elmario
Goto Top

2016 Essentials als Domain-Server und zusäzlichen DNS installieren, aber DHCP

...und primären(?) DNS auf dem Internet-Router belassen?

Hallo!

Da ich gerade einen Neuaufbau der gesamten Infrastruktur vornehme, wollte ich ein altes Problem lösen:
Der bisher und auch weiterhin verwendete Essentials Server 2016 (sowie die Windows-Clients) benötigen für einige Dienste ja Zugriff auf andere Netzwerkteilnehmer per Hostname bzw. FQDN, die vom Essentials eigenen DNS-Server bereitgestellt werden. Den DNS-Server auf Essentials konnte ich aber bisher nur installieren/aktivieren, indem ich auch den DHCP-Server von Server-Essentials aktivierte und konfigurierte.

Dies gefällt mir aber nicht gut, weil dadurch ja bei jedem Serverproblemchen, mangels zugewiesener IP dann ja gleich gar kein Gerät im LAN mehr Internetzugriff hat, bzw. Verbindung zu andere Geräten im LAN.
Statische IPs wollte ich auch nchc verwalten.

Deshab ist die Frage:
Wie kann ich Es richtig konfigurieren, um den DHCP-Server des Internet-Routers zu verwenden, aber auch auf allen Geräten des LANs (inkl. Server) gleichzeitig Zugriff auf sowohl die richtigen Hostnames aller LAN-Teilnehmer als auch Internetdomains zu haben?


Vielen Dank für Hilfe! face-smile

Content-ID: 82199638733

Url: https://administrator.de/contentid/82199638733

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

Kraemer
Kraemer 16.05.2024 um 16:43:12 Uhr
Goto Top
Moin,

Dies gefällt mir aber nicht gut, weil dadurch ja bei jedem Serverproblemchen, mangels zugewiesener IP dann ja gleich gar kein Gerät im LAN mehr Internetzugriff hat, bzw. Verbindung zu andere Geräten im LAN.

ist dann halt so. Wenn der Router tod ist, hast du dasselbe Problem.

Wenn eine Windows-Domäne vorhanden ist, ist es fast immer eine ganz schlechte Idee, nicht den DNS und DHCP vom Windows-Server zu nutzen. Das gibt nur Probleme...

Wenn der Ausfall des Servers und seiner Dienste (inkl. DNS und DHCP) ein Problem darstellen, hast du das falsche Produkt und einen Server zu wenig.

Gruß
commodity
commodity 16.05.2024 um 17:29:54 Uhr
Goto Top
Das gibt nur Probleme...
Kannst Du das bitte näher begründen?

Viele Grüße, commodity
em-pie
em-pie 16.05.2024 um 20:01:40 Uhr
Goto Top
Zitat von @commodity:

Das gibt nur Probleme...
Kannst Du das bitte näher begründen?

Viele Grüße, commodity
IMHO werden die Clients, die sich am DHCP melden, nicht am DNS registriert….
Wenn man einen „Non-AD-integrierten“ DHCP einsetzt, der das registrieren unterstützt, ist das OK. In den seltensten Fällen können das aber die (zentralen) Router. So mein Kenntnisstand
jsysde
jsysde 16.05.2024 um 20:30:07 Uhr
Goto Top
Moin.

Was spricht dagegen, den Router per DHCP die IPs verteilen zu lassen und in den DHCP-Options des Routers halt den Windows-Server (also dessen IP) als primären DNS-Server einzutragen?

Oder auf dem Router ein Conditional Forwarding zu machen, also DNS-Anfragen an meine.domain nicht vom Router beantworten zu lassen, sondern diese gezielt an den Windows-Server weiterzuleiten?

Mit beiden Szenarien machen die Windows-Büchsen keine Probleme.

Cheers,
jsysde
em-pie
em-pie 16.05.2024 um 21:25:27 Uhr
Goto Top
@jsysde
Registrieren sich denn dann die Clients am Windows DNS auch direkt?
Also sehe ich die Clients in den Forward-/ Reverse-Zones?
jsysde
jsysde 16.05.2024 um 22:37:14 Uhr
Goto Top
Moin.
Zitat von @em-pie:
Registrieren sich denn dann die Clients am Windows DNS auch direkt?
Also sehe ich die Clients in den Forward-/ Reverse-Zones?
So sollte es sein - sie sprechen ja "ihren", der Domain zugehörigen DNS-Server direkt an.... Zumindest hab' ich das Konstrukt so mit RED-Devices am laufen: DHCP-Server ist jeweils die RED vor Ort, die als DNS-Server immer die beiden DNS am Hauptstandort verteilt. Und die Clients registrieren sich brav in der DNS-Zone dort.

Cheers,
jsysde
Elmario
Elmario 17.05.2024 um 01:27:38 Uhr
Goto Top
Zitat von @jsysde:

Moin.

