caballero

Die einzige Lösung ist wohl DFS, ich hab gelesen das es wohl doch funktionieren soll. Ich werds mal ausprobieren.

Das was du vorhast geht imho nicht.

Das kopieren wird vermutlich wegen Files die gelockt sind fehlschlagen, DFS Replikation macht nur Probleme bei Profilen (Microsoft).

 

Wenn du auf Server B andere Pfade einträgst, werden die Einträge repliziert und auch auf Server A geändert.

Das hab ich mir leider schon gedacht. Aber dafür muss es doch eine Lösung geben.

Hallo, folgende Frage:

Ich habe eine Serverumgebung mit zwei Servern, auf jedem ist ein AD installiert. Die Userprofile sind auf dem Server A ausgelagert und sollen aufgrund von Redundanz via Script regelmäßig auf Server B kopiert werden.

Bei Ausfall von Server A übernimmt Server B und das darauf befindliche AD den Dienst. Auf Srv A ist ja der Pfad der servergespeicherten Profile für die User eingetragen. AD auf Srv B kann ja nicht auf diese zugreifen da Srv A down ist. Ich möchte das Srv B die kopierten Profile benutzt die auf ihm selber liegen.

Kann ich auf Srv B einfach einen anderen Pfad für die Server gespeicherten Profile eintragen?

Ja.Wenn Du für die gleiche Adresse unterschiedliche IP-Adressen registrierst, macht der DNS-Server Round Robin und gibt für jede Abfrage eine andere Adresse aus, egal ob der Client die nun erreichen kann, oder nicht.

 

Das hat sich seit Windows 2000 nicht geändert:

 

Active Directory communication fails on multihomed domain controllers

 

Ganz schlimm wird es, wenn Du mehr als ein Default Gateway einträgst. Das dürfte aber ab Windows 2008 nicht mehr gehen´.

Zum Verständnis (ich bin noch in der Ausb.):

Also ein Server (egal, welche Anwendung drauf) mit mehreren NICs = Adresse wird durch DNS mit mehreren IPs durch RR aufgelöst (das lässt sich bei mir ja grade nicht vermeiden, da auch EX CAS alle 5 NICs benutzen müssen um in allen Netzen erreichbar zu sein). Also würde der DNS bei jeder Anfrage auf einen Server alle IPs nach RR ausgeben, egal ob im selben Netz. Und der Client arbeitet die stumpf ab. Gilt das auch für das Exchange CAS Array? Wieso kann der DNS nicht einfach die IP ausgeben, die sich im gleich Netz befindet!

Da ich ja ein 2 Srv DAG mit CAS array und 2 DC/DNS eingerichtet habe und sich die AD/DNS replizieren, werden wahrscheinlich alle 10 IPs (z.B. 5 von DC Primärhost, 5 Backuphost) aufgelöst. Ich hoffe nicht?

Ne habe nur ein GW....

Wieso? Du hast dann doch nur noch eine LAN NIC.

Mit ner VM nur für DC und nur einer NIC?

Ja dann schon...ich suche eine Lösung wobei ich die jetztige Konstellation bestehen lassen kann, aber das sieht schlecht aus. Ist es denn so fatal, wenn der DC 5 LAN Schnittstellen hat? Macht sich das wirklich so stark bemerkbar (Verzögerungen)? Wie sieht es denn mit den anderen multihomed Servern aus, sind ja quasi alle anderen auch.

Diese Lösung wird mir wohl nichts bringen, da alle LAN NICs im DNS registriert sein müssen, richtig? Probleme mit Multihomed DCs vermeiden - administrator.de

Moin,

 

 

 

das ist keine Anforderung, sondern ein Lösungsversuch für eine Anforderung, die du immer noch nicht benannt hast. Auf diese weise reden wir nicht über eine Lösung für dein Problem, sondern über die Probleme deiner Lösung ...

 

 

 

Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"?

 

Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist.

 

Gruß, Nils

Es gibt 5 Netze (Raum 102, 201, 205, 210, Verwaltung). Diese müssen aus sicherheits- bzw Zugriffsrechtlichen Gründen logisch getrennt werden. Jeder Raum hat einen Switch, von diesem geht eine Verbindung zu den Clients, eine zum Router und jeweils eine zum Primär und Backupserver.

