1 Domänenserver für 2 Subnetze?
Hallo zusammen,
ich habe folgende Netzwerksituation:
Momentan betreibe ich 12 WinXP Pro SP2 PCs in einem Domänen Netzwerk an einem Win2k3 SP1 Server als Domänencontroller, DNS- und DHCP Server.
Die PCs hängen an einem Switch an dem ein Hardwarerouter für das Internet hängt.
Nun sollen 3 WinXP SP2 Pro PCs dazukommen, die auch an die Domäne sollen, aber in einem getrennten Subnetz, an einem neuen Switch sowie einem neuen Router arbeiten sollen. Der Zugriff soll also zwischen den beiden Subnetzen nicht möglich sein, aber ein 2 Server wäre zu teuer.
Nun würde ich in den Server eine 2. Nic mit neuer IP einbauen und einen neuen DHCP Bereich für die 2. Nic konfigurieren.
Ist es aber auch möglich, dieselbe (oder wenn nicht möglich eine 2.) Domäne an dem einen Server für die neuen PCs zu verwenden?
Kann der Win2k3 Server also beide Subnetze mit DomänenServices als DHCP und DNS Server bedienen?
Des weiteren sollen die Ordner-Freigaben auf dem Server natürlich nicht für beide Subnetze verfügbar, sondern getrennt sein. Kann ich denn den Zugriff auf eine Ordnerfreigabe auch auf eine bestimmte NIC einschränken oder brauche ich eine zusätzliche Speicherlösung (NAS...) in beiden Subnetzen, um auch die Daten zu trennen?
Was meint ihr?
Vielen Dank für alle Tipps!
ich habe folgende Netzwerksituation:
Momentan betreibe ich 12 WinXP Pro SP2 PCs in einem Domänen Netzwerk an einem Win2k3 SP1 Server als Domänencontroller, DNS- und DHCP Server.
Die PCs hängen an einem Switch an dem ein Hardwarerouter für das Internet hängt.
Nun sollen 3 WinXP SP2 Pro PCs dazukommen, die auch an die Domäne sollen, aber in einem getrennten Subnetz, an einem neuen Switch sowie einem neuen Router arbeiten sollen. Der Zugriff soll also zwischen den beiden Subnetzen nicht möglich sein, aber ein 2 Server wäre zu teuer.
Nun würde ich in den Server eine 2. Nic mit neuer IP einbauen und einen neuen DHCP Bereich für die 2. Nic konfigurieren.
Ist es aber auch möglich, dieselbe (oder wenn nicht möglich eine 2.) Domäne an dem einen Server für die neuen PCs zu verwenden?
Kann der Win2k3 Server also beide Subnetze mit DomänenServices als DHCP und DNS Server bedienen?
Des weiteren sollen die Ordner-Freigaben auf dem Server natürlich nicht für beide Subnetze verfügbar, sondern getrennt sein. Kann ich denn den Zugriff auf eine Ordnerfreigabe auch auf eine bestimmte NIC einschränken oder brauche ich eine zusätzliche Speicherlösung (NAS...) in beiden Subnetzen, um auch die Daten zu trennen?
Was meint ihr?
Vielen Dank für alle Tipps!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 29979
Url: https://administrator.de/forum/1-domaenenserver-fuer-2-subnetze-29979.html
Ausgedruckt am: 06.04.2025 um 06:04 Uhr
15 Kommentare
Neuester Kommentar

Wieviele Subnetze du hast ist egal. Wir haben 254 Subnetze, aus denen PCs auf einen Domaincontroller (bzw. Cluster) zugreifen.
Die PCs können alle den selben DC benutzen. Für Zugriffe auf Freigaben, DFS Laufwerke etc gibt es ja die Berechtigungen. Gruppen bilden, Berechtigungen setzen. Das ist ja einer der Hauptgründe, wiso man überhaupt einen DC einsetzt.
Für die drei PCs brauchst du nichtmal nen extra Switch, wenn du VLAN fähige Switches und Router einsetzt. Die werden dann einfach in ein anderes VLAN (das ein anderes Subnetz repräsentiert) gesteckt und sind damit netzwerktechnisch von dem anderen Subnetz getrennt. Wiso du für die drei PCs extra DHCP konfigurieren willst weiss ich nicht - wiso nicht einfach statische IPs vergeben? Die Sache mit der zweiten Netzkarte am DC ist völlig unnötig. Bei Einsatz eines DHCP brauchst du ferner auf jeden Fall einen DHCP Relay Agent, der DHCP Anfragen von dem Subnetz, in dem der DHCP Server NICHT steht, an den DHCP weiterleitet.
