kosta88

Nils, Ich absolut respektiere alle Antworten und bin für jegliche Hilfe dankbar. Nun was du von mir erwartest, sehe ich nicht wie ich liefern soll. Die Netzwerke sind ein sehr kompliziertes Thema, und wenn ich beim jeden Thread den ich eröffne das ganze Netzwerk in das höchste Detail beschreiben muss, würde ich für jedes Post stundenlang brauchen. Etwas was ich mir bei aller Liebe nicht erlauben kann - da verliere ich schon alleine mein Job. Oder die Frau wenn ich das in der Freizeit mache :) Du hast mich gefordert über VLANs zu schreiben, obwohl ich eigentlich nicht sehe, was die VLANs und Firewall mit dem DNS Server zu tun haben. Von Anfang an wollte ich eigentlich über das Thema VLAN gar nicht reden. Ich habe es nun erwähnt am Anfang, da ich in einem anderen Thread das Thema abgeschlossen habe. Aber einen Fehler habe ich gemacht: dieser Thread war nicht in diesen Forum, sondern im Lancom Forum. Daher war die Referenz eigentlich vollkommen sinnlos. Dafür entschuldige ich mich. Weil du sagst, mit der Domäne kann Firewall Ärger machen, gut, nehme ich gerne diese Aussage ernst. Die FW kann ich immer ansatzweise abdrehen und schauen ob alles gut funktioniert. Ich sehe da kein Problem. Bzgl. FQDN. Du hast mich ein wenig missverstanden, und ich habe eventuell ein wenig unpräzise mich ausgedrückt. Im ersten Post, die Referenz des Aufwands war nicht auf FQDN, sondern das managen der ganzen Sache mit DNS im LANCOM. Danke für deine Beiträge.

Ich weiß was VLANs machen, die Segmentierung des Netzwerkes ist mit Absicht. Auch die andere Begründig für VLAN ist die Tatsache dass die Rechner auf Ihre Subnetze eingeschränkt werden (Rechner der im VLAN-11 ist, kann, auch wenn manuell mit einer IP 192.168.12.xxx versehen, im Subnet 12 nichts mehr machen). Sieht man das nicht als Sicherheit (Firewall vorausgesetzt)? Zwischen die VLANs sitzt die Firewall und regelt die Zugriffe. Entweder verstehst du nicht mein Konzept oder ich mache was grundlegend falsch. Aber ich wüsste nicht wie ich besser erklären sollte. Es ist aber die Tatsache dass ich mit der jetzigen Konstuktion erreicht habe das was ich erreichen wollte. Jeder sitzt dort wo er sitzen soll, DHCP Server weisen entsprechende Adressen zu entsprechenden Orten zu, und man kommt auch nicht raus. Und per FW kann ich schön regeln, wo was hin darf. Dass Broadcasts verringert werden, auch vom Vorteil. Unser Produktives Netz benötigt nichts aus dem Schulungsnetz, ist auch gut so. "Die Beschreibung, die du nun gegeben hast, macht die Situation nachvollziehbar. Bitte gewöhn dir an, solche Informationen gleich mit zu geben, das erspart unnötige Rückfragen und unnötige Ratespiele." Nehme ich zur Kenntnis, und werde versuchen nächstes mal alles gleich zu sagen. FQDN ist sogar erwünscht. In den Anleitungen unserer Software wird eigentlich fast immer mit FQDN gearbeitet, und damit komme ich klar. Aber ich schaue mir WINS an, wenn nichts anderes dann aus Neugier. Es gibt bei uns zwei Netze. Das eine ist das produktive Netz, das ich grundsätzlich nicht angreife. Das zweite, wo ich mehr oder weniger Sachen probieren kann, ist wirklich so gut wie gar nicht in Betrieb. Nur für Schulungen, Gast-WLAN und noch paar Schickschnacks. Aber nichts wichtiges. Unser Internet wird vorm Router durch ein Switch gesplittet, und geht auf zwei Router, die dann jeweils ein Netz speisen. Nun wird eben das Problem sein, dass ich diese Struktur dann am Ende aber ändern muss (1x Core-Switch und danach alles andere), da, wenn ich DC habe, ich keine zwei getrennte Switches haben kann, da der andere Switch vom DC nicht erreicht wird. Eventuell statische Route, aber soweit bin ich noch nicht. Nun, da gehe ich jetzt zu weit zum obigen Thema. Und...neben der Tatsache dass ich viel lerne und das Netze mache, mache ich das ganze fast nebenbei, da meine Aufgaben in der Firma nicht zu 100% in die IT-Administration gehören. Daher geht das ganze nur sehr langsam, und Schritt nach Schritt lernen. Was ist jetzt momentan die Problemstellung? Wie oben gesagt: Wenn die Rechner in verschiedenen Subnetzen (VLANs) drinnen sind, finden sie sich per IP = Routing OK. Per Computername oder FQDN nicht, da man für die FQDN am LANCOM Subdomänen konfigurieren muss und das funktioniert auch nur halbwegs. Man kann zB. kein DNS flush machen, und wenn man was ändert, ist ein flush nur durch ein Neustart möglich. Die Frage ist, wenn die Geräte in der Domäne am DC sind, werden dann alle sauber per FQDN oder Computername angesprochen werden können? Was dafür nötig ist, kannst du mir gerne schreiben, aber ich werde wohl viel über das Wochenende lesen müssen.