Ich habe in jedem physischen Server 6 Netzwerkkarten verbaut (5 für LANs, 1 Failover/Management). Es existieren 6 vSwitchte. Jedem vSwitch ist eine phyische NIC zugeordnet, sowie eine Portgruppe mit dem Namen des Netzes. Dieser Portgruppe habe ich wiederum jeweils eine virtuelle NIC von jeder VM zugewiesen, damit jede VM in jedem Netz erreichbar ist. Klappt auch alles super, bis ich das mit multihoming dc mitbekommen habe.

Ich komme wohl nicht drum herum, den DC auf eine eigene VM mit nur einer NIC zu betreiben oder? Dann muss ich mit einem Layer 3 Switch und Vlan die Verbindung der Netze sicherstellen.

Wie syncst du den die Daten zwischen den Hosts/VMs?

FT kann nur eine vCPu, da du den freien ESXi nimmst fällt das auch komplett raus.

 

 

Was du da gebaut hast ist nix ganz und nix halbes. Kauf einen Router/Switch der Layer3 Routing kann, mach den als Standard GW für die Vlans und dann ACLs drauf. Für SPOF kaufst du das Ding zur Not noch mal, legst den in den Schrank und machst jeden Tag mit Rancid eine automaitsche Sicherung. Nur mal so als Lösungsansatz.

 

Machst du DHCP auch über alle 5 Nics oder arbeitest du da wenigstens mit DHCP Relaying (was wesentlich sauberer ist meiner Meinung nach).

DHCP über alle NICs - Die DHCPs sind 70/30 aufgeteilt.

Welche Daten meinst du?

Hi,

 

NIC Teaming bringt dir hier nichts - du willst ja keine Leistungssteigerung oder Ausfallsicherheit einzelner Ports erreichen sondern eine Trennung der Kommunikation (so wie ich dich verstanden habe). Eine Trennung erreicht man nur über Segmentierung und entsprechende Regeln. Wenn der Router kein SPOF sein soll, hast du dann auch redundante Switche an denen die Systeme angeschlossen sind?

Ich bin noch nicht so versiert mit vLAN. Ich dachte wenn ich die NICs via Teaming oder Trunking zusammenfasse und die Clients in Subnetze einteile, könnte ich bei einer Anfrage der Clients an den DNS zur Namensauflösung des DC erreichen, dass nur die eine IP der logischen zusammengefassen NIC aufgelöst wird und nicht alle 5 anderen was ja zu Problemen mit der Verbindung führt.

Anmerkung: Es handelt sich hier um eine sehr kleine Umgebung in einer Schulungsumgebung. Also hier ist keine Hochverfügbarkeit gefragt. Die Switche sind nicht reudndant ausgelegt. NIC1 auf dem Primärsrv und NIC1 auf dem Backupsrv z.B. sind mit Switch1 für Netz 192.168.102.0/24 verbunden. Weiterhin geht von diesem Switch eine Verbindung zum Router. Das ganze für 5 Netze. Router/FW hat somit auch 5 Schnittstellen.

Ausfallschutz und Geringe Anzahl an Maschinen widerspricht sich etwas.

 

Wo hast du bei deiner Umgebung einen Ausfallschutz?

Entschuldige bitte, ich habe nur einen Teil der Umgebung beschrieben. Ich dachte den Rest kann ich außer acht lassen.

Es gibt 2 phyische Hosts mit ESXi 5.1 als HV.

Host1: VM1 AD,DNS,CAS(array),HT VM2 DHCP,MBX(dag)

Host2: Die gleichen VM

Beide haben 6 NICS, 5 für die Clients und 1 für Failover von CAS bzw DAG.

NICs können bei Bedarf noch erweitert werden.

Das hilft mir aber alles nichts bei dem Problem mit dem multihomed dc...

Hi,

 

der optimale Weg ist natürlich wenn du das Routing so hin bekommst, dass die Maschinen den DC direkt erreichen können. Das hängt natürlich davon ab ob du einen Router hast, der dir das ermöglicht. ESXi hat an sich nur vswitche.

Routing wenn sie im gleichen Netz sind? Ich habe einen Router, jedoch sollte das NW auch noch funktionieren wenn dieser mal Ausfällt. Es sollten SPOF möglichst vermieden werden. Was ist mit NIC Teaming und Subnetzten bzw Supernetz?

Moin,

 

nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist?

 

Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen.

 

Gruß, Nils

Nun ja, sagen wir eine mehr oder weniger physikalische Trennung. Eher eine logische wenn man es genau nimmt. Jedes Netz soll über eine eigene NIC mit dem Server verbunden werden. Die VM soll nur die darauf installierten Dienste bereitstellen, in dem Fall AD EX CAS und HT.

