kbudde
Goto Top

AD Standorte - Subnet definieren

Ich bin an der Einrichtung eines neuen Standortes, wie hier beschrieben (https://www.administrator.de/index.php?content=142728).

Muss für das Subnet ein eigenen Netz gewählt oder kann ein Teilbereich des "normalen" Netzes verwendet werden?

Hallo,

Ich richte gerade in einer Testumgebung einen neuen AD-Standort ein.

Bei der Wahl des Subnetzes bin ich mir nicht sicher.

Der bisherige Plan war am neuen Standort das gleiche IP Netz zu verwenden (aber in einem definierten Bereich).
Das Subnet kann ich angeben. Wichtig ist mir die Frage, ob das für mich momentan nicht sichtbare Nebenwirkungen hat.
Ich gehe nicht davon aus, dass dieses Subnet für irgendwelche Routingaufgaben verwendet wird, sondern nur für die Feststellung an welchem Standort sich der Server aufhält.

Konkret benutzt die Domäne 192.168.200.0/24. Der neue Standort soll 192.168.200.16/28 werden.

Funktioniert das an der Stelle so oder sollte das vermieden werden?

Ich könnte auch ein eigenes Netz anlegen, dann ergeben sich aber Probleme mit der Firewall, die ich ungern austauschen wollen würde... Es ist machbar, aber mit Aufwand, der nicht sein soll.

Vielen Dank im Voraus

Content-ID: 142926

Url: https://administrator.de/forum/ad-standorte-subnet-definieren-142926.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

TiTux
TiTux 17.05.2010 um 10:54:44 Uhr
Goto Top
Servus,

weshalb nimmst Du für Deinen neuen Standort nicht einfach auch ein /24 Netz?
Mit Deinem /28 Netz bekommst Du doch nur 14 Hosts raus.

Sollen sich die beiden Standorte auch irgendwie "sehen" .. via VPN oder so?

Gruß
TiTux
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 17.05.2010 um 11:02:23 Uhr
Goto Top
Aloha,

ein Subnet, in deinem Beispiel also /24 und /28, kann nur einem EINZIGEN AD-Standort zugewiesen werden.
Einem AD-Standort jedoch, können mehrere Subnetze zugewiesen werden.
AD-seitig würde das funktionieren.


Viele Grüße

/ > Yusuf Dikmenoglu
maretz
maretz 17.05.2010 um 11:03:50 Uhr
Goto Top
Moin,

du hast am Standort 1 nen /24er Netz (0-255 als IP). Am Standort 2 hast du nen /28er Netz. Jetzt erklär mal wie dein System erkennen soll das es am Standort 1 die 200.16 durch den Router jagen soll-> die 16 ist ja auch teil des lokalen Netzes... Das geht zwar alles -> aber du holst dir damit nur unnötige Probleme ins Haus... Dann am 2ten Standort lieber nen eigenes /24er Netz und ganz entspannt zurücklehnen...

Gruß

Mike
kbudde
kbudde 17.05.2010 um 11:05:02 Uhr
Goto Top
Hallo,

wenn ich noch ein /24 Netz nehmen sehe ich Probleme mit der Firewall, was viel Konfigurationsaufwand bedeutet und evtl. eine neue Firewall nach sich zieht (was prinzipiell nötig wäre, aber noch nicht geplant ist).

Die 14 Hosts hingegen reichen vollkommen, wobei ich doch lieber ein /27 nehmen werde. Man weiß ja nie.

Die Standorte sind transparent über Glasfaser verbunden. Es gibt keinen (von uns konfigurierbaren) Router dazwischen. Bisher steht ein Server am zweiten Standort mit einer IP aus dem 24er Netz am Hauptstandort. Das soll nach Möglichkeit beibehalten werden. Deswegen die Frage, ob das geht.
kbudde
kbudde 17.05.2010 um 11:11:56 Uhr
Goto Top
Hallo,

das "Problem" ist, dass zwischen beiden Standorten kein "sichtbarer" Router steckt. Wie oben geschrieben gibt es momentan schon einen Server am zweiten Standort mit einer IP vom bestehenden Netz. Das funktioniert wunderbar.

Man kann sich das so vorstellen als würden alle Server am gleichen Standort stehen (Ich habe Netzwerktechnisch keine Unterschied bemerkt, noch nicht mal beim ping...). Das ganze wurde uns so bereitgestellt und läuft schon jahrelang stabil.

Wie oben ergänzt, will ich vermeiden ein eigenes Netz aufzubauen. Wenn es sein muss, muss es natürlich sein ;)
brammer
brammer 17.05.2010 um 12:25:20 Uhr
Goto Top
Hallo,


Konkret benutzt die Domäne 192.168.200.0/24. Der neue Standort soll 192.168.200.16/28 werden.


