thaddaeus93
Goto Top

Domänencontroller für zwei Standorte

Hallo zusammen,

momentan habe ich folgende Situation:

- Standort A: Netz 172.22.0.0/16
- Standort B: Netz 172.23.0.0/16

Am Standort A befindet sich ein "richtiger Server" (Proxmox-Host) - Darauf ist u.A. ein Windows Server 2008 R2 (Domänencontroller, DNS, DHCP) und eine Sophos UTM (virtuell) installiert.
Über die Sophos UTM wird die Netzkopplung (Site-to-Site-VPN) zwischen dem Standort A und Standort B bereitgestellt.

Am Standort B (neuer Standort) habe ich nur einen kleinen Server (auch Proxmox-Host), auf dem momentan nur die Sophos UTM installiert ist. DHCP & DNS macht dort die Sophos-Firewall. Die Verbindung zwischen den beiden Standorten erfolgt über DSL mit einer Übertragungsgeschwindigkeit von ca. 6 MBit/s.

Da ich nun am Standort B auch zwei Windows 7-Clients in die vorhandene Domäne einbinden will, frage ich nun, wie ich das am Besten lösen könnte bzw. was es für Ansätze gibt.
Spontan fällt mir hier ein:

- 2. Domänencontroller am Standort B (als Replikat)
- DNS-Forwarder von der Firewall am B-Standort zu dem Windows Server 2008 R2 am Standort A (dann müssten die Clients die Domäne finden, oder?)

Danke schon mal für Eure Vorschläge!

VG
Frank

Content-Key: 343047

Url: https://administrator.de/contentid/343047

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Kraemer
Lösung Kraemer 11.07.2017 um 11:43:40 Uhr
Goto Top
Moin,

du hast es richtig erfasst.

Gruß

PS: Ja ein zweiter DC macht Sinn...
Mitglied: emeriks
emeriks 11.07.2017 um 13:30:26 Uhr
Goto Top
Hi,
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.

E.
Mitglied: Kraemer
Kraemer 11.07.2017 um 13:30:53 Uhr
Goto Top
Zitat von @emeriks:

Hi,
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.

E.
sag ich doch
Mitglied: thaddaeus93
thaddaeus93 11.07.2017 um 15:08:11 Uhr
Goto Top
Hallo zusammen,

okay, das klingt schon mal recht eindeutig face-wink
Das mit dem 2. DC (als Replikation) hatte ich mir eigentlich für den Standort A überlegt, da ich dort einen "richtigen Server" habe. Am Standort B habe ich nur eine Krücke (HP MicroServer). Da müsste ich erstmal RAM usw. aufrüsten..

Würde das denn gehen, wenn ich zwei DC's am Standort A habe und in der Firewall am Standort B das DNS-Forwarding auf den 1. DC am Standort A zeigen lasse?

PS: Die Nutzerdaten (Home-Shares, servergesp. Profile) würde ich am Standort lokal belassen - ich habe am Standort A einen Linux-Samba-Server mit winbind und SW-Raid am laufen, das habe ich für Standort B auch vor (braucht einfach wenig Ressourcen).

VG
Mitglied: emeriks
Lösung emeriks 11.07.2017 um 15:11:35 Uhr
Goto Top
Das würde ohne weiters so gehen.
Mitglied: thaddaeus93
thaddaeus93 11.07.2017 um 15:16:00 Uhr
Goto Top
Zitat von @emeriks:

Das würde ohne weiters so gehen.

Das klingt gut - mehr als das DNS-Forwarding muss ich ja am Standort B soweit nicht einrichten, oder?
Die Clients finden ja den DC über DNS, soweit ich richtig informiert bin..
Die Netze sind komplett gegeneinander freigeschaltet, das hab ich auch schon getestet.

VG
Frank
Mitglied: emeriks
emeriks 11.07.2017 um 15:16:40 Uhr
Goto Top
jep.
Mitglied: thaddaeus93
thaddaeus93 11.07.2017 um 18:13:33 Uhr
Goto Top
Zitat von @emeriks:

jep.

Alright! Danke @all für die Hilfe!
Ich werde berichten face-wink

VG
Mitglied: thaddaeus93
thaddaeus93 12.07.2017 um 07:28:09 Uhr
Goto Top
Also - kurz und knapp - es funktioniert!
Danke noch mal @all!

Im Detail habe ich letzendlich DNS-Forwarding nutzen müssen, da der kleine Server am Standort B nicht in der Lage war, Windows Server 2008 R2 zu hosten.
Im ActiveDirectory habe ich es wie folgt umgesetzt:
- Verschiedene Anmeldescripte (entweder User in A oder B)
- im AD arbeite ich mit verschiedenen Organisationseinheiten, denen unterschiedliche Gruppenrichtlinien zugewiesen sind - so kann ich die servergespeicherten Profile am jeweiligen Standort belassen.
Sollte sich doch ein User mal am jeweils anderen Standort anmelden, ist das auch kein Problem - das servergesp. Profil wird dann über die Netzkopplung vom anderen Standort geladen (dauert halt nur..)

VG
Frank
Mitglied: Kraemer
Kraemer 12.07.2017 um 07:47:16 Uhr
Goto Top
Moin,

freut mich, dass du eine Lösung für dich gefunden hast.
Noch nen Tipp: DFS

Gruß