Jump to content
Sign in to follow this  
caballero

Problem mit multihomed DC

Recommended Posts

Hallo, ich habe folgendes Problem:

 

Ich habe auf einem Knoten eine virtuelle Maschine mit ESXi 5.1 erstellt. Auf dieser läuft Win2k8R2 Enterprise mit AD, DNS, Exchange 2010 CAS und HT.

 

Ich habe fünf phyische Netzwerkadapter in dem Host, der virtuelle Maschine sind diese durch die Zuweisung Virtueller Netzwerkadapter quasi 1:1 durchgreicht.

 

Jeder Netzwerkadapter ist in einem eigenen Netz (NIC1 192.168.102.220/24; NIC2 192.168.205.220/24 usw...)

 

Jetzt muss AD natürlich in jedem Netz verfügbar sein, wenn ein Client eine Anfrage stellt kriegt er alle 5 IPs des DC aufgelöst. Ich kann aber folglich ja nicht die DNS Registrierung der anderen Netzwerkkarten (z.B: die 102.220) einfach deaktivieren, da der DC ja dann in dem Netz nicht mehr aufgelöst werden kann.

 

Gibt es dafür eine Lösung?

Share this post


Link to post
Share on other sites

Hi,

 

soweit mir bekannt ist, ist ein multi-homed DC keine unterstützte Setupmöglichkeit. Der DC müßte dafür alle seine Service Records entsprechend multiplizieren und auch sonst im Hintergrund einiges anstellen. Kann mich täuschen - aber der einzige Weg (den ich auch aus der Praxis so kenne), ist die Installation eines DC's in jedem segmentierten Bereich (wobei die DC's untereinander reden können müssen).

 

LG

Share this post


Link to post
Share on other sites
Wieso macht man so was? Wieso Exchange und AD auf einem Host? Wieso 5 Netzwerkkarten?

 

Ich hab schonmal einen Beitrag erstellt, da ging es um Virtualisierung und Ausfallschutz. Ich möchte die nötigen Instanzen für Ausfallschutz möglichst gering halten, deswegen teile ich auf 2 virtuellen Maschinen die Dienste auf:

VM1 DC DNS CAS HT VM2 DHCP und MBX

 

Die 5 Schnittstellen sollen eine physikalische Netztrennung gewährleisten. Aber selbst ohne EX auf der VM und unter Verwendung von Subnetzen würde das Problem doch weiter bestehen oder? Muss also wirklich jedes Netz seinen eigenen DC bekommen?

Share this post


Link to post
Share on other sites
Hi,

 

soweit mir bekannt ist, ist ein multi-homed DC keine unterstützte Setupmöglichkeit. Der DC müßte dafür alle seine Service Records entsprechend multiplizieren und auch sonst im Hintergrund einiges anstellen. Kann mich täuschen - aber der einzige Weg (den ich auch aus der Praxis so kenne), ist die Installation eines DC's in jedem segmentierten Bereich (wobei die DC's untereinander reden können müssen).

 

LG

 

Ist das etwa die einzige Lösung? Dann müsste ich ja theoretisch 5 VM mit AD aufsetzen, dass frisst ja Ressourcen ohne Ende!

Share this post


Link to post
Share on other sites

Kann ich nicht die 5 Netze in Subnetze aufteilen und die 5 NICs per Teaming zu einer bündeln und in ein übergeordnetes Supernetz einteilen? Wäre das theoretisch (mit ESXi 5.1 free) möglich?

Share this post


Link to post
Share on other sites

Moin,

 

nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist?

 

Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hi,

 

der optimale Weg ist natürlich wenn du das Routing so hin bekommst, dass die Maschinen den DC direkt erreichen können. Das hängt natürlich davon ab ob du einen Router hast, der dir das ermöglicht. ESXi hat an sich nur vswitche.

Share this post


Link to post
Share on other sites
Moin,

 

nun sag uns bitte noch, wie du eine "physikalische Netzwerktrennung" erreichen willst, wenn der Hostserver mit jedem Netz verbunden ist? Und wie genau soll dann eine VM dazu beitragen, die ebenfalls mit jedem Netz verbunden ist?

 

Darüber hinaus ist es kaum möglich, dir eine Empfehlung auszusprechen, wenn du die Anforderungen nicht beschreibst. Liefere das bitte nach, früher können wir nichts Sinnvolles dazu sagen.

 

Gruß, Nils

 

Nun ja, sagen wir eine mehr oder weniger physikalische Trennung. Eher eine logische wenn man es genau nimmt. Jedes Netz soll über eine eigene NIC mit dem Server verbunden werden. Die VM soll nur die darauf installierten Dienste bereitstellen, in dem Fall AD EX CAS und HT.

 

Anforderungen sind wie gesagt ein Trennung der Netze (phys.) über mehrere NICs. Die Clients aus Netz1 sollen nicht mit denen aus Netz2 kommunizieren können. Es ist erforderlich, das alle Netze mit der VM bzw dem DC/DNS (auch CAS) verbunden sind (über 5 NICs - ist schlecht, ich weiß).