Warum sind die Subnetze aufgeteilt? Die Trennung ist deswegen da, damit ich um die Netze VLANs machen kann, und jeweilige Rechner nach einem Plan in diverse VLANs setzen kann. Die Begründung ist ganz einfach: Sicherheit. Jetzt ist es schön soweit, dass sich kein Rechner aus seinem VLAN nicht rühren kann, dient dazu die Aufteilung in der Firma so zu machen, damit keine uneingeladene Nutzer nirgendwo hinkommen wo sie nicht hinkommen dürfen. Zb. TS muss getrennt vom DC sein, anderer Subnet. DC muss her, damit ich etliche Schulung Notebooks leichter verwalten kann, damit ich die Rechte nicht per Rechner vergeben muss (ja, ich weiss dass ein DC nicht nur DNS+DHCP ist). Warum muss eine Namensauflösung mit Computernamen funktionieren? Weil das unsere Software fordert. Für die Kontakte zwischen Rechner muss ich FQDNs verwenden, und keine IPs. Ein Plan habe ich bereits, und ich weiss eigentlich (glaube ich mindestens) was ich will. Nur diesen Plan kann ich wie er jetzt steht nicht mehr rausschicken. Müsste ich komplett überarbeiten damit ich es rausschicken kann. Aber genug gesagt ist, dass ich für den Anfang die Schulungsrechner über DC verwalten will, und die Server müssen alle per Computername oder FQDN angesprochen werden können. Mit FQDN, wie gesagt, konnte ich es im LANCOM machen, aber das fordert mehr Arbeit als notwendig, und da ich DC eh brauche für die NB, Frage ist, wie das via DNS im Windows geht. Ich werde dieses Wochenende versuche die DNS Kapiteln in meinem Buch zu bewältigen, aber Fragen schadet ja nicht. lefg, Danke, der erste Satz macht schon Sinn. Werde mal darüber nachschlagen. Ich frage mal Wozu sollen sich die Clients verschiedener denn überhaupt sehen? Nochmals: unsere Software. Die Server müssen sich per Computername kennen, und die Clients. Aber nicht unbedingt die Schulungnotebooks. Da muss ich dann vorsichtig sein, aber ich gehe Schritt nach Schritt. Sind DC und Server denn im selben IP-Subnetz oder falls es zwei Subnetze sind, besteht dazwischen ein funktionierendes Routing? Natürlich besteht es. Die zwei sehen sich auch via IP Adressen. Das Netz steht bereits stabil, mit VLANs konfiguriert und sauber mit Subnetzen getrennt. Ich gebe es zu, wie schon oftmals, ich lerne, so wie ich ne Zeit für die VLANs benötigt habe, und endlich auch verstanden und geschafft, jetzt ist DC dran mit allen Basis Sachen die er so mitbringt. Nun paralel zu der Tatsache dass ich lerne, darf man wohl auch fragen :) Wie oben erwähnt, ist mir DNS nicht genug. Ich habe es ganz am Anfang nicht erwähnt, aber ich brauche ADDS genauso. 10 Rechner will nicht alle manuell administrieren. Und später kommen noch ca. 20 Rechner dazu. Und der letze Grund ist: viele unsere Kunden haben DCs und grosse Netzwerke, die zum Grossteil von IT-Firmen betreut werden, aber da ich damit sehr viel zu tun haben werde, dient mir dann unser Netzwerk hier zum Teil zum lernen.

