DHCP Server Bereich

[zahni 521]

Es gibt auch sog.pVLAN's, also private VLAN's

 

http://en.wikipedia.org/wiki/Private_VLAN

[lefg 276]

Hallo,

 

Ich würde gerne wissen ob eine WS vom 2. Segment (Unterdomäne Max.Moritz.de) eine IP v. DHCP Server aus dem 1. Segment (Stammdomäne Moritz.de) bekommt, bzw. bekommen kann.

 

Abseits des DHCP: Ich behaupte mal, mit der Subdomain bist Du auf dem Holzwege.

 

Zum Nachdenken: Wozu soll eine Subdomain gut sein?

bearbeitet 23. Oktober 2014 von lefg

[kkkap 1]

Wozu gibt es Subdomains? Damit Strukturen getrennt sind. Oder aus welchem Grund Gibt es Strukturen, Gesamtstrukturen usw.?

 

Wie auch immer, ich habe das folgend aufgebaut.

Es sind alle Virtuelle Maschinen auf VMWare Workstation mit 12 GB RAM und I7

Performance Probleme haben wir nicht.

Die Netzwerkkarten sind im VMWare Settings in LANSEGMENTE (LS) unterteilt.

Eine Karte IM LS1 kann eine im LS2 nicht anpingen obwohl die Netzwerk ID identisch ist.

Also die können sie so nicht erreichen, wenn sie nicht im selben LS sind.

Alle Server haben 2 Karten, damit sie sich voneinander Netzwerktechnisch trennen können.

 

moritz.de                                                                                                         

DC-SRV1-IP        82574L #2           192.168.0.1         LS1                                                       

DNS                       192.168.0.1                                                                      

                                                                                                             

DHCP    Bereich 192.168.10.100-200                                                                      

DHCP    Bereich 192.168.20.100-200                        Binding beide NIC                                         

Mitgabe von Einstellungen                                        DNS 192.168.20.1                            Router 192.168.20.1                       Domäne mar.moritz.de

zuvor                                    DNS 192.168.10.2                            Router 192.168.10.2                       Domäne mar.moritz.de

 

IP-2Nic 82574L #3            192.168.10.1      LS2                                                       

DNS                       192.168.0.1                                                                      

Gateway                             192.168.10.2                                                                    

                                                                                                             

max.moritz.de                                                                                               

DC-SRV2-IP                        192.168.10.2      LS2                                                       

DNS                       192.168.10.2                                                                    

Gateway                             192.168.10.1                                                                    

                                                                                                             

IP-2Nic                 192.168.20.1      LS3                                                       

DNS                       192.168.10.2                                                                    

                                                                                                             

ROUTING RAS Rolle wurde installiert und aktiviert                                                                                                      

DHCP Relay Agent Protokoll wurde hinzugefügt                                                                                                            

Broadcastnamensauflösung aktivieren wurde angehäkelt                                                                                                     

Netzwerkrichtlinien wurden installiert jedoch nicht verändert                                                                                              

                                                                                                             

WS WIN7                            Dynamisch         LS3                                                       

Domäne nicht eingetreten                                                                                                      

ipconfig /renew                              Zeitüberschreitung      

bearbeitet 23. Oktober 2014 von kkkap

[zahni 521]

Ja so etwas kann man machen, muss man aber nicht. Strukturen lass sich auch anders verwalten, z.B. mit OU's.

 

Beachte bitte, dass DU pro (Sub-)Domäne 2 DC's haben solltest, wegen der Ausfallsicherheit.

 

 

Alle Server haben 2 Karten, damit sie sich voneinander Netzwerktechnisch trennen können.

 

Falscher Ansatz. Bittre nochmal beachten: Domainen Controller bekommen nur eine Netzwerkkarte. Nimm das einfach mal so hin. Nichts ist schlimmer als ein Multihomed DC

Und eine Netzwerktrennung bekommt Du so auch nicht hin, das macht man im einfachsten Fall mit VLAN's. Sorry, aber  so wird das nichts.

