kosta88 2 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Hallo, Nach der erfolgreichen Umstellung des Netzwerks ins VLAN, jetzt ist DC dran. Im Netzwerk ist ein LANCOM 1751 drinnen, dieser agiert als DHCP Server für etliche Netzwerke (Subnetze) und als DNS Server. Da sich die Geräte ohne permanenten Aufwand am LANCOM gegenseitig Subnetz-Übergreifend nicht "sehen", wurde mir empfohlen alle Geräte in die Domäne zu setzen. Somit würden sich dann auch gegenseitig angeblich finden können. Ist das richtig? Würde ein DC reichen, dass ich aus verschiedenen Netzwerken die Geräte einfach mit dem Computernamen finden kann? zB: 192.168.11.101 = DC 192.168.12.101 = SERVER am DC: ping server muss funktionieren am SERVER: ping DC muss funktionieren Derzeit kann ich per IP pingen, aber nicht per DNS, da ich beim LANCOM entweder "Stations-Namen" eintragen müsste, oder Subdomänen einrichten, und dann die Geräte mit FQDN finden. Ist ein dauernder Aufwand, vor allem wenn man die VMs ändert oder neu macht. Aber, nachdem ich die Geräte in die Domäne joine, dann müsste das von jeden Rechner der in der Domäne ist, auch funktionieren. Sehe ich das richtig so? Sofern alles korrekt... Wie geht man voran mit dem Wechsel? DHCP...wohl einrichten am DC, am Router abdrehen, und dann geht alles wieder automatisch? Und DNS...? Wird wohl DC an den Servern/Clients als Primärer DNS stehen, und Router als Sekundärer? Das dürfte wohl reichen, oder? Besten Dank :) Kosta Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 (bearbeitet) Moin, das stellst du dir zu einfach vor. Eine Domäne ist nicht dazu da, um subnetübergreifende Namensauflösung zu gewährleisten. Sie dient zur einheitlichen Verwaltung der Benutzer und Geräte in einem Netzwerk. Ganz im Gegenteil musst du die Namensauflösung sicherstellen, damit die Domäne überhaupt funktioniert. Mir ist nun noch nicht ganz klar, was du überhaupt erreichen willst und was die Rahmenbedingungen sind. Warum sind die Subnetze aufgeteilt? Warum müssen die verteilten Geräte zusammenarbeiten? Warum muss eine Namensauflösung mit Computernamen funktionieren? usw. Gruß, Nils bearbeitet 18. Juni 2014 von NilsK Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Moin, eine Domäne ist etwas mehr als DNS und DHCP. Für den Anfang empfehle ich einen Blick in den Infrastructure Planning and Design Guide für Active Directory. Dort finden sich eine Reihe von Themen, die vor der Installation geklärt bzw. beachtet werden sollten. http://www.microsoft.com/en-us/download/details.aspx?id=732 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 (bearbeitet) Hallo, ich versuche es mal so: Der DC wird auch die Funktion des Masterbrowsers einnehmen für alle Subnetze des LAN, mit deren Teilnehmern, die ihn erreichen, so der Browserdienst auf dem DC gestartet(ist Default). Das hat nichts mit DHCP und DNS zu tun. Der Browserdienst erstellt eine Liste, diese wird in der Netzwerkumgebung des Explorers angezeigt, auch an den Clients, die auf diese Liste Zugriff erhalten. Es kann sein, in der Liste werden Rechner geführt, die für den einzelnen Client nicht erreichbar sind, da eda die Rechner in einem anderen Subnetz, es dorthin aber keine Route gibt. Es kann sein, z.B. morgens neu ins Netz gestartete Rechner werden noch nicht in der Liste geführt, es können aber auch Rechner geführt werden, die sind nicht mehr im netz, sind abgeschaltet, das Aktualisieren dauert ungefähr 13 Minuten. Ich frage mal Wozu sollen sich die Clients verschiedener denn überhaupt sehen? Genauer, wozu sollen die Benutzer an den Clients die anderen Clients sehen? Gibt es einen Grund? Wohl zumeist brauchen die Clients, deren Benutzer nur Zugriff auf den Serve, auf Drucker. Und das wird administrativ eingerichtet. Die Benutzer sollen produktiv arbeiten und nicht im Netzwerk rumspielen. 