elmacx
Goto Top

2 autarke Domänen, 2 Host Server - 4x DC installieren?

Hallo alle miteinander,

ich scheitere in meinem Wissen aktuell an der richtigen Realisierung von 2 separaten Domänen in einem Netzwerk.
Daher freue ich mich wenn ihr mir hierzu ein Feedback geben könnt.

Ich habe aktuell 2 Host Server, auf 2 Fujitsu Rx200 S6 aufgesetzt. Darauf habe ich je einen HyperV Server installiert.
Die VMs' enthalten bis jetzt Exchange, 2 Terminalserver, die Replikationsfunktion und 2 separate Applikationsserver.
Die erste Domain funktioniert und das Netzwerk arbeitet einwandfrei. So weit so gut.

Nun möchte ich eine zweites separiertes Netzwerk einbinden. Es soll unter einen anderen Domäne arbeiten. Folglich einen separaten Login zur Verfügung stellen und im nächsten Schritt autark an den EX01 Server angebunden werden.

Leider scheitere ich an dieser Stelle seit 2 Tagen face-smile

Kann ich auf einem DC wirklich immer nur eine Domäne verwalten/anbinden?
- Nach dem was ich bis jetzt gelesen habe ist es anscheint so - ....

Ich muss also einen separaten DC02 installieren. Unter Selbigem lässt sich dann auch eine weitere Domäne konfigurieren. OK!
Ich habe dies heute ausgeführt und getestet. Nach der Installation wird aber auf jedem DC nur die bei der Installation angegebene Domäne angezeigt.

Heißt das nun, wenn ich eine Redundanz und Verfügbarkeit schaffen möchte, müsste ich auf Host1 den DC01 und DC03 und auf Host2 den DC02 und DC04 installieren.
Habe ich das richtig verstanden?

Ist es bei den aktuellen DC's seitens Microsoft nicht möglich in einem Controller mehrere Domänen zu verwalten????

Danke für eure Antworten!

Gegeben:
2x Fujitsu RX 200 S6
2x MS Server DC 2012
6x MS Server Std. 2012 R2
1x EX 2013

Content-ID: 259536

Url: https://administrator.de/forum/2-autarke-domaenen-2-host-server-4x-dc-installieren-259536.html

Ausgedruckt am: 26.12.2024 um 22:12 Uhr

Dani
Dani 11.01.2015 um 19:08:35 Uhr
Goto Top
Moin,
Kann ich auf einem DC wirklich immer nur eine Domäne verwalten/anbinden?
Ja.

Habe ich das richtig verstanden?
Ja.

Ist es bei den aktuellen DC's seitens Microsoft nicht möglich in einem Controller mehrere Domänen zu verwalten????
Ja.


Gruß,
Dani
ElmaCx
ElmaCx 11.01.2015 um 19:15:12 Uhr
Goto Top
Danke für dein Feedback Dani!

Folglich muss man also 2 separate DC's, wenn man eine Redundanz bilden möchte, auf einem autarken Server installieren.

Ist es an dieser Stelle eventuell sinnvoll, stattdessen den Replikationsserver einzusetzen um ein Backup von den beiden DC's zu erhalten?
oder hat es wirkliche Vorteile die DC's als autarke Server noch einmal zu installieren?

Grüße
ElmaCx
broecker
broecker 11.01.2015 um 20:08:33 Uhr
Goto Top
Moin,
ich würde bei der entstandenen Größe hinterfragen, ob die Redundanz durch den Aufbau je einer zweiten Maschine als weiterer DC realisiert werden muß oder es auch z.B. ein VMware-HA oder VMware-FT bzw. ähnliches im Hyper-V tun kann.
Das wird aber auch von Performance-Anforderungen abhängen.
Replikation als "Stand-By" würde die Verfügbarkeit also auch erfüllen und die Backups "halbieren".
HG
Mark Bröcker
maretz
maretz 11.01.2015 um 20:11:02 Uhr
Goto Top
Was ich hier nicht verstehe: Warum willst du 2 Domänen als Redundanz aufbauen? Du kannst doch problemlos diverse DCs in eine Domäne packen die dann als DC redundant für die Domäne zuständig sind...
fisi-pjm
fisi-pjm 12.01.2015 um 08:19:10 Uhr
Goto Top
Hi Elma,