Was spricht dagegen, den Router per DHCP die IPs verteilen zu lassen und in den DHCP-Options des Routers halt den Windows-Server (also dessen IP) als primären DNS-Server einzutragen?


Ich kann mich nur erinnern, dass ich das damals so machen wollte, aber Windows (Essentials) Etwas dagegen hatte. Deshalb habe ich hier schon Mal im Vorfeld der Neuinstallation, die ich die Tage beginne gefragt, um zu sehen wie es sich mit der Idee generell verhält. Da es wohl nicht unmöglich oder unrealistisch zu sein scheint, werde ich es wieder versuchen, und dann beim Auftreten von Problemen hier rückmelden.
Danke soweit schon Mal!
Kraemer
Kraemer 17.05.2024 um 09:09:08 Uhr
Goto Top
Kannst Du das bitte näher begründen?

Ich habe versucht eine Seite zu finden, die in verständlicher Sprache einige Punkte aufführt: https://www.ip-insider.de/dns-eintraege-via-dhcp-verteilen-und-automatis ...

Die Punkte, die die Möglichkeiten aufzeigen, zeigen im Prinzip die defizite anderer Lösungen wie einer Fritzbox auf.

Ich will nicht sagen, dass es nicht möglich ist, eine Windows-Domäne ohne Windows DNS und DHCP zu betreiben. Es macht die Sache aber um einiges einfacher und auch sicherer.
commodity
commodity 17.05.2024 aktualisiert um 10:57:02 Uhr
Goto Top
Danke Dir.
Ich sehe in dem Artikel aber zur Fragestellung nur den hier bereits erörterten Punkt der automatischen DNS-Registrierung. Das ist IMO aber kein "Problem", zumindest nicht in kleinen und/oder wenig geänderten Umgebungen. Einmal den Eintrag per Hand setzen und fertig ist.

Dieser kleinen Mühe unterziehe ich mich gern, wenn ich damit den umständlichen DHCP von MS vermeiden kann. Die Organisation eines Netzes ist über den Router deutlich angenehmer und transparenter. Selbst bei einer Fritzbox (die ich allerdings nirgendwo dazu nutze).

Vorsorglich:
Ich will nicht sagen, dass es nicht möglich ist, eine Windows-Domäne ohne Windows DNS und DHCP zu betreiben
Es geht nicht um den Windows DNS. Den würde ich eher nicht abschaffen. Da besteht zwischen DNS und AD IMO eine sehr enge Beziehung (und der ist auch erträglich zu bedienen). Auf den DHCP verzichte ich hingegen lieber.

Wenn Dir keine weiteren "Problemfallen" bekannt sind, können wir meine Zwischenfrage als erledigt betrachten. face-smile

Viele Grüße, commodity
Kraemer
Kraemer 17.05.2024 um 11:12:00 Uhr
Goto Top
Wenn Dir keine weiteren "Problemfallen" bekannt sind, können wir meine Zwischenfrage als erledigt betrachten.

Du gehst davon aus, dass sich die Clients selber beim DNS sauber registrieren. Das ist aber leider mit nichten der Fall. Gerade IOT-Geräte fallen hier immer wieder negativ auf. So etwas führt immer wieder zu Fehlern im DNS. Nicht selten wird eine im DNS hinterlegte IP von einem "falschen" Gerät genutzt.

In so einem Fall: Viel Spaß bei einer Fehlersuche, oder aber der Identifizierung eines wild gewordenen Gerätes.

den umständlichen DHCP von MS vermeiden kann

keine Ahnung, was du damit meinst. Im Standard ist der Win-DHCP-Server innerhalb von Sekunden eingerichtet.
em-pie
em-pie 17.05.2024 um 11:46:35 Uhr
Goto Top
Dieser kleinen Mühe unterziehe ich mich gern, wenn ich damit den umständlichen DHCP von MS vermeiden kann.
D. h. wenn eure Leases nach nach Weihnachtsfeiertagen (oder einem Wochenende, bei uns beträgt die Lease max. 24h) alle abgelaufen sind (die Clients waren ja heruntergefahren), gehst du einmal am ersten Arbeitstag im neuen Jahr rum, schreibst dir die IP-Adressen auf und hinterlegst die Namen im Windows-DNS?
Wer keine Arbeit hat...
Oder arbeitest du mit Reservierungen?
In dem Fall verstehe ich deinen Einwand der Pflege eines Windows DHCPs.
Alles andere kann ein Windows-DHCP hervorragend. SOgar die verschiedensten DHCP-Optionen lassen sich über alle Scopes hinweg an nur einer Stelle verwalten - wie z. B. DNS-Suffix oder DNS-Server, oder der oder

keine Ahnung, was du damit meinst. Im Standard ist der Win-DHCP-Server innerhalb von Sekunden eingerichtet.
und wenn man die verdoppelt und einen zweiten Windows-DHCP betreibt, sogar in einem Cluster untergebracht.
commodity
commodity 17.05.2024 aktualisiert um 11:51:24 Uhr
Goto Top
Du gehst davon aus, dass sich die Clients selber beim DNS sauber registrieren.
Nein, da hast Du mich missverstanden. Ich schrieb, oben dass ich das ohnehin per Hand mache.

