Jump to content
Sign in to follow this  
caballero

Problem mit multihomed DC

Recommended Posts

Hi,

 

NIC Teaming bringt dir hier nichts - du willst ja keine Leistungssteigerung oder Ausfallsicherheit einzelner Ports erreichen sondern eine Trennung der Kommunikation (so wie ich dich verstanden habe). Eine Trennung erreicht man nur über Segmentierung und entsprechende Regeln. Wenn der Router kein SPOF sein soll, hast du dann auch redundante Switche an denen die Systeme angeschlossen sind?

 

Ich bin noch nicht so versiert mit vLAN. Ich dachte wenn ich die NICs via Teaming oder Trunking zusammenfasse und die Clients in Subnetze einteile, könnte ich bei einer Anfrage der Clients an den DNS zur Namensauflösung des DC erreichen, dass nur die eine IP der logischen zusammengefassen NIC aufgelöst wird und nicht alle 5 anderen was ja zu Problemen mit der Verbindung führt.

 

Anmerkung: Es handelt sich hier um eine sehr kleine Umgebung in einer Schulungsumgebung. Also hier ist keine Hochverfügbarkeit gefragt. Die Switche sind nicht reudndant ausgelegt. NIC1 auf dem Primärsrv und NIC1 auf dem Backupsrv z.B. sind mit Switch1 für Netz 192.168.102.0/24 verbunden. Weiterhin geht von diesem Switch eine Verbindung zum Router. Das ganze für 5 Netze. Router/FW hat somit auch 5 Schnittstellen.

Share this post


Link to post
Share on other sites
Wie syncst du den die Daten zwischen den Hosts/VMs?

FT kann nur eine vCPu, da du den freien ESXi nimmst fällt das auch komplett raus.

 

 

Was du da gebaut hast ist nix ganz und nix halbes. Kauf einen Router/Switch der Layer3 Routing kann, mach den als Standard GW für die Vlans und dann ACLs drauf. Für SPOF kaufst du das Ding zur Not noch mal, legst den in den Schrank und machst jeden Tag mit Rancid eine automaitsche Sicherung. Nur mal so als Lösungsansatz.

 

Machst du DHCP auch über alle 5 Nics oder arbeitest du da wenigstens mit DHCP Relaying (was wesentlich sauberer ist meiner Meinung nach).

 

DHCP über alle NICs - Die DHCPs sind 70/30 aufgeteilt.

 

Welche Daten meinst du?

Share this post


Link to post
Share on other sites

Hallo

 

Für eine Schul(ungs)umgebung erscheint mir das Gewünschte stark überzeichnet.

 

Ich empfehle ein Überdenken des Konzeptes.

 

Wozu fünf physikalische Adapter?

Edited by lefg

Share this post


Link to post
Share on other sites
Ich bin noch nicht so versiert mit vLAN. Ich dachte wenn ich die NICs via Teaming oder Trunking zusammenfasse und die Clients in Subnetze einteile, könnte ich bei einer Anfrage der Clients an den DNS zur Namensauflösung des DC erreichen, dass nur die eine IP der logischen zusammengefassen NIC aufgelöst wird und nicht alle 5 anderen was ja zu Problemen mit der Verbindung führt.

 

NIC-Teaming arbeitet auf MAC-Ebene (Layer 2). Was Du willst ist ein Router (Layer 3), was Du nicht mit Teaming erreichen kannst. Beschäftige Dich ein wenig mit den Grundlagen. Du solltest Dir einen Lyer-3 Switch besorgen und Dich in die VLAN-Thematik einarbeiten.

 

-Zahni

Share this post


Link to post
Share on other sites

Moin,

 

Anforderungen sind wie gesagt ein Trennung der Netze (phys.) über mehrere NICs. [/Quote]

 

das ist keine Anforderung, sondern ein Lösungsversuch für eine Anforderung, die du immer noch nicht benannt hast. Auf diese weise reden wir nicht über eine Lösung für dein Problem, sondern über die Probleme deiner Lösung ...

 

Die Clients aus Netz1 sollen nicht mit denen aus Netz2 kommunizieren können.

 

Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"?

 

Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist.

 

Gruß, Nils

Share this post


Link to post
Share on other sites
Moin,

 

 

 

das ist keine Anforderung, sondern ein Lösungsversuch für eine Anforderung, die du immer noch nicht benannt hast. Auf diese weise reden wir nicht über eine Lösung für dein Problem, sondern über die Probleme deiner Lösung ...

 

 

 

Aha. Da würden wir der Sache evtl. näher kommen - wäre nur zu klären, was der Grund dafür ist. Warum sollen die Clients auf dieselben Ressourcen zugreifen können, wenn sie in unterschiedlichen Netzen sind? Oder umgekehrt: Warum sollen sie getrennt sein, wenn sie dieselben Ressourcen nutzen? Und: Was heißt "sollen nicht kommunizieren können"?

 

Solange nicht klar ist, was inhaltlich erreicht werden soll, sollten wir keine weiteren technischen Ideen in die Runde werfen, deren Effekt nichts als eine Steigerung der Komplexität ist.