Hallo, Nach der erfolgreichen Umstellung des Netzwerks ins VLAN, jetzt ist DC dran. Im Netzwerk ist ein LANCOM 1751 drinnen, dieser agiert als DHCP Server für etliche Netzwerke (Subnetze) und als DNS Server. Da sich die Geräte ohne permanenten Aufwand am LANCOM gegenseitig Subnetz-Übergreifend nicht "sehen", wurde mir empfohlen alle Geräte in die Domäne zu setzen. Somit würden sich dann auch gegenseitig angeblich finden können. Ist das richtig? Würde ein DC reichen, dass ich aus verschiedenen Netzwerken die Geräte einfach mit dem Computernamen finden kann? zB: 192.168.11.101 = DC 192.168.12.101 = SERVER am DC: ping server muss funktionieren am SERVER: ping DC muss funktionieren Derzeit kann ich per IP pingen, aber nicht per DNS, da ich beim LANCOM entweder "Stations-Namen" eintragen müsste, oder Subdomänen einrichten, und dann die Geräte mit FQDN finden. Ist ein dauernder Aufwand, vor allem wenn man die VMs ändert oder neu macht. Aber, nachdem ich die Geräte in die Domäne joine, dann müsste das von jeden Rechner der in der Domäne ist, auch funktionieren. Sehe ich das richtig so? Sofern alles korrekt... Wie geht man voran mit dem Wechsel? DHCP...wohl einrichten am DC, am Router abdrehen, und dann geht alles wieder automatisch? Und DNS...? Wird wohl DC an den Servern/Clients als Primärer DNS stehen, und Router als Sekundärer? Das dürfte wohl reichen, oder? Besten Dank :) Kosta

Alright! Jetzt ne Frage die sich gleich dazuschliesst: Da ein Router die Netze verbindet, sollte es nicht so sein, dass ein Router automatisch das "1" und das "3" Netz verbindet, bzw. sieht? Und wenn nicht, was ist denn dafür notwendig? Ich weiss dass es 101 ist, lerne ich aber gerade Schritt nach Schritt :) (nicht nur hier im Forum, sondern in der Arbeit, und durch Bücher auch...)

Hallo Daniel, Danke dir. Ich habe bereits versucht die statische Route einzurichten, das hat aber leider nicht geklappt. Ich habe beide Hinroute und Rückroute eingerichtet, es hilft aber nicht. Ich werde das ganze auf PPTP Basis versuchen, da OpenVPN sehr kompliziert ist (kann dann eh wieder umstellen soll es funktionieren). Über Proxy-ARP und Einstellung muss ich dann viel nachlesen, da weiß ich nicht wirklich was davon. Das Konzept klingt aber cool. Ich kann auf 192.168.3.0 umstellen, da "2" für was anderes verwendet wird. EDIT: Leider klappt es beim PPTP auch nicht. Habe jetzt beim PPTP Server 192.168.3.1-192.168.3.6 als IP-Range eingerichtet, beim iPhone angehackt "Für alle Daten", eine statische Route eingerichtet mit: Destination: 192.168.3.1 (das iPhone hat diese IP, überprüft) Gateway: 192.168.1.254 Subnet Mask: 255.255.255.0 Metric: 1 Interface: LAN Und trotzdem kann ich die NAS noch immer nicht zugreifen wenn die VPN Verbindung bei der NAS aufrecht ist. Idee was verkehrt sein könnte? Kann ich eigentlich versuchen das VPN IP-Range für PPTP im gleichen Subnet wie alle anderen Rechner, spricht "1"? zB. 192.168.1.5 bis 192.168.1.9, sofern nichts anderes drinnen ist? EDIT2: Also, ein wenig Erfolg. Ohne statisches Routing, ohne irgendein Kuddel-Muddel, wenn ich PPTP in Subnet 1 lege, wo auch mein ganzes Netzwerk ist, dann gibt's keine Probleme... Also liegt wohl das Problem daran, dass der Router scheinbar die Subnetze nicht verbindet. Wie kommt's denn dazu?