IOT-Geräte fallen hier immer wieder negativ auf.
Du packst IoT-Geräte ins Domänennetz? Ui. Das erscheint mir recht mutig.
Welches IoT-Device braucht denn eigentlich internes DNS?

Im Standard ist der Win-DHCP-Server innerhalb von Sekunden eingerichtet.
stimmt. Und so sehen die Installationen dann später meist auch aus.
Ich habe gern aufgeräumte (übersichtliche) Netze. Wer das eine oder andere Netz mit dem MS DHCP mal nachträglich ordnen "durfte", weiß schon, was ich meine. Ich finde es umständlich. Wenn Du nicht, ist das doch in Ordnung für Dich face-smile

@em-pie
Oder arbeitest du mit Reservierungen?
natürlich! face-smile
Im Übrigen verschwinden auch die abgelaufenen Leases (jedenfalls bei hier) nicht aus dem DNS.

Viele Grüße, commodity
Kraemer
Kraemer 17.05.2024 um 12:08:59 Uhr
Goto Top
Du packst IOT-Geräte ins Domänennetz? Ui. Das erscheint mir recht mutig.

warum denn nicht? Gibt doch VLANs

Welches IOT-Device braucht denn eigentlich internes DNS?

ich bin mir nicht sicher, ob du den Sinn eines DNS-Servers wirklich verstanden hast

Egal - wenns für dich funktioniert ist es ja gut
em-pie
em-pie 17.05.2024 um 12:17:16 Uhr
Goto Top
Zitat von @commodity:
@em-pie
Oder arbeitest du mit Reservierungen?
natürlich! face-smile
Im Übrigen verschwinden auch die abgelaufenen Leases (jedenfalls bei hier) nicht aus dem DNS.
Nee, nicht aus dem DNS, aber aus dem DHCP. Und dann hast du folgendes Problem.
Heute hat der Client "PC-4711" die IP 172.17.1.10 erhalten. Dann kommt das WE, die Lease läuft ab, der DHCP gibt die IP frei. Montag Dienstag kommt der Anwender, schaltet seinen PC ein, bekomt die IP 172.17.1.35. Stimmt dann dein DNS-Eintrag noch?
Viele Grüße, commodity
commodity
commodity 17.05.2024 aktualisiert um 18:34:15 Uhr
Goto Top
Zitat von @em-pie:
Stimmt dann dein DNS-Eintrag noch?
Danke für die Verdeutlichung. Verstehe Deinen Punkt. Das ist in meinem Umfeld kein Problem. Alles was DNS-Eintrag hat, bekommt auch eine DHCP-Reservation. Frei vergebenes DHCP gibt's bei mir faktisch nicht.
Kann mir aber vorstellen, dass das in größeren Umgebungen so nicht umgesetzt wird. Insbesondere, wenn viele wechselnde Geräte vorhanden sind.
Wobei sich mir dann die Frage stellt, warum die überhaupt DNS-Einträge brauchen. Windows-Clients können sich darüber hinuas ja auch selbst am DNS registrieren/aktualisieren. Vermutlich gibt es Policies, die das nicht gestatten, aber gelten die für Jedermann/frau?

Zitat von @Kraemer:
warum denn nicht? Gibt doch VLANs
Deren Grenzen Du dann aufbrichst, um den Domänenserver zu erreichen? Wie sicherst Du das ab? Internes Firewalling der VLANs auf Port 53? Oder noch mehr?
ich bin mir nicht sicher, ob du den Sinn eines DNS-Servers wirklich verstanden hast
Das kann sein.
Egal - wenns für dich funktioniert ist es ja gut
Nee, "egal" und "funktioniert" ist der falsche Ansatz. Die Worte höre ich im Alltag viel zu oft - von unmotivierten Kollegen.
Ich bin doch hier, um aus dem Austausch zu lernen. Und aus den Antworten auf Fragen. Und aus den eigenen Antworten auch. Das wird hier oft falsch verstanden. Viele empfinden bereits eine Frage als Kritik. Fragen dient aber der Generierung von Wissen face-smile