Die PCs können alle den selben DC benutzen. Für Zugriffe auf Freigaben, DFS Laufwerke etc gibt es ja die Berechtigungen. Gruppen bilden, Berechtigungen setzen. Das ist ja einer der Hauptgründe, wiso man überhaupt einen DC einsetzt.
Für die drei PCs brauchst du nichtmal nen extra Switch, wenn du VLAN fähige Switches und Router einsetzt. Die werden dann einfach in ein anderes VLAN (das ein anderes Subnetz repräsentiert) gesteckt und sind damit netzwerktechnisch von dem anderen Subnetz getrennt. Wiso du für die drei PCs extra DHCP konfigurieren willst weiss ich nicht - wiso nicht einfach statische IPs vergeben? Die Sache mit der zweiten Netzkarte am DC ist völlig unnötig. Bei Einsatz eines DHCP brauchst du ferner auf jeden Fall einen DHCP Relay Agent, der DHCP Anfragen von dem Subnetz, in dem der DHCP Server NICHT steht, an den DHCP weiterleitet.

Geh ich richtig in der Annahme, dass du einfach einen Internetzugang für Gäste brauchst, die mit ihren unsicheren Rechnern aber nichts im Produktions-Subnetz verloren haben?
Da brauchst du auch keinen extra Router dazu. Weiss ja nicht was für einen du hast, aber du könntest entweder auf dem Router selbst mit Firewall Regeln oder ACLs oder den Zugriff zw. den Subnetzen regeln, oder aber zw. Router und LAN eine extra FW zwischenschalten.
Die Gäste-Notebooks können dann einen öffentlichen DNS Server als DNS bekommen.
Wenn du eh nen seperaten Internetzugang für die drei Rechner haben willst, nimm doch nen gängigen DSL Router, und dann ist eh kein zugriff mehr möglich ins Firmen-LAN.
An den DSL Router kannst dann auch noch ein USB Plattenteil dranhängen, falls dieses neue Subnetz ein Ablageort für Dateien braucht. Dann wären beide absolut getrennt von einander. Ist wohl die einfachste und narren-sicherste Lösung.
Also - entweder SOLL Zugriff auf den DC möglich sein, oder soll KEINER möglich sein?
Mit der 2ten Netzkarte kann man wohl schon was drehen - wird aber komplizierter, und dann hätten die PCs in dem neuen Subnetz ja wieder Zugriff auf den DC und auf seine Daten. Und das willst du ja eigentlich gerade nicht wenn ich das richtig verstehe.
Da brauchst du auch keinen extra Router dazu. Weiss ja nicht was für einen du hast, aber du könntest entweder auf dem Router selbst mit Firewall Regeln oder ACLs oder den Zugriff zw. den Subnetzen regeln, oder aber zw. Router und LAN eine extra FW zwischenschalten.
Die Gäste-Notebooks können dann einen öffentlichen DNS Server als DNS bekommen.
Wenn du eh nen seperaten Internetzugang für die drei Rechner haben willst, nimm doch nen gängigen DSL Router, und dann ist eh kein zugriff mehr möglich ins Firmen-LAN.
An den DSL Router kannst dann auch noch ein USB Plattenteil dranhängen, falls dieses neue Subnetz ein Ablageort für Dateien braucht. Dann wären beide absolut getrennt von einander. Ist wohl die einfachste und narren-sicherste Lösung.
Also - entweder SOLL Zugriff auf den DC möglich sein, oder soll KEINER möglich sein?
Mit der 2ten Netzkarte kann man wohl schon was drehen - wird aber komplizierter, und dann hätten die PCs in dem neuen Subnetz ja wieder Zugriff auf den DC und auf seine Daten. Und das willst du ja eigentlich gerade nicht wenn ich das richtig verstehe.

Wenn du eine zweite NIC im DC hättest, diese einem anderen Subnetz zuordnest, in dem sich auch ein angehängter Switch befindet, und kein Routing auf dem DC aktivierst, bringt das insofern Probleme, da ja dein DC einen DNS beherbergt. Dieser hat in seiner Forward-Lookup Zone definiert, welche IP der DC hat, sowie die ganzen SRV Einträge die für DC Betrieb nötig sind.
Wie aber sollen die DC Dienste aus diesem "neuen" Netz erreichbar sein, wenn der DC kein Routing macht?
