A oder B)
- im AD arbeite ich mit verschiedenen Organisationseinheiten, denen unterschiedliche Gruppenrichtlinien zugewiesen sind - so kann ich die servergespeicherten Profile am jeweiligen Standort belassen.
Sollte sich doch ein User mal am jeweils anderen Standort anmelden, ist das auch kein Problem - das servergesp. Profil wird dann über die Netzkopplung vom anderen Standort geladen (dauert halt nur..)
VG
Frank
Danke noch mal @all!
Im Detail habe ich letzendlich DNS-Forwarding nutzen müssen, da der kleine Server am Standort B nicht in der Lage war, Windows Server 2008 R2 zu hosten.
Im ActiveDirectory habe ich es wie folgt umgesetzt:
- Verschiedene Anmeldescripte (entweder User in A oder B)
- im AD arbeite ich mit verschiedenen Organisationseinheiten, denen unterschiedliche Gruppenrichtlinien zugewiesen sind - so kann ich die servergespeicherten Profile am jeweiligen Standort belassen.
Sollte sich doch ein User mal am jeweils anderen Standort anmelden, ist das auch kein Problem - das servergesp. Profil wird dann über die Netzkopplung vom anderen Standort geladen (dauert halt nur..)
VG
Frank