mal ganz allgemein gefragt. Welches Ziel möchtest du mit dieser Konfiguration erreichen?
Solltest du diese netze nicht sauber über ein V-LAN trennen wirst du nur Arbeit mit diesem Aufbau haben. Ich habe das Gefühl, da gibt es am eigentlichen Konzept noch Optimierungsbedarf.

Gruß
PJM
Doskias
Doskias 12.01.2015 um 08:25:24 Uhr
Goto Top
Ich glaube auch, dass das Konzept an sich nochmal überdacht werden sollte. Vor allem bei den Eingangsfragen zum Thema DC merkt man, dass hier einiges an Grundwissen fehlt. Und da kann meiner Meinung nach kein ordentliches Konzept dabei herauskommen.
ElmaCx
ElmaCx 12.01.2015 um 09:57:48 Uhr
Goto Top
Schönen guten Morgen,

und ich hole an dieser Stelle gerne noch ein bisschen aus:

Wie ihr sicherlich gemerkt habt, bin ich ein IT Administrator der am Anfang seiner Karriere steht. Entsprechend habe ich schon mehrere "Single Server" installiert aber ich habe zum Beispiel noch keine VLAN verwendet.

In diesem aktuellen Prozess geht es darum, dass zwei separate Firmen (nämlich meine Firma und die jetzt neu gegründete Arztpraxis meiner Frau) auf dieselbe Hardware zugreifen werden. Folglich benötige ich ja je Firma einen DC. Ich möchte generell eine Redundanz erzeugen und daher ist mein Gedanke, je Hardware einen DC zu installieren und auf der separaten Hardware Selbigen zu spiegeln oder als Redundanz laufen zu lassen.

Wie bereits erwähnt habe ich VLAN bisher noch nicht verwendet. Die beiden Applikationsserver werden jeweils nur von einer der beiden Firmen benötigt. Einmal Medizin Software und einmal handelt es sich um eine Branchen IT Software. Den Exchange Server möchte ich aber gerne für beide Firmen einsetzen. Wenn eine Trennung über das VLAN erstellt wird, ist dann weiterhin ein Zugriff für beide Netzwerke auf Selbigen möglich?

Grundwissen zur Thematik DC:
Meine letzte Schulung zur Thematik DC war auf einem Server 2000…
Bitte empfiehlt mir ein Buch, eine größere Schulungs-DB, oder ähnliches wo ich mich gerne nochmal intensiv einarbeiten kann. Danke!

Grundlegend ist der Gedanke, eine saubere Trennung der Netzte zu erreichen.
Sonst ist die Fehlerquote durch die Anwender gleich von Anfang an zu hoch ;)

Grüße
ElmaCx
maretz
maretz 12.01.2015 um 10:16:23 Uhr
Goto Top
Moin,

warum brauchst du dafür denn 2 Domänen? Ich gehe mal davon aus du machst eh den Admin auch für die Praxis deiner Frau, daher hast du auch da den Vollzugriff. Sicherheitstechnisch also kein Unterschied. Die unterschiedlichen Berechtigungen kannst du ja über die normale Berechtigung von Windows abfrühstücken.

Wenn du sowas also bauen willst (wobei ich es für fraglich halte mit wenig Grundkenntnissen sowas zu machen, aber dies musst du entscheiden) würde ich folgendes machen:
1 DC (mit ggf. einem 2ten als Backup) für die Domäne
3 VLANs (1x VLAN "Server", 1x VLAN "ITFIRMA", 1x VLAN "Praxis"), Vlan Server kann von beiden gesehen werden, ITF und PRA haben keinen Zugriff gegenseitig.