Hallo Daniel, Ich hoffe das entspricht einer Netzwerkübersicht. Also, noch zur Wiederholung: - NAS muss via PIA verbunden sein, so dass die NAS im Internet eine andere IP als meine eigene hat - Zugriff vom Handy, via "ASUS-VPN" auf die NAS soll auch möglich sein, wenn die NAS via VPN an PIA angebunden ist Drawing1.pdf

Daniel: ich möchte wirklich nicht unfreundlich klingen, aber eigentlich geht es keinem was an. Aber, wenn's dich interessiert, es sind keine großartigen Geheimnisse, grundsätzlich geht es um eine Flug Simulator Webseite. Torrent? Flugsim Freeware Sachen, oder zB. X-Plane Demos, die meistens via Torrent angeboten werden. Ins Torrent gehe ich aber nicht mit meiner echten IP, soviel weiß ich davon. Und grundsätzlich was ich so gelesen habe, via VPN zu surfen ist gar nicht eine schlechte Idee. In mein Hobby habe ich bereits mehr als 4000€ investiert, und werde es mit allen mir leistbaren Mitteln schützen (http://kostasfsworld.wordpress.com/). Ich hoffe das ist geklärt. Nun: Ich habe mich noch seit gestern etwa mehr damit auseinandergesetzt. Benutzen würde ich gerne OpenVPN anstatt von PPTP. Jetzt habe ich auf meinem RT-N66U die Tomato Firmware, funktioniert auch gut. Soweit habe ich zwei Sachen geschafft: OpenVPN Server, Zugriff vom iPhone auf die NAS bzw. Netzwerk, und auch die NAS oder den Router via PIA VPN zu verbinden. Beim OpenVPN muss ich TUN wählen, da TAP vom iPhone nicht unterstüzt wirde. Trotzdem, sobald ich mich auf PIA verbinde, kann ich vom iPhone keine Verbindung mehr herstellen, eh klar, da sich die öffentliche IP ändert. Was meinst du genau bei der Netzwerkübersicht? IP Adresse Handy ist 10.8.0.6, die Default Einstellung beim TUN Interface beim OpenVPN ist 10.8.0.0/24. Ein paar Screenshots sind here verfügbar die zeigen die VPN Einstellungen im Tomato: https://dl.dropboxusercontent.com/u/31158446/OVPN%20Setup.rar EDIT: Ein weiterer Punkt. Du erwähnst bereits statisches Routing. Wenn ich die Verbindung zum PIA am NAS einrichte, bekomme ich eine dynamische IP, je nach dem wohin ich mich verbinde. Auch am gleichen Server sind die IP Adressen immer dynamisch. Gateway ist per Server immer der gleiche. Ob die Gateway IP Adresse immer die gleiche ist, da bin ich mir unsicher. Hostnames auf jeden Fall. Wie würde ich denn ein statisches Routing einrichten? Vielen Dank für all die Hilfe ;-) Kosta