192.168.11.101 = DC 192.168.12.101 = SERVER am DC: ping server muss funktionieren am SERVER: ping DC muss funktionieren Sind DC und Server denn im selben IP-Subnetz oder falls es zwei Subnetze sind, besteht dazwischen ein funktionierendes Routing? Falls 192.168.11.101/24 ist und 192.168.12.101/24 ist, dann befinden sich die beiden in verschiedenen IP-Subnutzen, für eine gegenseitige Erreichbarkeit, Zugriff, müsste es ein Routing geben. bearbeitet 18. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Moin, seit Windows Server 2008 ist der Browserdienst standardmäßig deaktiviert. Auch sonst ist eine Domäne absoluter Overkill, wenn es denn tatsächlich nur um die Namensauflösung mit kurzen Namen gehen soll. Da der TO es zu aufwändig findet, die Namen im DNS seines Routers zu pflegen und per FQDN aufzulösen, käme aushilfsweise eigentlich nur noch WINS in Betracht. Der Aufwand ist dadurch minimal geringer - man muss keine Namen mehr pflegen, aber jeder Rechner muss als WINS-Client konfiguriert werden. Und es braucht eben einen WINS-Server. All das lässt sich aber dann doch besser diskutieren, wenn man die Anforderungen kennt. Daher frug ich danach - vielleicht sollten wir erst mal eine Antwort abwarten ... Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 18. Juni 2014 Autor Melden Teilen Geschrieben 18. Juni 2014 (bearbeitet) Warum sind die Subnetze aufgeteilt? Die Trennung ist deswegen da, damit ich um die Netze VLANs machen kann, und jeweilige Rechner nach einem Plan in diverse VLANs setzen kann. Die Begründung ist ganz einfach: Sicherheit. Jetzt ist es schön soweit, dass sich kein Rechner aus seinem VLAN nicht rühren kann, dient dazu die Aufteilung in der Firma so zu machen, damit keine uneingeladene Nutzer nirgendwo hinkommen wo sie nicht hinkommen dürfen. Zb. TS muss getrennt vom DC sein, anderer Subnet. DC muss her, damit ich etliche Schulung Notebooks leichter verwalten kann, damit ich die Rechte nicht per Rechner vergeben muss (ja, ich weiss dass ein DC nicht nur DNS+DHCP ist). Warum muss eine Namensauflösung mit Computernamen funktionieren? Weil das unsere Software fordert. Für die Kontakte zwischen Rechner muss ich FQDNs verwenden, und keine IPs. Ein Plan habe ich bereits, und ich weiss eigentlich (glaube ich mindestens) was ich will. Nur diesen Plan kann ich wie er jetzt steht nicht mehr rausschicken. Müsste ich komplett überarbeiten damit ich es rausschicken kann. Aber genug gesagt ist, dass ich für den Anfang die Schulungsrechner über DC verwalten will, und die Server müssen alle per Computername oder FQDN angesprochen werden können. Mit FQDN, wie gesagt, konnte ich es im LANCOM machen, aber das fordert mehr Arbeit als notwendig, und da ich DC eh brauche für die NB, Frage ist, wie das via DNS im Windows geht. Ich werde dieses Wochenende versuche die DNS Kapiteln in meinem Buch zu bewältigen, aber Fragen schadet ja nicht. lefg, Danke, der erste Satz macht schon Sinn. Werde mal darüber nachschlagen. Ich frage mal Wozu sollen sich die Clients verschiedener denn überhaupt sehen? Nochmals: unsere Software. Die Server müssen sich per Computername kennen, und die Clients. Aber nicht unbedingt die Schulungnotebooks. Da muss ich dann vorsichtig sein, aber ich gehe Schritt nach