Anforderungen sind wie gesagt ein Trennung der Netze (phys.) über mehrere NICs. Die Clients aus Netz1 sollen nicht mit denen aus Netz2 kommunizieren können. Es ist erforderlich, das alle Netze mit der VM bzw dem DC/DNS (auch CAS) verbunden sind (über 5 NICs - ist schlecht, ich weiß).

Die Kapazitäten für VM sind beschränkt, es sind maximal zwei auf dem Host aufgrund von Hardwareressourcen möglich.

Oder welche Anforderungen meinst du genau?

Kann ich nicht die 5 Netze in Subnetze aufteilen und die 5 NICs per Teaming zu einer bündeln und in ein übergeordnetes Supernetz einteilen? Wäre das theoretisch (mit ESXi 5.1 free) möglich?

Hi,

 

soweit mir bekannt ist, ist ein multi-homed DC keine unterstützte Setupmöglichkeit. Der DC müßte dafür alle seine Service Records entsprechend multiplizieren und auch sonst im Hintergrund einiges anstellen. Kann mich täuschen - aber der einzige Weg (den ich auch aus der Praxis so kenne), ist die Installation eines DC's in jedem segmentierten Bereich (wobei die DC's untereinander reden können müssen).

 

LG

Ist das etwa die einzige Lösung? Dann müsste ich ja theoretisch 5 VM mit AD aufsetzen, dass frisst ja Ressourcen ohne Ende!

Wieso macht man so was? Wieso Exchange und AD auf einem Host? Wieso 5 Netzwerkkarten?

Ich hab schonmal einen Beitrag erstellt, da ging es um Virtualisierung und Ausfallschutz. Ich möchte die nötigen Instanzen für Ausfallschutz möglichst gering halten, deswegen teile ich auf 2 virtuellen Maschinen die Dienste auf:

VM1 DC DNS CAS HT VM2 DHCP und MBX

Die 5 Schnittstellen sollen eine physikalische Netztrennung gewährleisten. Aber selbst ohne EX auf der VM und unter Verwendung von Subnetzen würde das Problem doch weiter bestehen oder? Muss also wirklich jedes Netz seinen eigenen DC bekommen?

Hallo, ich habe folgendes Problem:

Ich habe auf einem Knoten eine virtuelle Maschine mit ESXi 5.1 erstellt. Auf dieser läuft Win2k8R2 Enterprise mit AD, DNS, Exchange 2010 CAS und HT.

Ich habe fünf phyische Netzwerkadapter in dem Host, der virtuelle Maschine sind diese durch die Zuweisung Virtueller Netzwerkadapter quasi 1:1 durchgreicht.

Jeder Netzwerkadapter ist in einem eigenen Netz (NIC1 192.168.102.220/24; NIC2 192.168.205.220/24 usw...)

Jetzt muss AD natürlich in jedem Netz verfügbar sein, wenn ein Client eine Anfrage stellt kriegt er alle 5 IPs des DC aufgelöst. Ich kann aber folglich ja nicht die DNS Registrierung der anderen Netzwerkkarten (z.B: die 102.220) einfach deaktivieren, da der DC ja dann in dem Netz nicht mehr aufgelöst werden kann.

Gibt es dafür eine Lösung?

Hallo, kurz gefasst habe ich einen neuen Server aufgesetzt und Exchange 2010 in einer neuen AD Gesamtstruktur installiert. Jetzt möchte ich gerne die Exchange 2007 Datenbanken auf den neuen importieren.

Gibt es da einfache Möglichkeiten?

Moin,

 

 

 

sagen wir es so: Ich habe mehrere Einserprojekte betreut, die für die vorgesehene Zeit designt waren. Da gehörte z.B. die Einrichtung eines zentralen Virenschutzes für ein kleines mittelständisches Unternehmen dazu. Nur um da mal eine Orientierung zu geben ...

 

Aber okay, ich bin dann raus aus dem Thread.

 

Gruß, Nils

Wie gesagt, ich möchte keine Kompetenzen in frage stellen. Machs gut, ich danke dir dennoch für den Beitrag.

Ich habe schon mehrere Projekte betreut. Das ein Projekt mal ein paar Stunden mehr braucht ist klar.

Aber bei dem Ausmaß deiner Arbeit, ist jedem Prüfer klar, daß dieses Projekt nicht in der vorgeschriebenen Zeit auch nur annähernd bearbeitet werden kann. Schon beim Projektantrag hätte ich meine Zweifel ob der angenommen wird.