Daniel, Das Gateway beim Synology kann man sich aussuchen. Es heisst beim Synology "Use default gateway on remote network". Trotz dieser Einstellung auf off oder auch on, geht es nicht. Ich bin nicht ganz sicher dass Split Tunneling die Lösung ist - die Absicht des VPN Tunnels ist die IP zu maskieren und im Netz als von woanders zu erscheinen (spezifisch beim Torrent und einigen Webseiten). Wenn man beim Split Tunneling bereits ist, kann man hier definieren was geht wohin? Die Frage ist auch, geht das überhaupt im Synology... mit RIP und OSRF kenne ich mich gar nicht aus, ist für mich was neues. Die Synology NAS ist eine DS1813+, gerade gestern bekommen, und mein Router ist ASUS RT-N66U. Läuft derzeit mit default Firmware, aber denke mir, ich könnte es mit dd-wrt oder Tomato austatten. Von der Netzwerkübersicht her und IP-Kreisen, es ist einfach: Mein Router und alle Netzwerkgeräte befinden sich in einem privaten Netz, 192.168.1.x, NAS ist daweil auf 99. Die Routingtabelle(n) schicke ich in PM gerne. Weiß nicht ob das der Grund zur Sorge wäre, aber fühle mich etwa unsicher wenn ich meine ganze IP-Kreise hier poste. Oder ist das aus deiner Sicht egal? Leuchtkondom: Die NAS steht bei mir am Tisch. Im Heimnetzwerk. Direkt aus dem Netzwerk kann ich die NAS, VPN-unabhängig, ansprechen, wie ich will. Alle Apps, Zugriffe, alles geht. Sobald ich unterwegs bin, via 3G, auch wenn ich in mein ASUS Router tunnele, kann ich auf die Synology nicht zugreifen. Die NAS muss für gewisse Sachen sich per VPN via PrivateInternetAccess einwählen (ich habe PIA als VPN Service). Es ist halt so. Ralf, Hmm, werde mal probieren. Ich sehe keinen Grund es so nicht zu lösen. Werde mal sehen was ich hier machen kann...

Hallo, Ich hoffe hier findet sich ein Spezialist der mir was erklären kann: Ich hab eine Synology NAS bei dem ich eingestellt habe, dass sie sich auf ein VPN Server verbindet. Sobald sich die NAS dorthin verbindet, klarerweise hat die NAS eine andere (externe?) IP. Ist auch Sinn der Sache. Trotzdem ist die lokale Verbindung vom Rechner zur NAS weiterhin aufrecht, ich kann die NAS schön im lokalen Netz weiterhin mit der lokalen IP finden. Nun verbinde ich mich mit meinem Smartphone via VPN in mein Heimnetz, kann ich meine NAS nicht mehr mit der lokalen IP finden. NAS -> VPN: OpenVPN Smartphone -> Router: PPTP Warum? Wo scheitert es? Kann man was tun damit es klappt? Besten Dank. Kosta

Zahni, Okay, verstanden. Willst mir sagen ich bin im falschen Forum wenn es zu Fargen zum Grundlagen geht. Ich suche mir dann doch andere Foren wo ich vielleicht Anfängerfragen stellen kann und komme hier retour wenn ich auf einem höheren Level bin. Nochmals vielen Dank für die Hilfe.

Natürlich. Siehe was ich im anderen Thread geschrieben habe. Es ist mir bewusst was ich noch alles machen muss. Nun verstehe ich eines nicht: warum haben die Profis immer solche Meinungen über den Anfängern? Ich meine, als ob ich nicht wüsste dass ich das machen muss. Ich lerne täglich und lese so viel was du dir glaube ich nicht mal vorstellen kannst. In den letzen 2 Monaten besteht mein Leben aus fast nichts anderes ausser Netzwerk und unsere Software. Angefangen um 7Uhr im Zug, und endet so am Abend gegen 23Uhr mit dem Remote auf unseren Server. Mein Chef plant was, das weiss ich, nun wann und genau was, weiss ich leider nicht. Ich kann aber nicht stoppen und nichts machen, nur damit ich 6 Monate nur lerne. Die wissen über meinem Wissensstand, aber tja, das ist eine eigene Geschichte.