Ich habe deinen Bedarf verstanden. Du willst sicheren Zugang von extern auf Daten des Domaincontrollers. Die einfachste Möglichkeit ohne zusätzliche Hardware wäre einen VPN Server Dienst auf dem DC laufen zu haben. Als sicheres Zugriffsprotokoll IPSEC benutzen.
Die Sicherheit steht und fällt mit der Firewall die auf oder hinter dem Router den Verkehr kontrolliert. Wenn du nur die VPN Ports forwardest auf den DC - mein Gott, entweder will man Zugriff von extern, oder will man keinen. Am sichersten ists natürlich, GARKEINE Verbindung zum Internet zu haben, und den Server incl. der ganzen Firma 100Meter unter der Erde auf einem fremden Planeten unterzubringen.
Du kannst auch eine spezielle VPN Hardware nehmen, die VPN Server spielt. Dann endet der VPN Tunnel an diesem Gerät, und wer berechtigt ist den Tunnel aufzubauen, ist nach Überwindung dieses Gerätes im LAN. Wenn der DC als VPN Server dient, endet der VPN Tunnel beim DC. Was jetzt sicherer ist von beiden Varianten - Glaubens- und GEschmackssache. DEINE Variante mit dem XP Rechner, der VPN Server spielt, ist so viel sicherer auch nicht - wenn einer das VPN hackt, hat er auch auf den DC Zugriff, und kann sich von dort eventuell weiter durchs zweite LAN hangeln. Das das passiert, ist bei beiden Varianten nicht sehr wahrscheinlich - eher paranoid.
Dein Denkansatz ist schon nachvollziehbar - doch was soll daran sicherer sein, als an der gängigen Lösung, die viele Firmen so einsetzen? Dein bisheriges LAN ist ja auch mit dem Internet verbunden - mit allen Vor- und Nachteilen die das mit sich bringt.
Ich denke eine einfache gängige Lösung ist immer sicherer, als eine komplexe, unnatürliche Lösung.
Ich glaube, ich an deiner Stelle würde einfach einen neuen Router holen, der auch als VPN Server arbeitet. Das ist am einfachsten, durchschaubarsten, und sichersten. Und kost auch nicht die Welt. Den alten Router in den Schrank packen.
Wie aber sollen die DC Dienste aus diesem "neuen" Netz erreichbar sein, wenn der DC kein Routing macht?
Ich habe deinen Bedarf verstanden. Du willst sicheren Zugang von extern auf Daten des Domaincontrollers. Die einfachste Möglichkeit ohne zusätzliche Hardware wäre einen VPN Server Dienst auf dem DC laufen zu haben. Als sicheres Zugriffsprotokoll IPSEC benutzen.
Die Sicherheit steht und fällt mit der Firewall die auf oder hinter dem Router den Verkehr kontrolliert. Wenn du nur die VPN Ports forwardest auf den DC - mein Gott, entweder will man Zugriff von extern, oder will man keinen. Am sichersten ists natürlich, GARKEINE Verbindung zum Internet zu haben, und den Server incl. der ganzen Firma 100Meter unter der Erde auf einem fremden Planeten unterzubringen.
Du kannst auch eine spezielle VPN Hardware nehmen, die VPN Server spielt. Dann endet der VPN Tunnel an diesem Gerät, und wer berechtigt ist den Tunnel aufzubauen, ist nach Überwindung dieses Gerätes im LAN. Wenn der DC als VPN Server dient, endet der VPN Tunnel beim DC. Was jetzt sicherer ist von beiden Varianten - Glaubens- und GEschmackssache. DEINE Variante mit dem XP Rechner, der VPN Server spielt, ist so viel sicherer auch nicht - wenn einer das VPN hackt, hat er auch auf den DC Zugriff, und kann sich von dort eventuell weiter durchs zweite LAN hangeln. Das das passiert, ist bei beiden Varianten nicht sehr wahrscheinlich - eher paranoid.
Dein Denkansatz ist schon nachvollziehbar - doch was soll daran sicherer sein, als an der gängigen Lösung, die viele Firmen so einsetzen? Dein bisheriges LAN ist ja auch mit dem Internet verbunden - mit allen Vor- und Nachteilen die das mit sich bringt.
Ich denke eine einfache gängige Lösung ist immer sicherer, als eine komplexe, unnatürliche Lösung.
Ich glaube, ich an deiner Stelle würde einfach einen neuen Router holen, der auch als VPN Server arbeitet. Das ist am einfachsten, durchschaubarsten, und sichersten. Und kost auch nicht die Welt. Den alten Router in den Schrank packen.