Und ob nun die Anmeldedomäne bei den Rechnern "Arztpraxis_xyz", "IT_Firma-professional" oder "Grünkohl" heisst is ja egal... Das gesparte Geld nimmst du dann halt für nen vernünftiges Backup-Konzept, davon hast du am Ende mehr.
ElmaCx
ElmaCx 12.01.2015 um 10:34:54 Uhr
Goto Top
Guten Morgen,

ich bin aktuell davon überzeugt, das ein Domänencontroller nur eine Anmeldedomäne verwalten kann. Hier ist anscheinend mein falsches Verständnis.

Effektiv ist mein Ziel einzig und allein, dass ich zwei autarke Anmeldedomänen habe.
( IT\user und PRAXIS\user.... )

Wie kann ich das erzeugen wenn ich keinen separaten DC habe?
Wo konfiguriere ich das?

DANKE!!
user217
user217 12.01.2015 um 10:44:40 Uhr
Goto Top
1. wieviele user hängen später dran?
2. werden unbedingt vm's benötigt? nur wegen Exchange würde ich persöhnlich den Strom sparen mal ganz abgesehen vom Aufwand und den Kosten.

Vorschlag:
Würde es nicht reichen einen Hypervisor einzusetzen welcher per ISCSI auf ein performantes (syno-Nas) Storage zugreift.
Der Vorteil wäre der das du keine teueren SAS Platten brauchst, der Speicher flexibler einzusetzen wäre und alles günstiger wäre. Als Backup kannst du eine weitere NAS hinstellen und diese replizieren. Die zweite Serverhardware (vorausgesetzt identisch) lässt du in der Ecke stehen als Backup.
Exchange inhouse unter 20 User ist das sinnvoll? (8 Euro/user Extern evtl. günstiger/flexibler?)
Gibt es eine Redundante Internetanbindung für den Exchange - sprich loadbalancer etc.? --> 2 feste ip's oder der dyndnsmist.. wer macht was!?
Noch was zum Betriebssystem, ich denke du hast die Software bereits gekauft aber trotzdem..
2012er OS sieht ganz schön aus aber was kann der im Kern mehr als ein 2008er R2 der z.B. im SBS 2011 PREMIUM noch verkauft wird? ganz abgesehen vom Preis..
Ich bin mir jetzt nicht ganz sicher aber du schreibst einmal EX 2013 - ist es nicht unpraktisch 2 Domains damit zu verwalten?
Ich finde man sollte sich das Leben nicht unnötig schwer machen;)
ElmaCx
ElmaCx 12.01.2015 um 11:16:15 Uhr
Goto Top
Grundlegend ist dieser Vorschlag eine Änderung der gesamten bereits angeschafften Lizenzen. Der Zeitaufwand hierfür ist in keiner Relation...
Ist es sinnvoll bei 15 Usern a 6€ monatlich per User über 24 Monate gesehen den Exchange zu mieten (Summe 2160€ / EK 800€)?

Datensicherung ausschließlich auf ein NAS. No Way! - Damit habe ich bereits mehrere negative Erlebnisse gehabt - Bei Wasser- oder Feuerschäden sind diese häufig ebenfalls defekt.
maretz
maretz 12.01.2015 um 11:16:22 Uhr
Goto Top
Moin,

wofür denn die zwei Anmelde-Domänen? Ich würde das verstehen wenn die Arztpraxis komplett getrennt läuft - damit der Domänen-Admin (vermutlich du) eben nicht auf die Arztdaten zugreiffen kann. Ich vermute aber mal das du das eh mit übernehmen wirst, also ist der Punkt irrelevant.

Ich würde das ganze dagegen mit einer Anmelde-Domäne machen - und 2 Personengruppen (Praxis-User, IT-User) erzeugen. Dann kannst du die Berechtigungen auf dem Server elegant darüber abfrühstücken. Du hast aber nur einen Server den du sichern musst und ggf. nen 2ten (wenn denn nötig) als Backup-DC. Dieses Vorgehen spart dir dann natürlich auch einiges an Geld für Lizenzen (du sparst x Windows-Lizenzen, x Virenscanner, x Backup-Software,...).