Moin,

 

ich sehe es genauso wie Nils. Ich wollte damals auch ein Projekt ueber Virtualisierung, Storage und alles was dazugehoert (techn. sowie kaufmaennisch) machen und spaeter selbst eingesehen, dass ich mich damit voellig verschaetzt habe. Im Endeffekt ist es spaeter ein kleines Teilprojekt daraus geworden und es hat mir auch zu einer sehr guten Note verholfen.

 

Gruß

Der Projektantrag ist schon ohne Auflagen von der IHK genehmigt, d.h. ich muss und werde es auch durchführen.

@caballero

 

Norbert meint damit, dass wenn man sich 2 Datacenter Lizenzen leisten kann, auch ein ordentliches SAN dazu gehört. QNAP ist nun einmal nur für SOHO oder KMU geeignet. Wobei KMU ich auch hier rausnehmen würde, solange es sich um ein zwei Platten NAS etc. handelt.

 

Wenn Hardwareausfälle abgedeckt sein sollen, so gelangen wir in eine komplexere und kostspieligere Konfiguration.

Ja klar verstehe schon. Mit Rücksicht auf die Kosten wäre die Variante Exchange 2010 mit DAG redundant zu halten und CAS/HT mit NLB zu verteilen wohl am günstigsten (4 Exchange Lizenzen, 2 Win2k8R2 Enterprise). Mir ist klar geworden das Hochverfügbarkeit nicht umsonst ist.

Es wird nicht bei allen Clusterservices eine Shared Storage benötigt.

 

SQL Server 2012 Always On basiert auch auf einem Failovercluster und braucht auch keine Shared Storage.

Okay, aber braucht Exchange 2010 DAG nicht zwingend den Microsoft-Clusterdienst?

Wie auch immer 2 DC Lizenzen und ein QNAP zusammenpassen. ;)

Wie darf ich das verstehen?

Ja, die DAG hat unten drunter die Clusterservices. Warum?

Wird nicht bei vielen MSCS-Diensten ein Shared Storage benötigt (in dem Falle bei Exchange DAG)?

Ich will hier keine Kompetenzen in Frage stellen, nur etwas Hilfe bei der Ideenfindung.

Es gäbe also die Möglichkeit einen Hyper-V Cluster einzurichten. Die Mittel dazu sind ja mehr oder weniger da (Datacenter-Lizenzen, NAS,...)

Dafür sprechen würde Schutz vor HW-Ausfällen für jegliche VMs.

Dagegen sprechen würden die Komplexität und (ich glaube) die höheren Anforderungen an die Administration. Dann hätten wir bei Ausfall des NAS einen SPOF und nichts ging mehr. Des Weiteren wie Norbert sagte ist bei Ausfall der Exchange VM Exchange tot. Sehe ich das richtig?

Dann die Variante die Duke angesprochen hat,

Mit Hyper-V virtualisieren, Exchange virtualisiert auf beiden Nodes und mittels DAG redundant (für DAG bei Exchange 2010 wird trotzdem noch MSCS benötigt oder?) 2 DC virtuell und 1 DC phyisch.

Das würde dann doch vor HW-Ausfall und einem Ausfall der Exchange VM schützen...

Was nun? Hyper-V Cluster oder kein Hyper-V Cluster? Mit einem Hyper-V Cluster sind alle VM's automatisch vor Hardwareausfällen geschützt.

Da würden dann ein virtueller DC und ein Physikalischer Reichen.

Ja, einen Hyper-V Cluster einrichten. Damit sind HW Ausfälle abgedeckt und darum geht es auch.

Vergiss die Idee einen Failovercluster IN einem Virtuellen Cluster aufzubauen. Das macht man nur bei speziellen Anforderungen und verkompliziert das ganze sehr.

Ich stimme dem überein.

Wie sagt Nils so schön immer:

 

Erstmal die Anforderungen definieren und hinterher drüber nachdenken, was man braucht. Nicht andersherum.

 

 

 

Falsch. Exchange DAG hat auch noch die Möglichkeit Service-Availability zu erhöhen. oder was machst du, wenn deine Exchange VM abka..t?

Ich denke Snapshot oder Datensicherung zurückspielen.

Aha, mal abgesehen, dass dich die Windows Windows Lizenzen schon mehr kosten als dein schönes QNAP TS-259 Pro+, würde ich behaupten, dass das eher was für Testlab und Spielkram ist, als für den professionellen Einsatz.