Schritt. Sind DC und Server denn im selben IP-Subnetz oder falls es zwei Subnetze sind, besteht dazwischen ein funktionierendes Routing? Natürlich besteht es. Die zwei sehen sich auch via IP Adressen. Das Netz steht bereits stabil, mit VLANs konfiguriert und sauber mit Subnetzen getrennt. Ich gebe es zu, wie schon oftmals, ich lerne, so wie ich ne Zeit für die VLANs benötigt habe, und endlich auch verstanden und geschafft, jetzt ist DC dran mit allen Basis Sachen die er so mitbringt. Nun paralel zu der Tatsache dass ich lerne, darf man wohl auch fragen :) Moin, seit Windows Server 2008 ist der Browserdienst standardmäßig deaktiviert. Auch sonst ist eine Domäne absoluter Overkill, wenn es denn tatsächlich nur um die Namensauflösung mit kurzen Namen gehen soll. Da der TO es zu aufwändig findet, die Namen im DNS seines Routers zu pflegen und per FQDN aufzulösen, käme aushilfsweise eigentlich nur noch WINS in Betracht. Der Aufwand ist dadurch minimal geringer - man muss keine Namen mehr pflegen, aber jeder Rechner muss als WINS-Client konfiguriert werden. Und es braucht eben einen WINS-Server. All das lässt sich aber dann doch besser diskutieren, wenn man die Anforderungen kennt. Daher frug ich danach - vielleicht sollten wir erst mal eine Antwort abwarten ... Gruß, Nils Wie oben erwähnt, ist mir DNS nicht genug. Ich habe es ganz am Anfang nicht erwähnt, aber ich brauche ADDS genauso. 10 Rechner will nicht alle manuell administrieren. Und später kommen noch ca. 20 Rechner dazu. Und der letze Grund ist: viele unsere Kunden haben DCs und grosse Netzwerke, die zum Grossteil von IT-Firmen betreut werden, aber da ich damit sehr viel zu tun haben werde, dient mir dann unser Netzwerk hier zum Teil zum lernen. bearbeitet 18. Juni 2014 von kosta88 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 (bearbeitet) Was ist jetzt momentan die Problemstellung? Nur die Frage Ist das richtig? Würde ein DC reichen, dass ich aus verschiedenen Netzwerken die Geräte einfach mit dem Computernamen finden kann? Nun, falls der DNS richtig konfiguriert und auch die Netzwerkeinstellung der Clients, diese den DC erreichen können, dann sollte es funktioniieren. Da es sich um einen DNS auf einem DC handelt, sollten dessen Zonen im AD integriert sein.Die Clients der Domäne tragen sich im DNS ein. Man kann bei Bedarf nachhelfen am Client mit ipconfig /registerdns. Der Eintrag sollte dann in der FWLZ stehen. Falls dem so ist, dann sollte ein Ping auf einem Computernamen auch eine korrekte Antwort bringen. Sollte Ping über eine Subnetzgrenze gehen, ein Routing, dann natürlich auch die Rückroute benutzbar sein. bearbeitet 18. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Moin, wer auch immer dir eingeredet hat, dass VLANs eine Sicherheitsfunktion seien: Das ist nicht so. VLANs dienen in erster Linie der Segmentierung des Netzwerks, meist um Broadcastlasten zu reduzieren. Da du ja aufgrund deines Designs ein Routing zwischen den VLANs einrichten musst, hast du auf Ebene der Sicherheit durch die VLANs allein nichts gewonnen. Hier müsste noch eine Firewall dazukommen, wenn man das denn möchte. Die Beschreibung, die du nun gegeben hast, macht die Situation nachvollziehbar. Bitte gewöhn dir an, solche Informationen gleich mit zu geben, das erspart unnötige Rückfragen und unnötige Ratespiele. Da du nun also ohnehin eine Domäne brauchst, liegt es natürlich nahe, auch die DNS-Namensauflösung darüber zu erledigen. Die wichtigsten Stichworte dazu findest du hier: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ DNS hilft dir allerdings nicht bei den kurzen Namen, sondern in deinem Szenario nur für die FQDN-Namensauflösung. In deinem Fall würde ich für die Auflösung "kurzer Namen" tatsächlich WINS empfehlen, das ist am einfachsten zu implementieren und erzeugt praktisch keinen Pflegeaufwand. Installiere also auf deinem DC auch WINS und konfiguriere in allen Domänenrechnern (einschließlich des DC) die DC-IP-Adresse als WINS-Server. Und ganz ernsthaft: Es wäre sinnvoll, wenn du ein produktives Netzwerk erst aufbaust, nachdem du dir die dafür nötigen Grundlagen angeeignet hast. Auch wenn eine AD-Domäne scheinbar einfach einzurichten ist, gibt es sehr viel, was man falsch machen kann. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 18. Juni 2014 Autor Melden Teilen Geschrieben 18. Juni 2014 (bearbeitet) Ich weiß was VLANs machen, die Segmentierung des Netzwerkes ist mit Absicht. Auch die andere Begründig für VLAN ist die Tatsache dass die Rechner auf Ihre Subnetze eingeschränkt werden (Rechner der im VLAN-11 ist, kann, auch wenn manuell mit einer IP 192.168.12.xxx versehen, im Subnet 12 nichts mehr machen). Sieht man das nicht als Sicherheit (Firewall vorausgesetzt)? Zwischen die VLANs sitzt die Firewall und regelt die Zugriffe. Entweder verstehst du nicht mein Konzept oder ich mache was grundlegend falsch. Aber ich wüsste nicht wie ich besser erklären sollte. Es ist aber die Tatsache dass ich mit der jetzigen Konstuktion erreicht habe das was ich erreichen wollte. Jeder sitzt dort wo er sitzen soll, DHCP Server weisen entsprechende Adressen zu entsprechenden Orten zu, und man kommt auch nicht raus. Und per FW kann ich schön regeln, wo was hin darf. Dass Broadcasts verringert werden, auch vom Vorteil. Unser Produktives Netz benötigt nichts aus dem Schulungsnetz, ist auch gut so. "Die Beschreibung, die du nun gegeben hast, macht die Situation nachvollziehbar. Bitte gewöhn dir an, solche Informationen gleich mit zu geben, das erspart unnötige Rückfragen und unnötige Ratespiele." Nehme ich zur Kenntnis, und werde versuchen nächstes mal alles gleich zu sagen. FQDN ist sogar erwünscht. In den Anleitungen unserer Software wird eigentlich fast immer mit FQDN gearbeitet, und damit komme ich klar. Aber ich schaue mir WINS an, wenn nichts anderes dann aus Neugier. Es gibt bei uns zwei Netze. Das eine ist das produktive Netz, das ich grundsätzlich nicht angreife. Das zweite, wo ich mehr oder weniger Sachen probieren kann, ist wirklich so gut wie gar nicht in Betrieb. Nur für Schulungen, Gast-WLAN und noch paar Schickschnacks. Aber nichts wichtiges. Unser Internet wird vorm Router durch ein Switch gesplittet, und geht auf zwei Router, die dann jeweils ein Netz speisen. Nun wird eben das Problem sein, dass ich diese Struktur dann am Ende aber ändern muss (1x Core-Switch und danach alles andere), da, wenn ich DC habe, ich keine zwei getrennte Switches haben kann, da der andere Switch vom DC nicht erreicht wird. Eventuell statische Route, aber soweit bin ich noch nicht. Nun, da gehe ich jetzt zu weit zum obigen Thema. Und...neben der Tatsache dass ich viel lerne und das Netze mache, mache ich das ganze fast nebenbei, da meine Aufgaben in der Firma nicht zu 100% in die IT-Administration gehören. Daher geht das ganze nur sehr langsam, und Schritt nach Schritt lernen. Was ist jetzt momentan die Problemstellung? Wie oben gesagt: Wenn die Rechner in verschiedenen Subnetzen (VLANs) drinnen sind, finden sie sich per IP = Routing OK. Per Computername oder FQDN nicht, da