 

Der Relay Agent muss im Ziel- Subnet betrieben  werden. Sonst sieht er die Broadcasts nicht. Deine Netzwerkkonfig ist leider ungeeignet, daher mag ich mich damit nicht beschäftigen.

bearbeitet 23. Oktober 2014 von zahni

[lefg 276]

 

Wozu gibt es Subdomains? Damit Strukturen getrennt sind. Oder aus welchem Grund Gibt es Strukturen, Gesamtstrukturen usw.?

 

Subdomains habe ich mit Einführung von Windows 2000 nicht mehr gebaut, ich benötigte sie nicht mehr, Organisationeinheiten eignen sich besser.

 

Und was ist denn da Struktur? Und welche Bedeutung hat die Struktur? Und wozu wird dort strukturiert? Und was wird da denn getrennt? Und falls ja, wozu getrennt?

 

Es gibt wohl "Sonderfälle", meist eher irrationale Wünsche von Geschäftsführern ohne Ahnung, die Domain soll heissen wie die Firma.  Solch Schiet holt einen eines Tages wieder ein, verursacht Ärger, Probleme, die bei Umfirmierungen zu Neubauten führen.

bearbeitet 23. Oktober 2014 von lefg

[kkkap 1]

Ich habe halt momentan nur die technischen Möglichkeiten. Wenn ich nur eine NIC einsetze, dann empfängt der WS gleich die IP v. DHCP Server.
Um das umzugehen, habe ich das so gemacht. Das funktioniert auch soweit.
Das mit Subdomains mag sein, daß es Sinn oder weniger mach. Manche, bzw. viele Firmen sind nach dem Prinzip aufgebaut.
Aber es geht mehr darum, dass ich mein Problem lösen möchte. Ich komme damit bis zum Relay Agent, der die Anfragen zum Teil löscht.
Ich füge mal ein Screenshot ein.

 

 

bearbeitet 23. Oktober 2014 von kkkap

[NeMiX 76]

Das mit Subdomains mag sein, daß es Sinn oder weniger mach. Manche, bzw. viele Firmen sind nach dem Prinzip aufgebaut.

 

 

Ich hab in meinem Arbeitsleben relativ viele ADs gesehen und hatte genau 2x mit Subdomains zu tun. Da ging es nicht anders, weil man von 7 stellige UserAccounts weltweit und in verschiedenen Firmen hatten.

Alles bis hohe 4 stellige Useranzahl kann man imho am besten in einer AD Struktur verwalten.

 

Wie oben bereits erwähnt sollte man immer DCs nur mit einer NIC ausstatten. Ich verstehe auch nicht was dein Problem ist und was du da oben mit den VMs vor hast....

[kkkap 1]

Ich konnte es dir wohl nicht erklären. Vielleicht wird dir mein Vorhaben deutlicher, wenn du das Foto anschaust.

 

Danke für dein Mühe

bearbeitet 23. Oktober 2014 von kkkap

[daabm 1.185]

@lefg, er lernt. Er arbeitet grad die Prüfungsbücher durch, und das ist das einzige mir bekannte Szenario, wo tatsächlich jemand noch diesen Konstrukten arbeitet :cry: "Weil es geht"...

[kkkap 1]

Mensch Martin du schon wieder.

 

Kennst du dich mit VMWare Netzwerkadapter aus. Da habe ich ein Problem, kannst mir helfen?

Ich glaube das das Problem mehr am VMWare liegt.

 

Server 1 habe ich die IP 192.168.10.1 verpast und VMWare Einstellungen mit Host Only versetzt

Server 2 habe ich 2 Karten mit 192.168.10.2 und 192.168.20.1 sowie die gleiche VMWare Einstellungen wie auf Server1

Server 2 habe ich IP-Routing eingerichtet

Workstation habe ich die IP 192.168.20.50 verpasst.

 

ping vom WS auf die 192.168.10.1 geht. Wenn der Router ausfällt geht Ping natürlich nicht. soweit sogut

Nachteil, wenn ich auf DHCP einstelle zieht Workstation direkt über 192. 168.10.1 die IP. Sozusagen ist eine physische Trennung nicht drin.