Oder welchen Vorteil siehst du in den zwei Anmeldedomänen?
maretz
maretz 12.01.2015 um 11:23:13 Uhr
Goto Top
Auch hier gilt: Natürlich kannst du einen Exchange selbst betreiben - allerdings brauchst du dann ein vernünftiges System (inkl. USV, 2 Internet-Leitungen) falls du Emails direkt empfangen möchtest. Es kommt hier auf das an was ihr gerne wollt. Nutzt ihr die komplette Groupware-Funktion vom Exchange dann lohnt es sich den selbst hinzustellen. Wollt ihr nur Emails darüber machen dann kann es günstiger sein sich für nen paar Euro nen Root-Server im Web pro Monat zu holen und diesen dafür zu nutzen.

Bei der Datensicherung würde ich mir Gedanken machen. Ich würde heute sowas machen wie "täglich auf das NAS" (falls kein Bandlaufwerk vorhanden ist) da dieses einfach ansprechbar ist. Einmal die Woche dann die Daten z.B. auf ein einzelnes Medium (USB-Platte oder was auch immer). Natürlich ist bei einem Feuer das NAS mit weggebrannt - je nachdem ob die "Firma" in euerem Haus ist oder nicht ist aber ein anderes Medium ggf. mit weggebrannt. Auch hier kann es helfen die Daten auf einen gemieteten Root-Server zu packen, dies erfordert jedoch einiges an Wissen wie man den Einbruchssicher bekommt (es wäre bei einer Arztpraxis nett wenn die Daten nicht für jedes Script-Kiddy leicht zugänglich sind...)
ElmaCx
ElmaCx 12.01.2015 um 11:29:32 Uhr
Goto Top
Moin,

ich denke einfach, dass die Nutzer morgens vor ihrem Namen Praxis\... stehen haben müssen.
Ich gehe aktuell ebenfalls davon aus, das ich nur hierdurch den Exchange sauber trennen kann.
[Praxis erhält immer die Domain Praxis etc...]

Außerdem gibt es den Nutzer Schulz einmal in der Firma IT und einmal in der Praxis. Durch die zwei Anmeldedomänen müsste ich Frau Schulz und Herrn Schulz doch trennen können?

OK, das einsparen der Lizenzen ist absolut sinnvoll!

Wie kann ich nun in einer Domäne, welche ja bereits komplett existiert, eine zweite Anmeldegruppe erzeugen? Kann ich dies unter einen DC??

DANKE!
user217
user217 12.01.2015 um 11:29:41 Uhr
Goto Top
Das mit der Software war nur ein Anmerkung weil im 2011er Premium eigentlich günstiger geht und auch taugt. Sicher sauberer ist es getrennt.
die EK800€ möchte ich bezweifeln, da wären:
1. 800 Euro für Exchange
2. 1000 Euro für Serverbetriebssystem
3. 500 Euro für die Sicherungssoftware
und obendrauf Strom auf 2 jahre für die Kiste plus den Aufwand.. naja

Ich verstehe das du ein gebranntes Kind bzgl. NAS sicherung bist aber was genau ist falsch daran die VHD über iscsi auf einem Nas laufen zu lassen welches wiederrum komplett über ein weiteres NAS örtlich - getrennt durch ein Feuerschott gesichert wird?

Standort A: Server + Serverstorge(NAS)
Standort B: Sicherungs NAS (örtlich getrennt)
ElmaCx
ElmaCx 12.01.2015 um 11:36:35 Uhr
Goto Top
Hallo user217,

ich werde mir deinen Vorschlag mal in einer ruhigen Minute in Ruhe durch den Kopf gehen lassen.
Danke
ElmaCx
ElmaCx 12.01.2015 um 14:27:38 Uhr
Goto Top
Also, hier meine abschließende Lösung des Problems:

Auf Hardware 1 ist HyperV und DC01 als VM installiert.
Auf Hardware 2 ist HyperV und DC02 als VM installiert.