Das wird nicht funktionieren!
Dein Netz am neuen Standort ist Bestandteil des Netzes am ersten Standort.
Das Netz im ersten Standort bietet die Host von 192.168.200. 1 - 255 an
Das Netz am zweiten Standort die Hosts von 192.168.200. 1 -14
An welchem Standort findest du die Adresse 192.168.200.5 ?? An beiden...
Ganz schlecht

brammer
kbudde
kbudde 17.05.2010 um 12:35:22 Uhr
Goto Top
Hallo,

ich seh schon. Es scheint keine gute Idee zu sein.

Was ich mir vorstellen könnte, um dieses Problem zu umgehen, wäre folgende Definition:
Zweigstelle: 192.168.200.1 - 192.168.200.15
Hauptstandort: 192.168.200.16 - 192.168.200.255
Aber als Netzwerkkonfiguration weiterhin 192.168.200.0/24.

So wie es aussieht hat das aber noch keiner gemacht. In meiner Testumgebung ist nichts gekracht (trotz überschneidender Netze (Hauptstandort /24)).
Ich will aber ungern der erste sein, der das Produktiv einsetzt...

Wenn also keiner Erfahrung mit meinem "Wunschszenario" gesammelt hat, gehe ich lieber auf den vorgeschlagenen, sauberen Weg und plane das Erstellen eines komplett eigenen Subnetzes mit einem Router als Verbindung.

Danke an alle

PS: Ich lasse den Beitrag noch ein paar Tage ungelöst, vielleicht kommt ja noch was.
brammer
brammer 17.05.2010 um 19:52:06 Uhr
Goto Top
Hallo,


Was ich mir vorstellen könnte, um dieses Problem zu umgehen, wäre folgende Definition:
Zweigstelle: 192.168.200.1 - 192.168.200.15
Hauptstandort: 192.168.200.16 - 192.168.200.255
Aber als Netzwerkkonfiguration weiterhin 192.168.200.0/24.


Ganz ehrlich?
Von IP Adressen hast du keine Ahnung!
Welche Netzwerkmaske soll ein IP Netz haben damit du Host von 192.168.200.16 -255 adressieren kannst?

Mache es dir einfach nimm zwei komplett unabhänige Netze, ein sauberes Routing und das Ding hast du morgen vor der Frühstückspause sauber umgesetzt!
Alles andere wäre Stümperei.
Deine existierende Domäne bleibt bei 192.68.200.0/24 und dein neuer Standort bekommt ein 10.27.32.240/28
Dadruch umgehst du vor allen Probleme beim Routing und kannst dir das NAT einsparen.
Wenn du die Domänen mit einem VPN Tunnel verbinden willst und auf beiden Seiten die selben Adressen verwendest hast du die Herausforderung auf mindestens einer Seite ein NAT machen zu müssen.
Wenn du in der ersten Domäne einen Server mit der Adresse 192.168.200.3 hast und ein Client in der anderen Domäne dieselbe IP hat, wohin gehen die Pakete dann?
Wenn du Glück bekommen beide Teilnehmer genau die hälfte der Pakete, vermutlich bekommt aber der Server die Pakete des Clients und umgekehrt.
Zwei Getrennte Netze, einen Site-to-Site Tunnel und gut ist!

Tausend mal getestet und in die Praxis umgesetzt .

brammer
kbudde
kbudde 18.05.2010 um 08:39:16 Uhr
Goto Top
Harte Worte brammer,

Ich habe durchaus verstanden, dass es einen erprobten Weg gibt.

Den werde ich wohl auch einschlagen müssen.

Warum ich mich aber so dagegen wehre ist,
  • meine beiden Standorte sind transparent verbunden.
      • Den Aufwand mit Routing, NAT, VPN, etc. brauche ich nicht zu betreiben.
      • z.B. ARP Requests gehen auch in die Backupumgebung
      • Ich habe den "Luxus" beide Standorte wie einen betreiben zu können
  • Die laufende Firewall in der Backupumgebung:
      • bietet auch Dienste des Haupstandortes an (redundater Pfad)
      • Kann leider nicht mit mehr als einem internen Netz umgehen und Routen mag sie auch nicht (Nicht ohne Extralizenz ;))
      • gehört schon längst durch eine neue ersetzt. Das ist jedoch erst für Ende des Jahres geplant (zusammen mit dem Hauptstandotrt und der Firewall)
      • ist mein größtes Sorgenkind.

Das sind alles lösbare Probleme, aber Probleme ;)

Eine Definition wie
Backup: 192.168.200.0/28
Haupstandort "192.168.200.16/28 192.168.200.32/28 .. 192.168.200.240/28" oder geschickter mit "192.168.200.128/25 192.168.200.64/26 192.168.200.32/27 192.168.200.16/28"
Ist schon gefuscht, sollte aber unterstützt werden, da mehrere Subnets einer Domäne zugeteilt werden dürfen.

Ich will diese Konfiguration nicht!
192.168.200.0/24 und 192.168.200.0/28 wäre toll gewesen. Es scheint aber nicht zu gehen bzw. von niemanden so gemacht zu werden.

Ich beiße in den sauren Apfel und mache mich an die Planung für ein neues Subnet.
Danke für die Antworten (auch wenn ich was anderes hören wollte ;)) Es hat mir sehr geholfen.

*gelöst*