Also: Es wäre super, wenn Du mir den "Sinn eines DNS-Servers" nach Deinem Verständnis etwas näher bringst bzw. klar stellst, was Dich zu der Annahme führt, dass ich diesen nicht verstehe. Mir fallen für die Namensauflösung spontan drei Aspekte ein:
a) Erreichbarkeit unter definierten Namen, insbesondere für Speicherpfade auf Server, NAS u.ä.
b) Erleichterung der Verwaltung durch definierte Erreichbarkeit von Geräten mittels Namen
c) zur Berücksichtigung des Namens bei Zertifikatsvergabe für CN oder SubjectAlternateName

DNS-Bedarf für das IoT-Device sehe ich bestenfalls bei b). Warum ich einen Toaster oder Temperaturfühler aber unter einem Namen verwalten muss (statt ihm einfach eine feste IP zu geben) erschließt sich mir in der Tat nicht. Wäre nett, wenn Du das noch kurz aufklärst.

Viele Grüße, commodity
Xaero1982
Xaero1982 17.05.2024 um 19:43:32 Uhr
Goto Top
Ich hab nicht alles gelesen, aber @commodity, aber der Windows DHCP ist wirklich einer der simpelsten Dienste. Ich arbeite bei einigen Kunden auch mit VLANs und daher verschiedenen Scopes. Scope anlegen und die notwendigen Einstellungen machen für den Bereich wie das GW, DNS und gut ist. Hatte noch nie irgendwelche Probleme damit. Failover ist innerhalb von wenigen Augenblicken eingerichtet zu einem zweiten DHCP.

Den DC sollte man vom Client ohnehin erreichen, damit man sich da bei der Anmeldung authentifizieren kann. Sonst brauche ich ja keinen DC....

Schöne Pfingsten face-smile
em-pie
em-pie 17.05.2024 um 20:39:10 Uhr
Goto Top
Frei vergebenes DHCP gibt's bei mir faktisch nicht.
Warum betreibst du denn dann überhaupt einen DHCP-Server, wenn du ihn eh nicht nutzt?
Du hast nicht viele Clients „unter dir“, oder?
commodity
commodity 17.05.2024 aktualisiert um 23:02:17 Uhr
Goto Top
Warum betreibst du denn dann überhaupt einen DHCP-Server, wenn du ihn eh nicht nutzt?
Das ist zwar nicht das Thema hier, aber ich nutze ihn natürlich. Vor allem für die Reservations. Ohne DHCP geht bei mir gar nichts. Ich habe in jedem Netz meist nicht mal eine Hand voll statisch vergebener IP-Adressen.
Ich betreue (bekanntlich) kleine Umgebungen und sehe entsprechend oft kleine, im Regelfall chaotisch strukturierte Netze. Natürlich bin ich immer auch an der "großen weiten Welt" interessiert.

In meiner Welt muss ich ein neues Gerät ohnehin einrichten und ggf. ins AD heben, da tut es mir auch nicht weh, eine Reservation und bei Bedarf einen DNS-Eintrag nachzulegen. Dafür habe ich am Ende ein klar strukturiertes Netz, in dem ich bereits am Adressbereich erkenne, um was für ein Gerät es sich handelt. Finde ich aus Netzwerksicht angenehm und sinnvoll. Insbesondere beim Einrichten der Firewalls machen sich definierte Adressbereiche bezahlt.

Interessiert mich, wie und in welchen Umgebungen Du den DHCP einsetzt und ob/wie Du die Netze strukturierst. Und wenn nicht, wie Du das Firewalling organisierst.
Wenn Du zu einem neuen Kunden kommst, mit völlig wildgewachsenem Netz, ordnest Du dann die Adressbereiche neu oder ist Dir das nicht wichtig? Aktuelles Beispiel: Router mit IP .80, Switch 1 mit IP .5 Switch 2 mit IP .99, Telefone und Clients, Drucker, Scanner, sonstige Geräte und IoT bunt gemischt darum herum. Ich mag das nicht so. Das mit dem Windows DHCP zu ordnen macht Dir Spaß? Mir nicht. Unter Router OS ordne ich die gesamte Range in 5 Minuten.

der Windows DHCP ist wirklich einer der simpelsten Dienste
Hallo @Xaero1982, ohne Lesen bringt solch ein Kommentar eher nichts. Der Dienst ist in der Tat so simpel, dass es nur Microsoft schaffen kann, selbst diesen so vergleichsweise umständlich umzusetzen. Es geht hier auch nicht um "Probleme" mit dem DHCP, immerhin der läuft zuverlässiger als vieles andere bei MS. Ja, und wie man ihn einrichtet ist a) bekannt und b) hier gar kein Thema. face-smile

Ich glaube, die Welt scheidet sich hier mal wieder zwischen den Leuten, die primär wollen, dass es funktioniert und denen, die sich "ein bisschen mehr" wünschen. Dieses "Mehr" geht auch mit dem Windows-DHCP, nur eben - im Vergleich zu zB Router OS - grottenumständlich. Da ist selbst der gute alte ISC-DHCP, der zwar nur textbasiert, aber immerhin direkt editiert werden kann, um Welten bedienerfreundlicher, zumal man da super skripten kann.

