Benötige man ein zweite Domäne für das Client-Netzwerk neben der Domäne im Management-Netzwerk für den HCI-Cluster?

hallo zusammen,
ich suche nach einer Erklärung zur korrekten Vorgehensweise bei einem HCI Cluster (Windows Server 2019) mit zwei Knoten bei der Verwendung einer Domäne für das Client-Netzwerk. Bei einem HCI Cluster treten normalerweise die beiden Knoten über das Managementnetzwerk doch einer Domäne bei, um den kompletten Funktionsumfang der Möglichkeiten zu erlagen (z.B. Livemigration). Da das Client-Netzwerk normalerweise keinen Zugriff auf das Management-Netzwerk haben soll, stellt sich mir die Frage, ob man für die virtuellen Maschinen eine unabhängige Domäne erstellen soll und zwar in einer unabhängigen Gesamtstruktur (Forest) ohne Vertrauensstellung zur Domäne, welche für den Cluster zuständig ist. Kann diese Domäne nur auf den Clusterknoten angelegt werden oder soll auch hier der Domänencontroller auf einem physischen Computer installiert werden wie beim Cluster. Die Antwort wäre für mich wirklich wichtig, da ich in keinem meiner Bücher oder im Internet eine Antwort zur üblichen Vorgehensweise gefunden habe. Falls hier eine andere Herangehensweise üblich ist, bitte ich mir diese zu erläutern, da ich gerne auf die Erstellung einer zweiten Domäne zur Verwaltung der virtuellen Server, Personal Computer und Benutzer verzichten würde.

Über eine positive Antwort würde ich mich sehr freuen.

Viele Grüße

Hermann

Content-Key: 666851

Url: https://administrator.de/contentid/666851

Ausgedruckt am: 17.06.2021 um 18:06 Uhr

Mitglied: Tezzla
Lösung Tezzla vor 29 Tagen
Ja, wir machen das bspw. mit einer zweiten Domäne mit seperatem DC für genau solche Konstrukte. Wenn man die Mgmt Maschinen schon abkapselt, dann so. Wenn du einen entsprechenden Backupserver hast und die Clusternodes mit diesem im selben Netz stehen, könnte man diesen als Host für deinen DC nutzen. Oder halt Blech.

Du kannst natürlich auch mit einem DC im Managementnetz als 2. Standort deiner Userdomäne arbeiten und über ACLs das ganze absichern.
Mitglied: GrueneSosseMitSpeck
Lösung GrueneSosseMitSpeck aktualisiert vor 29 Tagen
Also... aus meiner eigenen Cluster-Praxis kann ich dir folgendes sagen:

- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
- Clusterknoten sind IMMER Domänenmitglieder.
- Seit 2016 dürfen die Quorum und Witness Laufwerke reguläre oder DFS shares sein, man muß dann nicht mehr umständlich gemeinsam genutzte Laufwerke über zusätzliche virtuelle SAS Adapter und "independent - Thick provisioned" Disks basteln.

Das DC Konzept von Microsoft ist vom Prinzip her auch ein lose gekoppelter Cluster :-) face-smile darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der Objektdatenbank

Auch gibts seit Server 2000 das Konzept der OUs im AD, und seit Windows 2003 den Forest - mehrere Domänen parallel betreibt heute fast niemand mehr wenn sich das irgendwie vermeiden läßt.
Mitglied: Th0mKa
Lösung Th0mKa vor 29 Tagen
Zitat von @GrueneSosseMitSpeck:
- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
Kann man machen, muß man aber nicht. Die Clusterkommunikation erfolgt sowieso über alle Cluster enabled Interfaces.
- Clusterknoten sind IMMER Domänenmitglieder.
Das ist falsch, es gibt auch Workgroup Cluster die sich mit Zertifikaten authentifizieren.
- Seit 2016 dürfen die Quorum und Witness Laufwerke reguläre oder DFS shares sein, man muß dann nicht mehr umständlich gemeinsam genutzte Laufwerke über zusätzliche virtuelle SAS Adapter und "independent - Thick provisioned" Disks basteln.
Bitte niemals nicht DFS Shares für das Witness verwenden, das ist eine nicht supportete Konfiguration. Seit Server 2019 wird das bei der Konfiguration sogar aktiv unterbunden.
Das DC Konzept von Microsoft ist vom Prinzip her auch ein lose gekoppelter Cluster :-) face-smile darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der Objektdatenbank

Die Domaincontroller sind Datenbankserver mit Multimaster Replikation, DHCP und DNS sind vom DC unabhängige Rollen.

/Thomas
Mitglied: Abaelard
Abaelard vor 29 Tagen
Herzlichen Dank an alle Beteiligten für die Beantwortung meiner Fragen. Falls ich es soweit richtig verstanden habe, würde ich eine Domäne für das Managementnetzwerk und eine weitere absolut unabhängige Domäne für das Produktivnetzwerk (Clients: Fileserver, Mailserver, PCs usw.) einrichten. Was ich noch nicht wirklich verstanden habe, ist der Umstand, ob beim Produktivnetz wirklich etwas dagegenspricht, den primären DC als VM auf einen der Nodes des Clusters zu installieren. Der separate physische Server außerhalb des Clusters wäre als primärer DC für die Domäne des Clusters gedacht und somit eigentlich in das Managementnetzwerk eingebunden. Die Aussage mit dem Backupserver bzw. mit dem Blech habe ich noch nicht ganz begriffen, da ich beides als physische Computer interpretiere. Ferner klingt das „könnte“ für mich nach muss nicht sein. Über eine weitere Antwort zu diesem Gesichtspunkt, ob man den DC für das Produktivnetz getrost als VM auf den Cluster legen darf, würde ich mich ehrlich freuen - danke.
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 23 StundenInformationAdministrator.de Feedback55 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 23 StundenTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 11 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...