lefg, Mangel an Kenntnis? Na klar, deswegen bin ich (auch) da. Ich lese sehr viel und schlage sehr viel nach. Ist doch der einzige Weg. Konzeption? Unter anderem auch, damit kämpfe ich auch. Fixiert auf etwas? Ziemlich sicher, aber wie sonst. Okay, du meinst, ich soll sicherstellen, dass der Benutzer am Rechner kein Zugriff auf die Netzwerkeinstellungen hat? DocData, Danke. Jetzt hab ich die Antwort. Also ich muss zwingend VLANs auf Subnetzen konfigurieren. Habe mir eh gedacht. Leicht für dich das zu sagen, ich werde in der Arbeit gepresst schnell zu machen, aber schnell lernen geht schon mal gar nicht. Schau, ich bin unter Druck, mache das Beste heraus, lese jeden Tag früh und abends über Netzwerke (im Zug, am iPad, ein Server 2012 Buch habe mir gekauft), Tagsüber lerne ich unsere riesige Softwareplatform, und versuche das alles zu verbinden. Komm mir bitte nicht mit so einem Satz wieder. Danke.

lefg, Ich weiss was die Firewall und der Router machen. Ja, sind beide in einem Gerät. LANCOM 1751. Wie sollte ein User im Rechner das umstellen können? Einfach via Systemsteuerung. Natürlich kann ich das sperren, aber das will ich nicht machen, ist nicht der Punkt der Diskussion. Ich habe es gestern getestet, der Wechsel ins Subnet 14 hat das pingen erlaubt, weil im FW so eingestellt. Ich will dass es letztendlich so ist, dass wenn man was ändert, man kein Netzwerk Zugriff mehr bekommt. Also jetzt: ich will den einzelnen Rechnern verbieten, und zwar aus dem Netzwerk heraus, das Zugriff ins Netzwerk aus einem anderen Subnet zu haben. Wenn ich definiere dass diese 10 Rechner im Subnet 11 sind, ich will dass wenn die nicht auf Subnet 11 eingestellt sind, absolut keine Verbindung bekommen. Klingt besser? zahni, Danke, habe ich gestern schon einigermassen mich eingelesen. Ist kein kleines Thema. Switch ist eh abgeschlossen. Port-Based MACs sind zu mühsem um ehrlich zu sein :) Ich werde noch über VLANs lesen bevor ich da weiter schreibe.

Das wird bei uns das Problem sein. Ich kenne mit die Sachen einigermassen aus, aber ich sollte in 6 Monaten mehr bei die Kunden draussen sein als in der Firma bei uns. Ich kann unsere Azubis ein wenig ausbilden, aber die werden dadurch nie Admins. Daher stimme ich zu, besser simpel zu halten, sofern wirklich nicht ein Flaschenhals. Ich verteile einfach die VMs auf 3 Ports, so dass der TS getrennt vom DC und der Testumgebung ist, und das dürfte eigentlich nie Probleme dann machen.

Subnets sind definiert durch Adressbereich und Subnetmask, korrekt. Das verstehe ich auch darunter. Und hier bestätigt sich mein "Problem", habe gerade in einer Testumgebung getestet: Rechner1, IP: 192.168.12.101 Rechner2, IP: 192.168.13.101 Im Firewall mache ich zwei Rules, eins erlaubt kein Zugriff von dem 192.168.13.101 auf das 192.168.12.101 und das zweite Rule dass Zugriff aus 192.168.14.101 auf 192.168.12.101 schon erlaubt. Die Aufgabe lautet: kein Ping, Zugriff oder Sichtbarkeit des Rechner1 vom Rechner2. So angenommen man hat einen "probelustigen" User an dem Rechner2 sitzen, sollte er ins Subnet 14 wechseln, was tadellos klappt bei der manuellen Vergabe, kann man den Rechner1 klarerweise anpingen. Und das ganze oben hat nichts mit dem L2 zu tun. Oder mindestens so verstehe ich es. So, was macht man dagegen? Siehe Vorschlag oben bzgl. VLAN... oder gibt es Alternativen? Bzgl. OSI, ja, wie gesagt schon zu oft, ich lerne es. Theoretisch weiß ich ja schon, aber die Praxis und das OSI mit der Praxis zu binden ist was ganz anderes. Mein Glück ist, dass unsere Server-Umgebung nicht wirklich die Produktivumgebung ist, und ich kann mich ziemlich austoben was Tests und probieren angeht. Aber ich soll auch etwas daraus machen. Wir arbeiten in einem ganz anderen System, die Serverumgebung wird derzeit sehr selten genutzt und der Router macht orinigell nur DHCP.