In der Installation vom DC02 habe ich angegeben, dass ich ihn "in der vorhandenen Gesamtstruktur als eine neue Domäne" erstellen möchte. Somit habe ich dann 2 DCs und 2 Domänen erstellt.

Die Replikationen der beiden Domänen lassen sich in den DNS Servern einstellen. Hierzu wird im Forward Bereich die Replikation auf andere DNS Server aktiviert.

Da ein DC nur eine Domäne verwalten kann, kommt man um 2 DC's nicht drum herum.
Die weiteren beiden DC (Nr. 3+4), um eine Datensicherung zu gewährleisten, habe ich durch den Abgleich des DNS und der AD ersetzt.

Danke für eure Unterstützung!
user217
user217 12.01.2015 um 14:36:43 Uhr
Goto Top
Ich will deine Lösung nicht kritisieren aber meinen Zweifel anbringen ob das im Jahre 2015 noch state-of-the-art ist soviel Hardware für diesen Zweck zu verballern.
Noch eine letzte Frage dann gebe ich ruhe, warum lässt du nicht alle VM's auf einem Hypervisor laufen und stellst den anderen in die Ecke. Ich meine selbst wenn du den Strom dafür geschenkt bekommen würdest wäre es verschwendung, dafür ist doch die Technik da. Abgesehen davon brauchst du alle Backupjobs Virenscanner Configs etc. nur einmal machen?
PS: der HyperV muss nicht zwingend mitglied der Domäne sein.
ElmaCx
ElmaCx 12.01.2015 um 14:52:21 Uhr
Goto Top
Da scheine ich wirklich etwas anders zu verstehen... aber ich bin für Neues offen face-smile

Wenn ich eine Hardware und folglich einen Hypervisior einsetze, kann Selbige eher ausfallen als wenn 2x Hardware eingesetzt wird.
Mein Ziel ist eine dauerhafte Verfügbarkeit (sprich 99,999%) zu erreichen.

Die Backups richte ich doch nur einmal Zentral ein? Auf dem 2ten Host installiere ich "nur" den Backup Agent.
Das Selbe beim Viren Scanner. Ein Server erhält die Applikation des Virenscanners. Dieser rollt es aus. Ob die Hardware dabei getrennt ist, Ist der Applikation doch egal...

Der Stromverbrauch ist ganz klar der Pluspunkt für einen Host. Diesen nehme ich durch geringere Einkaufskosten bei der getrennten Hardware in Kauf.

Wo siehst du den klaren Vorteil?

Grüße
user217
user217 12.01.2015 um 14:59:00 Uhr
Goto Top
Stromverbrauch außen vor sehe ich den klaren Vorteil darin erstens nur eine Maschine administrieren zu müssen und ZWEITENS bei einem Ausfall sofort funktionierende Hardware vorrätig zu haben.
Du kennst sicher die Geschichten von den 2 Festplatten die aus der selben Charge gekauft wurden und zum Raid 1 konfiguriert wurden;)
Ich meine man muss den Teufel nicht an die Wand malen aber naheliegend ist es das Baugleiche Hardware in etwa zeitgleich am gleichen Problem scheitern könnte und dann hast du eine benutzte Hardware und eine unbenutzte wo du theoretisch nur die Platten tauschst und wieder Jahre ruhe hast.
ElmaCx
ElmaCx 12.01.2015 aktualisiert um 15:23:29 Uhr
Goto Top
Berechtigt!
Ich werde dann mal alle konfigurierten VM's auf eine Hardware umziehen. Dann schaue ich mir an ob die Anwender sich beschweren.
In 3-4 Wochen, wenn die Praxis läuft, der erste Stress vorbei ist und ich den Test durchführen konnte gebe ich Feedback ;)

PS.: Erst dann, da ich aktuell nicht abschätzen kann ob eine Hardware alles auf einmal schafft...

Danke!
user217
user217 12.01.2015 um 15:28:40 Uhr
Goto Top
Da freut sich die Umwelt, danke!