Ich denke nicht dass das ginge.
Da kommt die interne Routingtabelle des DC ja völlig durcheinander, und weiss nichtmehr wohin Pakete gesendet werden sollen - NIC 1 oder NIC2. Nö ich sage dat geht nicht so.
Kannst du KNAPP UND KLAR erläutern, was du denn nun genau brauchst? Ich verstehe noch nicht das grosse Ganze ...
Da kommt die interne Routingtabelle des DC ja völlig durcheinander, und weiss nichtmehr wohin Pakete gesendet werden sollen - NIC 1 oder NIC2. Nö ich sage dat geht nicht so.
Kannst du KNAPP UND KLAR erläutern, was du denn nun genau brauchst? Ich verstehe noch nicht das grosse Ganze ...

Was bedeutet "die 10 PCs sind öffentlich nutzbar"? Ein Internet-Cafe oder sowas?
Und nun sollen 3 PCs dazukommen, die sich am DC anmelden können, ihre Files aber NICHT auf dem DC speichern können sollen (warum auch immer) und die auch die anderen 10 PCs nicht kontakten können. Wenn die drei neuen auf dem DC ihre Files ablegen, kannst du doch locker über Berechtigungen den zugriff auf andere Daten verbieten. Das ist ja der Grund wiso man einen DC betreibt - zentrale Verwaltung von Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne anmelden, jedoch keine Files auf dem DC ablegen oder lesen können sollen führt ferner zur Frage, wiso die 3 Rechner ÜBERHAUPT in die Domäne aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit neuem Internetzugang und DSL Router einsetzten, der ein USB Laufwerk hat, wo die 3 ihre Daten ablegen können (als Backup. Zusätzlich liegen die Daten auf den 3 Rechnern und damit nicht auf dem DC). Dann wäre alles völlig getrennt vom ersten Netz, und trotzdem haben sie eine zentrale Datenablage - das am Router angeschlossene USB Laufwerk oder eine Art NAS Device.
Die 3 neuen Rechner können dann mit lokalen Usern mit eingeschr. Rechten arbeiten, ohne Anmeldung am DC, und mit fixen IPs (bei drei Rechnern ist ja da nicht sooo viel einzustellen).
Und nun sollen 3 PCs dazukommen, die sich am DC anmelden können, ihre Files aber NICHT auf dem DC speichern können sollen (warum auch immer) und die auch die anderen 10 PCs nicht kontakten können. Wenn die drei neuen auf dem DC ihre Files ablegen, kannst du doch locker über Berechtigungen den zugriff auf andere Daten verbieten. Das ist ja der Grund wiso man einen DC betreibt - zentrale Verwaltung von Berechtigungen ...
Wiso die 3 neuen PCs sich in der Domäne anmelden, jedoch keine Files auf dem DC ablegen oder lesen können sollen führt ferner zur Frage, wiso die 3 Rechner ÜBERHAUPT in die Domäne aufgenommen werden sollen.
Wiso nicht die 3 neuen Rechner einfach mit neuem Internetzugang und DSL Router einsetzten, der ein USB Laufwerk hat, wo die 3 ihre Daten ablegen können (als Backup. Zusätzlich liegen die Daten auf den 3 Rechnern und damit nicht auf dem DC). Dann wäre alles völlig getrennt vom ersten Netz, und trotzdem haben sie eine zentrale Datenablage - das am Router angeschlossene USB Laufwerk oder eine Art NAS Device.
Die 3 neuen Rechner können dann mit lokalen Usern mit eingeschr. Rechten arbeiten, ohne Anmeldung am DC, und mit fixen IPs (bei drei Rechnern ist ja da nicht sooo viel einzustellen).

Einfachste Möglichkeit ohne Zusatzkosten - die drei Verwaltungspcs ganz normal integrieren wie die anderen 10 auch, und mit Personal Firwalls jeden einzelnen soweit sichern, dass die üblichen Portscan- oder Freigaben Zugriffe nicht möglich sind.
Auf dem DC dann DFS Laufwerke einrichten, und die Berechtigungen so setzten dass nur eine best. berechtigte Gruppe auf "Verwaltungs"-Daten zugreifen kann.
Dann sind sie meines Erachtens genauso sicher, als wenn du ein zweites Subnetz mit Zusatz Internetzugang etc realisierst, und eine (kompliziertere) Anbindung an den DC ermöglichst. Ob nun eine Personal Firewall die Rechner schützt, oder aber Firewallregeln die Zugriffe von einem Subnetz aufs andere unterbinden, kommt das gleiche raus.