Wie gesagt, die Lizenzen mögen ja sehr viel kosten wenn ich sie erwerben müsste, da sie aber schon beim Kunden vorhanden sind und mit in der IST Aufnahme stehen, bietet es sich doch an, diese auch zu verwenden. Zum NAS: Ich würde die Verwendung in meinem Abschlussprojekt auch nicht als professionellen Einsatz bezeichnen. Es ist für meine Zwecke und die Anforderungen des Kunden völlig ausreichend.

Ich würde eher nochmal zurück an den Anfang gehen und überlegen, was du überhaupt erreichen willst.

Ressoucen effizient nutzen und Ausfallsicherheit schaffen.

Moin,

 

Ich zitiere noch einen anderen Satz, den ich in solchen Situationen gern bringe:

 

Das Projekt, das du beschreibst, ist für ein FISI-Abschlussprojekt VIEL zu groß.

Es mag groß sein, aber nicht langweilig und sehr interessant. Dann springe ich eben ins kalte Wasser.

Da geht es um ein überschaubares Projekt, das innerhalb von (wenn ich nicht irre) 32 Stunden ableistbar sein soll, jedenfalls in wenigen Tagen. Was du beschreibst, ist in dieser Zeit auch für einen erfahrenen SE schlicht nicht zu schaffen, da kann man locker das Doppelte kalkulieren, gern auch noch mehr.

Überschaubarkeit liegt im Auge des Betrachters, in diesem Fall werden es die Prüfer sein. Es sind offiziell 35 Stunden, dass diese aber für die wenigsten Projekte ausreichen und man inoffiziell auch mehr Zeit reinsteckt, ist den Prüfern bekannt und kein Geheimnis.

Und noch einen anderen Satz:

 

Die Vermittlung von Grundlagenwissen für komplexe Themen ist in einem Forum nicht sinnvoll zu leisten.

 

Mein Rat ist also: Such dir ein Projekt, das du wirklich im Rahmen der Abschlussprüfung umsetzen kannst.

 

Gruß, Nils

Dein Rat ist nett gemeint, aber abgesehen davon das ich denke es umsetzen zu können und es auch wieder wählen würde, wäre es jetzt schon zu spät dafür.

Gruß Björn

Für deine Zwecke dürfte ein 2 oder 3 Knoten Failover Cluster mit einem zusätzlichen physischen DC ausreichen. Zwecks AD Redundanz wird ein zusätzlicher DC virtualisiert vielleicht sogar zwei. Den Exchange kannst du auch virtualisieren. Damit hast du so gesehen schon eine Ausfallsicherheit geschaffen.

 

Die optimale Lösung an der Stelle => Hyper-V.

 

Bezüglich der nicht so großen Unterstützung von Gastbetriebssystemen, dass wird sich sicherlich in den kommenden Jahren auch ändern.

Also ich denke genau auf das wird es hinauslaufen. Ich virtualisiere mit Hpyer-V auf jedem Node 1 DC und Exchange werde ich erstmal nicht redundant halten....es geht hier primär um Hardwareausfälle. Ich baue also nur einen Hyper-V Cluster. Ich könnte noch theoretisch einen MSCS Cluster in den Hyper-V Cluster einbauen aber das lass ich erstmal hab eh nur noch wenig Zeit für das ganze und andere Probleme.

Reicht ja auch wenn der DC redundant ist, dass ist wohl das wichtigste erstmal.

Ich würde in dem Fall gar keinen Failovercluster nutzen.

AD Redundant installieren (auf jedem Host ein DC + Physikalischer DC).

Exchange per Log Shipping (k.a. wie das unter 2007 genau hieß, Vorgänger von den DAG's) absichern. Bei Exchange noch zwischen den Rollen trennen und die Hub/Cas per Loadbalancer aufteilen.

.

 

Dabei braucht man kein Cluster für die Hosts und keine Shared Storage.

Das wäre bei Exchange dann eine Replikation oder? Für ein DAG ist ja wieder ein Storage notwendig. Aber wenn ich einen VM Failover habe brauche ich doch eigentlich auch keinen Exchange bzw MSCS Cluster mehr oder? In beidem Steckt ja der Sinn bei HW-Ausfall einen anderen Node zu benutzen. Da ich ein schönes QNAP TS-259 Pro+ zur Verfügung hab richte ich auf jeden Fall nen Hyper-V Failovercluster ein.

Aber ihr 2 habt mir auf jeden fall schonmal ziemlich weiter geholfen...danke schonmal!