man für die FQDN am LANCOM Subdomänen konfigurieren muss und das funktioniert auch nur halbwegs. Man kann zB. kein DNS flush machen, und wenn man was ändert, ist ein flush nur durch ein Neustart möglich. Die Frage ist, wenn die Geräte in der Domäne am DC sind, werden dann alle sauber per FQDN oder Computername angesprochen werden können? Was dafür nötig ist, kannst du mir gerne schreiben, aber ich werde wohl viel über das Wochenende lesen müssen. bearbeitet 18. Juni 2014 von kosta88 Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Moin, aha, eine Firewall ist also auch dazwischen. Gut, dass du das bei der Gelegenheit auch mal erwähnst ... Wie du meinen Hinweisen ja entnehmen kannst, habe ich auch darauf hingewiesen, dass der Sicherheitseffekt bei VLANs nur durch die Firewall entsteht. Da du eine hast - okay, dann kann dadurch ein höheres Sicherheitsniveau entstehen. Aber mach dir nichts vor, damit werden die Anforderungen, die du umsetzen willst, auch nicht leichter, denn all die Komponenten müssen ja auch noch irgendwie miteinander kommunizieren. Gerade in einer Domäne kann eine falsch konfigurierte Firewall echt Ärger machen. Oben hast du gesagt, FQDN wäre nicht OK für deine Situation, jetzt plötzlich soll FQDN sogar besser sein. Naja, musst du wissen. Ich habe beigetragen, was ich beitragen kann und klinke mich dann jetzt mal aus. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 18. Juni 2014 Autor Melden Teilen Geschrieben 18. Juni 2014 Nils, Ich absolut respektiere alle Antworten und bin für jegliche Hilfe dankbar. Nun was du von mir erwartest, sehe ich nicht wie ich liefern soll. Die Netzwerke sind ein sehr kompliziertes Thema, und wenn ich beim jeden Thread den ich eröffne das ganze Netzwerk in das höchste Detail beschreiben muss, würde ich für jedes Post stundenlang brauchen. Etwas was ich mir bei aller Liebe nicht erlauben kann - da verliere ich schon alleine mein Job. Oder die Frau wenn ich das in der Freizeit mache :) Du hast mich gefordert über VLANs zu schreiben, obwohl ich eigentlich nicht sehe, was die VLANs und Firewall mit dem DNS Server zu tun haben. Von Anfang an wollte ich eigentlich über das Thema VLAN gar nicht reden. Ich habe es nun erwähnt am Anfang, da ich in einem anderen Thread das Thema abgeschlossen habe. Aber einen Fehler habe ich gemacht: dieser Thread war nicht in diesen Forum, sondern im Lancom Forum. Daher war die Referenz eigentlich vollkommen sinnlos. Dafür entschuldige ich mich. Weil du sagst, mit der Domäne kann Firewall Ärger machen, gut, nehme ich gerne diese Aussage ernst. Die FW kann ich immer ansatzweise abdrehen und schauen ob alles gut funktioniert. Ich sehe da kein Problem. Bzgl. FQDN. Du hast mich ein wenig missverstanden, und ich habe eventuell ein wenig unpräzise mich ausgedrückt. Im ersten Post, die Referenz des Aufwands war nicht auf FQDN, sondern das managen der ganzen Sache mit DNS im LANCOM. Danke für deine Beiträge. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 18. Juni 2014 Melden Teilen Geschrieben 18. Juni 2014 Ich glaube Nils hat überlesen das du die Vlans am Lancom terminiert der Router und Firewall in einem sein kann. Um nur kurz dein DHCP "Problem" anzusprechen: Du musst am Lancom DHCP Relay/Helper konfigurieren damit die DHCP anfragen aus den verschiedenen Vlans am DHCP (DC) ankommen und beantwortet werden. Dem DC NICHT mehrere Netzwerkkarten in den verschiedenen Vlans geben, damit schaffst du dir mehr Probleme als Lösungen! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.