Jump to content
Assassin

DC mit mehreren IP Adressen + 2. DC über VPN...

Empfohlene Beiträge

Hallo allerseits, folgendes szenario:

eine Firma mit zwei Standorte, welche über VPN miteinander verbunden sind.

Beim Standort1 steht der Primäre DC/DNS Server - dieser hat 4 Netzwerkkarten und jede ist in einem anderen IP-Adressbereich. Alle 4 IP Adressen sind auch im DNS registriert - soweit sogut

Beim Stardort2 gibt es jetzt einen weiteren Server, welcher als sekundärer DC/DNS Server fungiert und sich mit dem vom Standort1 repliziert - funktioniert auch.

 

Jetzt ist es aber so, das der VPN Tunnel nur ein IP-Adressbereich tunnelt...Wenn wir auf dem sekundären Server ein Ping absetzen richtung primären server mit dem namen anstatt IP Adresse, versucht der sekundäre *manchmal* eine der 3 anderen IP Adressen zu erreichen was der Primäre server hat - was aber nicht funktionieren kann wegen dem Tunnel und eben weil die anderen Netzwerkschnittstellen des Primären servers garnicht am Internet hängen...

Ich kanns verstehen warum - weil im DNS was auch auf dem sekundären repliziert ist, steht der Primäre ja mit 4 unterschiedlichen IP Adressen drin mit dem selben Hostname - muss aber auch weil es eben auch PCs in dem anderen Netzwerk gibt die Domain-Member sind...

 

 

was kann man da machen, dass der sekundäre Immer nur eine festgelegte IP vom primären nimmt?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du willst sicherlich nicht hören, dass multihomed dcs alles andere als sinnvoll und empfohlen sind. Ist aber so. Du solltest deine Konfiguration ändern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 21 Minuten schrieb Assassin:

was kann man da machen, dass der sekundäre Immer nur eine festgelegte IP vom primären nimmt?

Host Datei. :D Dürfte es bei dieser Konstellation auch nicht schlimmer machen. ;)

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Darf ich das Popcorn rausholen?

 

Sinnvoller Beitrag zum Thema: Multihomed DCs macht man nicht. Nie. Lass es einfach. Bau das ordentlich. Sofort.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

und wie? die anderen PCs die an den anderen netzwerkkarten hängen auf die anderen Switche legen, das ganze zum Klasse B Netzwerk umbauen weil es insgesammt über 300 PCs/Geräte sind?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ein DC hat immer nur eine IP-Adresse. So ist das AD entworfen worden, und daran wird sich auch nichts ändern. Jede andere Konfiguration führt zu Problemen der Art, die du gerade feststellst.

 

Wenn das Netzwerk komplexer ist, muss man für eine Routing-Struktur sorgen, die für jeden Client (mindestens) einen DC erreichbar macht. Neben der Netzwerkebene sind dafür die AD-Standorte und -Subnets da, damit die Clients auch wissen, welchen DC sie am besten erreichen können. 

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Zitat

Klasse B Netzwerk umbauen weil es insgesammt über 300 PCs/Geräte sind?

 

Moin

 

Für 300 Clients/Geräte reicht eine Subnetmask /23, Supernetting ist das Gegenteil von Subnetting.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 5 Minuten schrieb Assassin:

ich habe das Netzwerk nicht gebaut...ich soll aber schauen woran es liegt das es nicht geht :D

Einen Grund hast Du ja jetzt schon gefunden .......

 

Grüsse

 

Gulp

  • Haha 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

es gibt keine statischen routen auf dem DC.

 

es gibt aber noch eine Securepoint UTM RC1000...darüber konnte man die netze doch eventuell auch Routen...VLANs wollte ich jetzt auch nicht unbedingt bei geschätzt über 30 Switche die es gibt -.-

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

;-) ...... ich wunder mich auch gerade, dass ich das so fehlerfrei schreiben konnte, bei dem Ausdruck "Multihomed DC" kriege ich sonst immer sofort Lidflattern und ordentlich Schüttelfrost.

 

EDIT: Zunächst sollte man wohl auch prüfen, ob man wirklich so viele verschiedene Netze braucht, zur Not kann man das mit einer kleinen Linuxkiste spontan abfangen und sich dann auf die Suche nach etwas Vernünftigen für das zur Verfügung stehende Budget machen. Hat man genügend Lizenzen kann man auch einen Windows Server dafür nehmen, nur der DC sollte es nicht sein.

 

Grüsse

 

Gulp

bearbeitet von Gulp
  • Haha 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ich glaube das ziel ist/war es, das es eben abteilungen gibt, die nicht auf die PCs einer anderen abteilung zugreifen sollen bzw. nicht auf alle Server zugreifen sollen,

Sich aber trotzdem an dem einzigen DC anmelden dürfen des es an diesem standortA gibt. Gibt auch ein seperates Netzwerk für die VoIP telefone...aber alle geräte laufen über die selben Switche, sind also nicht physikalisch getrennt.

 

wie am besten umstellen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Im Endeffekt wird man das Netz neu planen müssen und dann nachfolgend die Zugriffe über ein ebenfalls zu planendes Zugriffsmanagement regeln.

 

Wie Nils immer zu sagen pflegt: Erst die Anforderungen möglichst genau definieren und dann schaut man weiter was man zur Umsetzung alles braucht. Das wird aber meist den Rahmen eines Forums sprengen dürfen.

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×