Zur Klarstellung: Ich habe nicht das Geringste dagegen, dass jemand den Windows-DHCP benutzt. Die Frage, die hier im Raum steht, fußt auf der wenig konkreten Äußerung, die Trennung von DNS und DHCP "macht nur Probleme". Zu der auf Nachfrage nicht wirklich konkreter kam, ich würde wohl das DNS nicht verstehen. Vielleicht kommt ja noch etwas mehr verwertbares von dem Kollegen. An sich ist dies aber schon durch den Kollegen @jsysde nachvollziehbar beantwortet worden. Ich bin hier, um was zu lernen und andere Sichtweisen sind mir sehr willkommen - wenn etwas Substanz und Gehirnschmalz dahinter steckt und nicht nur das Ziel ist, dass es läuft und dann Feierabend. Das wäre mir dann zu dünne für den Austausch in einem Fachforum. Aber andere mögen mit ganz anderen Ambitionen hier schreiben und/oder arbeiten. So ist das halt.

Viele Grüße, commodity
Xaero1982
Xaero1982 19.05.2024 um 15:51:00 Uhr
Goto Top
Du weißt, dass ich dich und deine Meinung schätze, aber was bitte ist am Windows DHCP irgendwie umständiglich? Was willst du mit dem DHCP machen, was dort nicht mit drei Klicks umgesetzt ist? Mir fällt dazu kein Szenario ein.
Der ganze Einrichtungsprozess ist da so dermaßen simpel, dass das meine Nichte mit 2,5 Jahren hinbekommen würde (wenn sie denn schon lesen könnte).
Und sorry, aber was für ein "Mehr" sollte es da geben.

Wir reden hier in der Regel von Firmenumgebungen und da laufen die Sachen in der Regel ohne Probleme. Ich hatte in meiner bisherigen Laufbahn noch nie irgendwelche Probleme mit dem DHCP.

Und das die Trennung vom DHCP auf einen anderen Dienst oft Probleme in einer Domänenumgebung macht, kann ich bestätigen. Selbst erlebt und umgekrempelt. Runter vom Router und rauf auf den Windows-Server und keine Probleme mehr.

Manchmal verstehe ich nicht, dass gewisse Dinge, die Millionenfach genutzt werden hier zum Teil so verteufelt werden.

Schöne Pfingsten.
commodity
commodity 19.05.2024 um 19:30:07 Uhr
Goto Top
Hallo @Xaero1982,
das beruht auf Gegenseitigkeit face-smile Ich mag Deine praktische Sichtweise sehr gern. Was uns aber nicht davon abhält, den Dingen technisch auf den Grund zu gehen, ok?

Leider schreibst Du hier am Thema vorbei:
laufen die Sachen in der Regel ohne Probleme.
Das hat niemand bestritten. Der Windows-DHCP läuft stabil, ich kenne aber auch keinen DHCP-Dienst, wo das nicht so wäre.
Mir fällt dazu kein Szenario ein.
Mir schon. Dazu sogleich.
... hier zum Teil so verteufelt werden.
Das hat niemand getan. Ich habe oben gesagt, dass ich das Arbeiten mit dem Windows-DHCP umständlich finde. Und das ist es. Das Einrichten ist ok. Das Arbeiten mit Leases eher nicht. Für mich ist "Verteufeln" was anderes.
Falls Du die zunehmende (IMO berechtigte) Kritik an Windows meinst, die auch dieses Forum erreicht hat. Die ist ein ganz anderes Thema und hat nichts mit diesem zu tun. Dinge und Sichtweisen ändern sich. Ich sage nur VMware.

Zum Szenario:
Ein (für mich) normales Case-Example: Es gibt ein paar Reservations und der Rest wildes Gemisch von Leases. Jetzt möchtest Du das Netz ordnen. Router/Switche von .1 bis .10, Server von .20-.40, Clients von .50 bis .100, Telefonie von .140 bis .190, Drucker ..., Scanner ...
Zähl mal bitte nur für 3 Geräte, eines mit bestehender Reservation, zwei mit freier Lease, wieviele Klicks Du brauchst, um diese an die richtige Stelle zu bringen. Ich stelle das dann nach. Ich habe auch Windows-DHCPs im Zugriff. Und dann machen wir das mal in Router OS, gerne auch im ISC oder KEA. Oder auch nur auf einer Fritzbox. Dann kommen wir der Sache vielleicht näher. face-smile