 

Gruß, Nils

 

Es gibt 5 Netze (Raum 102, 201, 205, 210, Verwaltung). Diese müssen aus sicherheits- bzw Zugriffsrechtlichen Gründen logisch getrennt werden. Jeder Raum hat einen Switch, von diesem geht eine Verbindung zu den Clients, eine zum Router und jeweils eine zum Primär und Backupserver.

Ich habe in jedem physischen Server 6 Netzwerkkarten verbaut (5 für LANs, 1 Failover/Management). Es existieren 6 vSwitchte. Jedem vSwitch ist eine phyische NIC zugeordnet, sowie eine Portgruppe mit dem Namen des Netzes. Dieser Portgruppe habe ich wiederum jeweils eine virtuelle NIC von jeder VM zugewiesen, damit jede VM in jedem Netz erreichbar ist. Klappt auch alles super, bis ich das mit multihoming dc mitbekommen habe.

 

Ich komme wohl nicht drum herum, den DC auf eine eigene VM mit nur einer NIC zu betreiben oder? Dann muss ich mit einem Layer 3 Switch und Vlan die Verbindung der Netze sicherstellen.

Share this post


Link to post
Share on other sites

Ich komme wohl nicht drum herum, den DC auf eine eigene VM mit nur einer NIC zu betreiben oder? Dann muss ich mit einem Layer 3 Switch und Vlan die Verbindung der Netze sicherstellen.

 

richtig.

Share this post


Link to post
Share on other sites
Wieso? Du hast dann doch nur noch eine LAN NIC.

Mit ner VM nur für DC und nur einer NIC?

Ja dann schon...ich suche eine Lösung wobei ich die jetztige Konstellation bestehen lassen kann, aber das sieht schlecht aus. Ist es denn so fatal, wenn der DC 5 LAN Schnittstellen hat? Macht sich das wirklich so stark bemerkbar (Verzögerungen)? Wie sieht es denn mit den anderen multihomed Servern aus, sind ja quasi alle anderen auch.

Share this post


Link to post
Share on other sites

Ja.Wenn Du für die gleiche Adresse unterschiedliche IP-Adressen registrierst, macht der DNS-Server Round Robin und gibt für jede Abfrage eine andere Adresse aus, egal ob der Client die nun erreichen kann, oder nicht.

 

Das hat sich seit Windows 2000 nicht geändert:

 

Active Directory communication fails on multihomed domain controllers

 

Ganz schlimm wird es, wenn Du mehr als ein Default Gateway einträgst. Das dürfte aber ab Windows 2008 nicht mehr gehen´.

Share this post


Link to post
Share on other sites
Ja.Wenn Du für die gleiche Adresse unterschiedliche IP-Adressen registrierst, macht der DNS-Server Round Robin und gibt für jede Abfrage eine andere Adresse aus, egal ob der Client die nun erreichen kann, oder nicht.

 

Das hat sich seit Windows 2000 nicht geändert:

 

Active Directory communication fails on multihomed domain controllers

 

Ganz schlimm wird es, wenn Du mehr als ein Default Gateway einträgst. Das dürfte aber ab Windows 2008 nicht mehr gehen´.

 

Zum Verständnis (ich bin noch in der Ausb.):

Also ein Server (egal, welche Anwendung drauf) mit mehreren NICs = Adresse wird durch DNS mit mehreren IPs durch RR aufgelöst (das lässt sich bei mir ja grade nicht vermeiden, da auch EX CAS alle 5 NICs benutzen müssen um in allen Netzen erreichbar zu sein). Also würde der DNS bei jeder Anfrage auf einen Server alle IPs nach RR ausgeben, egal ob im selben Netz. Und der Client arbeitet die stumpf ab. Gilt das auch für das Exchange CAS Array? Wieso kann der DNS nicht einfach die IP ausgeben, die sich im gleich Netz befindet!

 

Da ich ja ein 2 Srv DAG mit CAS array und 2 DC/DNS eingerichtet habe und sich die AD/DNS replizieren, werden wahrscheinlich alle 10 IPs (z.B. 5 von DC Primärhost, 5 Backuphost) aufgelöst. Ich hoffe nicht?

 

Ne habe nur ein GW....

Share this post


Link to post
Share on other sites

Moin,

 

um noch ein letztes Mal darauf zurückzukommen: Das ganze Konzept ist nicht stimmig. Du hebst deine mühsam aufgebaute Netztrennung auf, wenn alle Server in jedem Netz hängen (oder auch wenn nur ein Server in jedem Netz hängt, auf den die User draufkommen).

 

Du hast immer noch nicht beantwortet, warum die Clients netzweise getrennt sein sollen, wenn sie gleichzeitig dieselben Ressourcen nutzen dürfen. Da das Problem üblicherweise die Ressourcen sind, erschließt sich mir der ganze Ansatz nicht. Um die Clients voneinander zu trennen, reicht die Windows-Firewall üblicherweise völlig aus.

 

Abgesehen davon, nützt reine Netzwerk-Aufteilung auch nichts, wenn keine Firewall die Netze tatsächlich voneinander trennt.

 

Gruß, Nils

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...