Die Kapazitäten für VM sind beschränkt, es sind maximal zwei auf dem Host aufgrund von Hardwareressourcen möglich.

Oder welche Anforderungen meinst du genau?

Share this post


Link to post
Share on other sites
Ich hab schonmal einen Beitrag erstellt, da ging es um Virtualisierung und Ausfallschutz. Ich möchte die nötigen Instanzen für Ausfallschutz möglichst gering halten, deswegen teile ich auf 2 virtuellen Maschinen die Dienste auf:

VM1 DC DNS CAS HT VM2 DHCP und MBX

 

Ausfallschutz und Geringe Anzahl an Maschinen widerspricht sich etwas.

 

Wo hast du bei deiner Umgebung einen Ausfallschutz?

Share this post


Link to post
Share on other sites
Hi,

 

der optimale Weg ist natürlich wenn du das Routing so hin bekommst, dass die Maschinen den DC direkt erreichen können. Das hängt natürlich davon ab ob du einen Router hast, der dir das ermöglicht. ESXi hat an sich nur vswitche.

 

Routing wenn sie im gleichen Netz sind? Ich habe einen Router, jedoch sollte das NW auch noch funktionieren wenn dieser mal Ausfällt. Es sollten SPOF möglichst vermieden werden. Was ist mit NIC Teaming und Subnetzten bzw Supernetz?

Share this post


Link to post
Share on other sites

Hi,

 

du könntest deine Anforderungen durch eine einfache Trennung deines Netzes durch vLans erreichen. Wenn du allen Clientgruppen ein eigenes vLan gibst und dazu noch jede Servergruppe in ein eigenes vLan legst, dann kannst du anschließend festlegen wer mit wem reden darf. Das setzt allerdings einen richtigen Router / Switch /Firewall voraus.

Share this post


Link to post
Share on other sites
Ausfallschutz und Geringe Anzahl an Maschinen widerspricht sich etwas.

 

Wo hast du bei deiner Umgebung einen Ausfallschutz?

 

Entschuldige bitte, ich habe nur einen Teil der Umgebung beschrieben. Ich dachte den Rest kann ich außer acht lassen.

 

Es gibt 2 phyische Hosts mit ESXi 5.1 als HV.

 

Host1: VM1 AD,DNS,CAS(array),HT VM2 DHCP,MBX(dag)

 

Host2: Die gleichen VM

 

Beide haben 6 NICS, 5 für die Clients und 1 für Failover von CAS bzw DAG.

NICs können bei Bedarf noch erweitert werden.

 

Das hilft mir aber alles nichts bei dem Problem mit dem multihomed dc...

Share this post


Link to post
Share on other sites
Routing wenn sie im gleichen Netz sind? Ich habe einen Router, jedoch sollte das NW auch noch funktionieren wenn dieser mal Ausfällt. Es sollten SPOF möglichst vermieden werden. Was ist mit NIC Teaming und Subnetzten bzw Supernetz?

 

Hi,

 

NIC Teaming bringt dir hier nichts - du willst ja keine Leistungssteigerung oder Ausfallsicherheit einzelner Ports erreichen sondern eine Trennung der Kommunikation (so wie ich dich verstanden habe). Eine Trennung erreicht man nur über Segmentierung und entsprechende Regeln. Wenn der Router kein SPOF sein soll, hast du dann auch redundante Switche an denen die Systeme angeschlossen sind?

Share this post


Link to post
Share on other sites
Entschuldige bitte, ich habe nur einen Teil der Umgebung beschrieben. Ich dachte den Rest kann ich außer acht lassen.

 

Es gibt 2 phyische Hosts mit ESXi 5.1 als HV.

 

Host1: VM1 AD,DNS,CAS(array),HT VM2 DHCP,MBX(dag)

 

Host2: Die gleichen VM

 

Beide haben 6 NICS, 5 für die Clients und 1 für Failover von CAS bzw DAG.

NICs können bei Bedarf noch erweitert werden.

 

Das hilft mir aber alles nichts bei dem Problem mit dem multihomed dc...

 

Wie syncst du den die Daten zwischen den Hosts/VMs?

FT kann nur eine vCPu, da du den freien ESXi nimmst fällt das auch komplett raus.

 

Was du da gebaut hast ist nix ganz und nix halbes. Kauf einen Router/Switch der Layer3 Routing kann, mach den als Standard GW für die Vlans und dann ACLs drauf. Für SPOF kaufst du das Ding zur Not noch mal, legst den in den Schrank und machst jeden Tag mit Rancid eine automaitsche Sicherung. Nur mal so als Lösungsansatz.

 

Machst du DHCP auch über alle 5 Nics oder arbeitest du da wenigstens mit DHCP Relaying (was wesentlich sauberer ist meiner Meinung nach).

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...