Bei nur drei zu schützenden Rechner ist das denke ich mal einfacher so. Bei 50 Rechnern wäre das wohl anders zu realisieren.
Ich denke selbst die eingebaute XP Firewall wird ausreichen, um unerwünschte Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du ja mit Tools wie Nessus (www.nessus.org) testen, wenn du etwas Linux Kenntnisse hast (ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende Backup Lösung, wenn du nur einen DC im Einsatz hast... Wenn der mal abraucht, und es gehen wichtige Daten flöten, ist das nicht sehr erbaulich.
Auf dem DC dann DFS Laufwerke einrichten, und die Berechtigungen so setzten dass nur eine best. berechtigte Gruppe auf "Verwaltungs"-Daten zugreifen kann.
Dann sind sie meines Erachtens genauso sicher, als wenn du ein zweites Subnetz mit Zusatz Internetzugang etc realisierst, und eine (kompliziertere) Anbindung an den DC ermöglichst. Ob nun eine Personal Firewall die Rechner schützt, oder aber Firewallregeln die Zugriffe von einem Subnetz aufs andere unterbinden, kommt das gleiche raus.
Bei nur drei zu schützenden Rechner ist das denke ich mal einfacher so. Bei 50 Rechnern wäre das wohl anders zu realisieren.
Ich denke selbst die eingebaute XP Firewall wird ausreichen, um unerwünschte Zugriffe zu unterbinden.
Die Sicherheit bzw. Angreifbarkeit kannst du ja mit Tools wie Nessus (www.nessus.org) testen, wenn du etwas Linux Kenntnisse hast (ist recht schnell u. einfach installiert).
Ich hoffe, du hast eine funktionierende Backup Lösung, wenn du nur einen DC im Einsatz hast... Wenn der mal abraucht, und es gehen wichtige Daten flöten, ist das nicht sehr erbaulich.

Oh je - das Thema wird zu einer Never-Ending-Story! Lol.
Entweder trennst du beide Netz ABSOLUT (und damit auch keine Verbindung zum DC), oder du bindest die Verwaltungsrechner in die vorhandene Struktur ein und sicherst sie mit Personal Firewalls, und Verzeichnisse auf dem DC mit Verwaltungs-Daten per NTFS Berechtigungen. Mehr gibts von mir dazu nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC herankommt, kann er freilich mit BartPE BootCD an belibige Daten des DC rankommen. Da hilft höchstens ein Bios-Passwort, und das Booten von CD-Rom abschalten im Bios. Wenn das Administrator Passwort geheim und komplex ist, würde ich den DC als gesichert ansehen.
Entweder trennst du beide Netz ABSOLUT (und damit auch keine Verbindung zum DC), oder du bindest die Verwaltungsrechner in die vorhandene Struktur ein und sicherst sie mit Personal Firewalls, und Verzeichnisse auf dem DC mit Verwaltungs-Daten per NTFS Berechtigungen. Mehr gibts von mir dazu nicht zu sagen, werter Freund.
Wenn ein Schüler physikalisch an den DC herankommt, kann er freilich mit BartPE BootCD an belibige Daten des DC rankommen. Da hilft höchstens ein Bios-Passwort, und das Booten von CD-Rom abschalten im Bios. Wenn das Administrator Passwort geheim und komplex ist, würde ich den DC als gesichert ansehen.
@chgr
Ich bin mir nicht ganz sicher, ob das gesamte wirklich eine gute Idee ist. Meines Wissens nach müssen die beiden Netze physikalisch (und nicht nur logisch) voneinander getrennt sein (Vorgabe!!). Ich weiß, dass das an manchen Schulen nicht so ist, aber ich würde mir an deiner Stelle gut überlegen, ob ich die Verantwortung für diese Geschichte tragen wollte. Auf den Verwaltungsrechnern sind doch mit Sicherheit sehr sensible Daten.
Schöne Grüße
laberdasch
Ich bin mir nicht ganz sicher, ob das gesamte wirklich eine gute Idee ist. Meines Wissens nach müssen die beiden Netze physikalisch (und nicht nur logisch) voneinander getrennt sein (Vorgabe!!). Ich weiß, dass das an manchen Schulen nicht so ist, aber ich würde mir an deiner Stelle gut überlegen, ob ich die Verantwortung für diese Geschichte tragen wollte. Auf den Verwaltungsrechnern sind doch mit Sicherheit sehr sensible Daten.
Schöne Grüße
laberdasch