 

Wenn ich am Server 1 auf Lan Segment 1 (VMWare Einstellungen) setze

und auf Server 2 192.168.10.2 auch auf Lan Segment 1 setze

und auf Server 2 192.168.20.1 auf Lan Segment 2 setze

und WS 192.168.20.50 auf Lan Segment 2 setze

kann ich zwar von 20.50 auf 20.1 pingen und von 10.2 auf 10.1 pingen und alle umgekehrt aber IP-Routing funktioniert dann nicht mehr.

ich kann sozusagen von 192.168.20.50 auf 192.168.10.1 nicht mehr pingen.

 

Woran liegt das? Am IP Router wurde nichts verändert bis auf die Netzwerkkarten vom Host-Only Betrieb auf LAN Segment

 

Ich schätze, daß LAN Segmente auf Layer 2 setzen und somit IP-Routing nicht möglich ist.

bearbeitet 23. Oktober 2014 von kkkap

[zahni 521]

Von VMWare (bzw. Partner) gibt es fertige Router-Images:  https://solutionexchange.vmware.com/store/category_groups/19  (in die Suche "Router" eingeben)

Damit kannst Du ein echtes Netz vermutlich effektiver nachbilden.

[daabm 1.185]

Vereinfacht ausgedrückt: Ein "Segment" ist in der Tat Layer 2 - und wenn Du zwei Segmente verbinden willst, mußt Du entweder einen Switch dazwischenstecken (damit wird es zu einem Segment) oder einen Router, der Beinchen in beiden Segmenten hat (dazu brauchen die Segmente dann unterschiedliche IP-Netze) :cool: 

[kkkap 1]

Die Idee mit dem Router ist gut aber ändert doch nichts an meinem Problem. Oder sehe ich das falsch.

Ich habe ja den DC im Subnetz ja als Router eingerichtet. Der ja auch Routet. Das mit dem Routen

hört aber auf, wenn ich die Netzwerkadapter von Host-Only auf LanSegmente ändern.

Ich habe nur die Möglichkeit,

Bridge

NAT

Host-Only und

LAN Segmente zu machen.

Bridge und LAN Segmente fallen weg. NAT macht auch kein Sinn. Bleibt nur Host-Only übrig.

Aber bei Host-Only haben sie alle physisch Verbindung. Sprich wenn ich alle Netzwerkadapter auf Host-Only setze,

dann ist es so wie wenn ich alle Rechner auf einem einzigen Switch oder Hub stecke. Die erreichen sich dann über Broadcast.

Bei ipconfig /renew Empfängt der DHCP Server v. Stammdomäne den Broadcast direkt und antwortet dann auch gleich.

Wenn ich v. VMWare einen fertigen Router herunterlade, ist das ja nichts ausser ein Linux mit 2 Netzwerkkarten, eingeschaltetem

IP-Forwarding und eingetragene 2 Routen für 2 Netzwerke eventuell mit Gateway und DNS eintrag.

Es geht vielmehr darum dass sich der Server im Stammdomäne und der Workstation im Subdomäne physisch nicht sehen können.

Da sehe ich ehrlich gesagt keine Möglichkeit für Broadcast ausser ich gebe die IP-Adressen statisch an.

Oder?

[lefg 276]

 

Es geht vielmehr darum dass sich der Server im Stammdomäne und der Workstation im Subdomäne physisch nicht sehen können.

 

 

Ist das tatsächlich deine Priorität? Warum? Ist das eine Übung oder ist Live? Weisst Du, wie das mit dem "Sehen" funktioniert, mit welchem Dienst das geschieht?

bearbeitet 24. Oktober 2014 von lefg

[kkkap 1]

Ich möchte den DHCP Relay Agent testen. Das kann ich aber nicht, weil der DHCP Server der Stammdomäne selbst antwortet und die Adressvergabe geht nicht über den DHCP Relay Agent.

 

Es ist Live aber nur ein Test. Ist aber kein Problem, wenn das über VMWare technisch nicht realisierbar ist, dann beende ich eben den Test.

bearbeitet 24. Oktober 2014 von kkkap