Am Ende geht Usability natürlich nicht vor Verlässlichkeit. Da heißt es dann abzuwägen - und vorher zu diskutieren, um Fakten (nicht Gefühle) zu sammeln. Wir haben hier jetzt einen Kollegen, der die Trennung von DHCP und DNS in einer Domänenumgebung mit "macht nur Probleme" ablehnt. Erklären konnte oder wollte er es nicht über Allgemeinplätze hinaus. Einen weiteren, der keine Probleme sieht. Einen weiteren, der keine Argumente nennt, aber statt dessen persönlich "argumentiert", dessen Position aber nicht einmal ganz klar ist. Du wiederum gehörst offenbar zur ersten Fraktion und hast als Argument "selbst erlebte Erfahrung" angeführt. Die kann man nicht diskutieren, weil man nicht weiß, worauf Deine (offenbar unglückliche) Erfahrung beruht. Auch da bräuchte es Fakten.

Die Erfahrung eines erfahrenen Admins ist ein hohes Gut. Aber: Jeder hier mit auch nur etwas Erfahrung weiß, dass 99 % der vermeintlichen Fehlfunktionen ("Probleme") nicht technisch begründet sind, sondern auf PEBKAC zurückzuführen sind. Das gilt leider auch in der Administration - für uns alle, zu jeder Zeit und umso mehr, wenn wir breitgetretene Pfade (aus Gründen) verlassen wollen.
Deshalb interessiere ich mich immer für das "Warum", wenn einer von schlechten Erfahrungen und Problemen berichtet, ohne wenigstens ein bisschen konkret zu werden. Nicht, weil ich die Position selbst in Frage stelle (die kann total richtig sein), sondern weil ich (und andere sicher auch) den Hintergrund verstehen will - denn nur aus dem technischen Hintergrund kann man was lernen. Die erfahrungsbasierten Ratschläge von Eltern/Großeltern sind bestimmt oft nicht falsch. Angenommen werden sie aber im Regelfall erst, wenn sie verstanden werden. Da konnte Oma 10x mit ihrer Erfahrung kommen face-wink
Wenn Kollegen den Dingen nicht auf den Grund gehen wollen, weil es ihnen genügt, wenn "es läuft", ist das schade, aber nicht zu ändern. Bringt die anderen Kollegen, die lieber etwas verstehen wollen, aber nicht weiter.
Dieses Forum ist oftmals sehr reich und laut bei schnellen Behauptungen, aber wenn es dann um die zugrunde liegenden technischen Fakten geht, wird die Luft oft recht dünn.

Leider haben auch die beiden Kollegen, die bislang lieber meine persönlichen Fähigkeiten in Frage gestellt haben, statt ein technisches Argument zu nennen, auf meine konkreten Nachfragen nicht mehr geantwortet. Das kann man vielschichtig interpretieren. Vielleicht wollen sie mich (und andere Mitleser) nicht klüger machen, vielleicht hatten sie aber auch nie ein Argument. In beiden Fällen hatten sie also eigentlich nichts zu sagen. Das ist äußerst schade, aber so ist das halt. Vielleicht kommt ja auch noch was. Ist ja Feierwochenende.
Insbesondere interessiert mich (wirklich), wie Kollegen, die einen großen, wild gemischten Pool mit variablen Leases fahren, damit das Firewalling gestalten. Aber wenn ich das nicht in diesem Thread erfahre, vielleicht im nächsten. face-smile

Auch Dir weiter schöne Pfingsten,

viele Grüße, commodity
Xaero1982
Lösung Xaero1982 20.05.2024 um 10:59:29 Uhr
Goto Top
Hi @commodity,
bei den Reservierungen pflichte ich dir bei, aber das ist für mich so selten von Relevanz, dass ich mir da auch keine Gedanken drüber mache. Auch das Kopieren von Mac-Adressen aus den DHCP Leases ist nicht möglich. Lässt sich sicherlich etwas optimieren.
Zählen will ich gerade nicht, aber du kennst den Weg sicher. Ich nehme den vorhandenen Lease, erstelle daraus die Reservierung. Gehe in die Reservierung, kopiere die Macadresse. Lösche die Reservierung und erstelle sie mit der richtigen IP neu. Alternativ kann man das auch per PS machen und muss sich vorher dennoch die Mac-Adresse besorgen.
Einfacher wäre ein kleiner Dialog, wenn man eine Reservierung aus dem vorhandenen Lease machen will, dass man dort bereits eine andere IP angeben kann.

Abgesehen von Clients und Telefonen bekommen bei mir aber ohnehin in allen Netzen alle Geräte feste IP Adressen. Inzwischen benutzen aber viele nur noch Webclients. Bei einem Kunden ist die Telefonie sowieso komplett vom Netz getrennt und hat einen eigenen DHCP nur für die Telefone in einem getrennten VLAN.