2008R2 Proliant mit einigen (to-come) VMs und ca. 25 Win7 Rechner. Server ist kein Fileserver, sondern eher als TS. Daher bezweifle ich eher dass Teaming was bringen würde.

Super, danke für die Erklärung. Also weg damit, bzw. ist bereits gemacht. Jetzt geht wieder alles wie gewohnt. Ist wahrscheinlich am Switch gescheitert. Deine Punkte machen Sinn. Eine Frage: wenn ich das Management IP vom Switch nicht kenne, wie kann ich ihm herausfinden, ausser Reset und Neuconfig?

Okay, danke. Wieso Komplexität erhöht? Statt 3 NIC, eine NIC, und potentiell höhere Leistung? Habe ich zwar jetzt abgedreht, da etwas gesponnen hat (kein Internet, sehr langsam), vermutlich braucht der Switch eine richtige Konfiguration an den Ports.

Hallo, Simple Frage: Nachdem ich bei einem Proliant Server zwei NIC geteamt habe, muss ich am Switch was tun? Link Aggregation? Oder passiert es automatisch wie ich so im Internet lese... Switch ist ein HP Procurve 24port, Bezeichnung habe ich zu Hause leider nicht (mache es gerade per Remote). Was mich aber ein wenig irrt: Wiki sagt Teaming ist Redundanz. Wiederrum sagt die Info am Server 2Gbit/s. Heisst Teaming ist beides? Redundanz und Geschwindigkeit? Danke Kosta

Okay :) Kernproblem ist, wie ich bereits beschrieben habe, auch bei VLANs, wie kann ich verlässlich trennen? D.h. wenn ich zB. zwei Subnets habe, einen 11 und einen 12, und genauso eingerichtete Rechner, was kann einen Nutzer in Subnet 11 anhalten sich in das Subnet 12 manuell zu verbinden und dann von dort Zugriffe auf verschiedene Geräte bekommen? Auch wenn die Geräte mit Passwort und ohne bekannten Zugriff sind. Ich habe bereits vorher beschrieben dass ich beim LANCOM VLAN Tag für ein IP Netzwerk zuordnen kann. Schön und gut, aber würde gerne wissen ob das korrekt ist, und ob es andere Wege gibt? Entweder verstehe ich deine Antworten nicht, oder wir reden aufeinander vorbei. Ich muss vollkommen verbieten den Benutzer in Netz11 die Möglichkeit zu haben auf irgendeine Weise ins Netz 12 überhaupt zu kommen! Macht Sinn?

Ich respektiere dass du mir hilfst, aber der erste Satz muss wirklich nicht sein. Ich wollte Daemon Tools verwenden und wurde strengstens abgewiesen. Ich versuche nichts mehr was nicht offiziell von dem deutschen Mutterkonzern genehmigt ist. Ob physikalisch oder nicht, ist mir persönlich egal. Was die im Endeffekt wollen ist eine verlässliche Trennung. Die glauben nicht an die logische Trennung, aber ich weiss von der IT Seite, es ist grundsätzlich genauso sicher. Ausserdem eine KOMPLETTE physikalische Trennung ist gar nicht möglich, daher... Man darf kein Zugriff aus dem Schulungsnetz in das Büronetz haben. Keinerlei Möglichkeiten. Aber das Schulungsserver ist das gleiche Gerät dass auch für DNS/DHCP, Test-Server usw. verwendet wird. Hat 4 NIC. Kernproblem: Trennung und Ansprechbarkeit der Server und einiger Clientrechner per UNC.

Ja schön, aber ich kann nicht nur irgendein beliebig Software aus dem Netz nehmen. Leider. Es muss was offizielles sein, und MS haben wir gekauft und das muss es sein.