Bzgl. meiner Erfahrung kann ich mich nur dunkel erinnern. Der DHCP lief damals noch auf der vorhandenen Fritzbox und die Clients haben immer wieder Probleme mit der Verbindung zum WLAN gehabt bzw. daraus resultierend auch Probleme mit der Verbindung zu Netzlaufwerken. Sprich, die Namensauflösung lief nicht rund. Nach der Umstellung auf den Windows-DHCP hatte ich diese Probleme dort nicht mehr. Die AP waren damals die Unifi AP AC Pro. Sind inzwischen aber auch Ruckus H550 gewichen, die ich mal sehr günstig ergattern konnte vor Corona.

Das auf den Grund gehen ist halt als Dienstleister immer so eine Sache. In erster Linie wirst du dafür bezahlt, dass es funktioniert - egal wie. Wenn es andere Lösungswege gibt, werde ich einen Teufel tun und ewig nach einer Lösung suchen oder nach dem exakten Problem, wenn ich es in wesentlich weniger Zeit, zuverlässig, auf anderem Wege lösen kann. Der Kunde weigert sich oft für die Dinge zu bezahlen, die nicht notwendig sind.

Du weißt, dass ich verschiedene Kunden habe, in verschiedenen Branchen, bei denen ich das oftmals sehr unterschiedlich handhabe, weil die Sicherheitsanforderungen einfach komplett verschieden sind. Es gibt Kunden da setze ich auf dynamische VLAN Zuordnungen an Hand der Benutzerlogins. Dann gibt es Kunden bei denen einfach alles in einem Netz ist, weil es eh nur 5 Leute sind und ob da nun noch 5 Telefone mit drin rumschwirren tut nichts zur Sache. Klar, könnte ich das alles trennen und wäre sicherlich auch sinnvoll, aber manchmal siegt dann auch einfach die pure Bequemlichkeit. Optimierungsmöglichkeiten gibt es sicher in allen Netzen und wenn mir eine Optimierung über den Weg läuft versuche ich das auch umzusetzen.
Ich versuche aber dabei auch immer darauf zu achten, dass das Netz als solches nicht leidet und der Benutzer. So wie kürzlich in meiner letzten Frage mit dem WLAN. Ich wollte nicht eine weitere SSID ins Spiel bringen und ich wollte auch nicht das gesamte Netz umkrempeln in ein 23er Netz, bei dem ich dann alle APs usw. hätte anpassen müssen. Stattdessen konnte ich das im laufenden Betrieb ohne weitere Störung einfach implementieren, dass ich einfach ein zweites 24er Netz habe in dem dann bestimmte Geräte per Radius-Vlan-Zuweisung landen. Den Radius gab es eh schon für die Authentifizierung, also war es nun kein großes Hexenwerk.

So ein optimaler Weg für eine Einrichtung eines kompletten Standardnetzes wäre schon mal schön und vielleicht kann man sowas hier ja auch mal gemeinschaftlich erstellen. Angefangen von verschiedenen Hypervisoren, Verteilung der Dienste auf verschiedene Server (ich gehe mal nur von Windows-Servern aus + ggf. auch anderen Hypervisors), Domänenbenennung, DNS-Einstellungen, DHCP Einrichtung, ggf. VLANs und notwenige Konfigurationen. Netztrennung usw.

Ich behaupte mal, dass hier genug Know-How im Forum ist um sowas auf die Beine zu stellen und das man hier auch sicher auf einen Nenner kommen würde für eine Standardkonfiguration. Das wäre zumindest mal ein schöner Gedanke face-smile
Weniger Gegeneinander, sondern mehr Miteinander.

Grüße und schöne Pfingsten noch
commodity
commodity 20.05.2024 aktualisiert um 11:45:56 Uhr
Goto Top
Moin @Xaero1982,
100 % d'accord, Danke für die schöne Zusammenfassung - und auch die saubere Darstellung vom DHCP.
Man sieht wieder mal: Für den einen hat es mehr Relevanz als für den anderen. Ich hasse feste IP-Adressen und arbeite fast nur mit Reservations, daher ist das für mich relevanter (aber auch kein Weltthema - die Länge des Threads hat andere Gründe).

Ich fahre im AD zwei unterschiedliche Ansätze und beobachte noch. Bislang macht aber auch die Trennung keine Probleme - aber Arbeit an anderer Stelle (s.o.). Auch deshalb habe ich gefragt: Kann ja noch irgendwo was technisches schlummern, was man übersieht.

Klar, die "tiefere" Beleuchtung solcher Dinge zahlt natürlich kein Kunde direkt. Ich verbuche das unter Fortbildung und ich mache das ohnehin einfach gern. Klar, dass andere da ganz andere Schwerpunkte haben. Hängt ja auch immer an der persönlichen Lebenssituation.
Wer hier von sich aus was als quasi-Fakt postet, wie der Kollege oben mit "macht nur Probleme", könnte und sollte dann aber auch etwas Substanz einbringen und eine Frage auch technisch beantworten.

Unsere prinzipielle Herangehensweise in der Praxis ist recht ähnlich. Was das optimale Standardnetz angeht, weiß ich nicht, ob es das gibt, aber klar, ein paar mehr Wissensbeiträge könnten diesem Forum nicht schaden.
Bis dahin bleibe ich dran, bei unkonkreten Posts, die ich nicht einordnen kann, um eine Konkretisierung zu bitten. Die Erfahrung zeigt, dass die kompetenten Kollegen dann sehr sachlich reagieren (wie Du zB).
Wenn jemand pauschal bleibt, unter taucht oder gar unsachlich wird, spricht das für sich. Im besten Falle wird aber durch die Frage ein Prozess des Nachdenkens angestoßen, der einen Erkenntnisgewinn bringt. Dann haben alle was davon.
Weniger Gegeneinander, sondern mehr Miteinander.
So ist es - und darum geht es face-smile

Viele Grüße, genieße den Feiertag,
commodity
Xaero1982
Xaero1982 20.05.2024 um 13:09:48 Uhr
Goto Top
Und dann knallts bei deinem DHCP und alles ist futsch, weil die Config auch nicht gesichert wurde face-smile
Für mich ist das einfach normal, dass solche Geräte eine feste IP bekommen, aber wie du schon sagst: Jeder arbeitet anders. Ich kenne sogar einen Dienstleister, der jedem Gerät eine statische IP verpasst und gar keinen DHCP betreibt. Das sei ihm zu unsicher *hust*. Hat aber natürlich auch Konsequenzen, weil in dem speziellen Fall hatte die Dockingstation eine IP bekommen und als er mit dem Notebook, ohne Dockingstation, in einen Raum ging wars das mit dem Netzwerk.

Wenn man die Zeit hat für tiefere Beleuchtung und das dann ggf. auch nachstellen will - gerne, aber nun ja face-smile Das muss schon was sein, was mich dann wirklich interessiert, damit ich das nachstelle ;)

Danke, du auch face-smile
commodity
commodity 20.05.2024 um 13:37:06 Uhr
Goto Top
weil die Config auch nicht gesichert wurde
face-big-smile aber bitte!!!
Es gibt immer Dokumentation und (mindestens bei jedem Update) auch eine (automatische) Sicherung. Gibt es etwa jemanden, der das anders macht?? face-big-smile

Viele Grüße, commodity
Elmario
Lösung Elmario 21.05.2024 aktualisiert um 14:08:07 Uhr
Goto Top
OK, dann mal vielen Dank an Alle und auch für die allgemein rege Beteiligung!

Ich habe mich dann doch entscheiden, den DHCP wieder auf dem Essentials-Server zu betreiben. Denn z.B. Probleme mit der Namensauflösung, wie von Xaero geschildert, habe ich doch auch noch irgendwo tief in Erinnerung, vor der Installation von damals noch Essentials 2012 (die ich dann wegen Dessen nicht so belassen habe).
Der Hauptgrund, weshalb ich DHCP lieber über den Router gemacht hätte ist übrigens der, dass wir auch ein Wireguard VPN betreiben, und gelegentiche Basteleien an der VPN-Konfiguration dann nicht nur dazu führten, dass der Essentials-Server (Headless) nicht mehr erreichbar war, sondern dass in dem Moment dann natürlich auch kein Client im LAN mehr Internet hatte sobald sein Lease ablief.
Auf statische IPs hatte ich schon vor vielene Jahren keine Lust mehr, weil ich eben keine zusätzlichen Listen mehr führen wollte, weshalb ich die letzten Jahre mit reservierten IPs gearbeitet habe, was sich auch vorteilhaft erwiesen hat in einem kleinen Betrieb wo vor Ort gerne mal einfach so ein neuer Drucker mitgebracht ud angeschlossen wird von dem man evtl. noch eine Wochen Nichts weiß, bis dann Probleme wegen evtl. doppel vergebener IPs auftreten.
Und selbst wenn es mit zusätzlichem Aufwand irgendwie möglich sein sollte, scheint die Komplexität (wie der Thread zeigt) doch den Aufwand den ich dafür bereit bin auf mich zu nehmen, zu übersteigen. Und tendenziell werden in Zukunft ja hoffentlich auch nicht mehr so viele Wireguard-Basteleien nötig sein, wenn man bereits raushat wie Es funktioniert.

Vielen Dank! face-smile
commodity
commodity 21.05.2024 um 22:31:41 Uhr
Goto Top
Du hast jetzt aber nicht den Wireguard auf dem Essentials laufen, oder? :-o

Viele Grüße, commodity