Ganz in Gegenteil, ich brauche DHCP und DNS, und zwar sicher! Die Pfade in unserer Software funktionieren nur mit UNC, und keinen IPs. Daher ist DNS ein muss. Windows DNS wurde mir empfohlen, weil angeblich eben ich im LANCOM DNS die IP der Server mit einem DNS manuell Binden muss. Das sollte angeblich, wenn ich die Server in die Domäne am DC lege automatisch gehen, auch wenn die IP Adresse manuell vergeben ist. Daher wird auch ein DC notwendig, da ich sonst keine Domäne habe. Wenn die Server in der Domäne sind, kann ich sie angeblich mit der UNC finden, egal aus welchen Subnet. Das ist eben das Problem wenn ich kein DC habe. Angeblich. Getestet habe ich noch nicht soweit. NetBIOS reicht nicht, da UNC Subnetüberfreifend gehen muss. Ich weiss ich könnte mit Hosts arbeiten, nun das ist in einer Ever-Changing-Umgebung etwa unpraktisch. AD wird nicht wirklich benötigt, da ich niemanden im Büronetzwerk schützen muss. Daweil. Alle MA sind brav und alles passt. DC ist scheinbar eher eine Notwendigkeit um mehrere Domänen bzw. Subdomänen zu haben, um die Netzwerke zu verteilen aber trotzdem per UNC ansprechbar haben. Grundsätzlich muss so funktionieren, dass ich Server in mehreren Subnetzen habe (zwecks leichteren Firewall Trennung), aber ich sie Subnetübergreifend per UNC ansprechen kann. Beispiel: Subnet-11: SRV1 SRV2 Subnet-12: SRV3 SRV4 Ich muss vom SRV1 den SRV3 und SRV4 anpingen können, ohne der IP, und das geht angeblich nur wenn entweder beim LANCOM die IP Adresse zu SRV1 gebunden wird und LANCOM eine Domäne representiert (zB. work.local) und dann kann ich die Server via SRV3.work.local finden. Nur, für jeden Server oder VM eine manuelle Zuweisung zu machen, irgendwannmal verliere ich den Überblick. Ist das irgendwie klar?

lefg, Du gehst davon aus, dass ich alle Rechner in der Firma in die Domäne setzen werde bzw. muss. Das wird mindestens für eine Weile verlegt, da ich die Mannresourcen nicht haben werde um das zu machen. Praktisch müsste ich von jeden MA sein Rechner nehmen und sein ganzes Profil in die Domäne setzen, was eben nicht so leicht gehen wird. Vorallem bei einigen Aussendienstlern. Dass die Server/Freigaben nicht ohne Passwort zugreifbar sind, ist ja klar. Nun wäre mir lieber wenn der User nichtmal den Server sieht - sofern das überhaupt möglich ist, da der DC gleichzeitig DNS/DHCP wird, somit hat jeder Benutzer praktisch Kontakt mit dem DC, aber kein Zugang natürlich. So rein von der Überlegung her, muss eigentlich jeder Nutzer den DC sehen ;-). Du hast wohl Recht, es ist fast wie ein Schulszenario. Nun warum ich DC machen will ist wegen dem DNS Server. Wobei ich DNS und DHCP auch ohne DC installieren und betreiben kann. Eine Hardware-Trennung zwischen die Netze ist aus kostengründen nicht machbar. Das bedeutet wir würden ca. 5 Internet Verbindungen machen. Einfach kommt nicht in Frage. Optimal sind eben 2, eine Haupt und eine Backup. Diese versorgen den Hauptrouter, welches dann weiterhandelt. Derzeit sind nach dem Router zwei Switches, eins für das Büro und eins für das Schulungsnetz. Jedes Netz ist ein separates IP Netz mit dem DHCP und DNS Server vom LANCOM. Nun wurde mir geraten ein WinSrv DNS aufzuziehen da dieses wesentlich besser ist. Nun verstehe ich nicht, was dieses besser machen sollte. Und noch immer ist die Frage offen, wie ich eine Trennung machen kann. Ist die Idee die ich oben geschrieben habe plausibel, oder ist das ein Blödsinn? Ich lese bereits sehr viel über VLANs...