4
Benötige man ein zweite Domäne für das Client-Netzwerk neben der Domäne im Management-Netzwerk für den HCI-Cluster?
hallo zusammen,
ich suche nach einer Erklärung zur korrekten Vorgehensweise bei einem HCI Cluster (Windows Server 2019) mit zwei Knoten bei der Verwendung einer Domäne für das Client-Netzwerk. Bei einem HCI Cluster treten normalerweise die beiden Knoten über das Managementnetzwerk doch einer Domäne bei, um den kompletten Funktionsumfang der Möglichkeiten zu erlagen (z.B. Livemigration). Da das Client-Netzwerk normalerweise keinen Zugriff auf das Management-Netzwerk haben soll, stellt sich mir die Frage, ob man für die virtuellen Maschinen eine unabhängige Domäne erstellen soll und zwar in einer unabhängigen Gesamtstruktur (Forest) ohne Vertrauensstellung zur Domäne, welche für den Cluster zuständig ist. Kann diese Domäne nur auf den Clusterknoten angelegt werden oder soll auch hier der Domänencontroller auf einem physischen Computer installiert werden wie beim Cluster. Die Antwort wäre für mich wirklich wichtig, da ich in keinem meiner Bücher oder im Internet eine Antwort zur üblichen Vorgehensweise gefunden habe. Falls hier eine andere Herangehensweise üblich ist, bitte ich mir diese zu erläutern, da ich gerne auf die Erstellung einer zweiten Domäne zur Verwaltung der virtuellen Server, Personal Computer und Benutzer verzichten würde.
Über eine positive Antwort würde ich mich sehr freuen.
Viele Grüße
Hermann
ich suche nach einer Erklärung zur korrekten Vorgehensweise bei einem HCI Cluster (Windows Server 2019) mit zwei Knoten bei der Verwendung einer Domäne für das Client-Netzwerk. Bei einem HCI Cluster treten normalerweise die beiden Knoten über das Managementnetzwerk doch einer Domäne bei, um den kompletten Funktionsumfang der Möglichkeiten zu erlagen (z.B. Livemigration). Da das Client-Netzwerk normalerweise keinen Zugriff auf das Management-Netzwerk haben soll, stellt sich mir die Frage, ob man für die virtuellen Maschinen eine unabhängige Domäne erstellen soll und zwar in einer unabhängigen Gesamtstruktur (Forest) ohne Vertrauensstellung zur Domäne, welche für den Cluster zuständig ist. Kann diese Domäne nur auf den Clusterknoten angelegt werden oder soll auch hier der Domänencontroller auf einem physischen Computer installiert werden wie beim Cluster. Die Antwort wäre für mich wirklich wichtig, da ich in keinem meiner Bücher oder im Internet eine Antwort zur üblichen Vorgehensweise gefunden habe. Falls hier eine andere Herangehensweise üblich ist, bitte ich mir diese zu erläutern, da ich gerne auf die Erstellung einer zweiten Domäne zur Verwaltung der virtuellen Server, Personal Computer und Benutzer verzichten würde.
Über eine positive Antwort würde ich mich sehr freuen.
Viele Grüße
Hermann
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666851
Url: https://administrator.de/forum/benoetige-man-ein-zweite-domaene-fuer-das-client-netzwerk-neben-der-domaene-im-management-netzwerk-fuer-den-666851.html
Ausgedruckt am: 05.04.2025 um 04:04 Uhr
4 Kommentare
Neuester Kommentar
Ja, wir machen das bspw. mit einer zweiten Domäne mit seperatem DC für genau solche Konstrukte. Wenn man die Mgmt Maschinen schon abkapselt, dann so. Wenn du einen entsprechenden Backupserver hast und die Clusternodes mit diesem im selben Netz stehen, könnte man diesen als Host für deinen DC nutzen. Oder halt Blech.
Du kannst natürlich auch mit einem DC im Managementnetz als 2. Standort deiner Userdomäne arbeiten und über ACLs das ganze absichern.
Du kannst natürlich auch mit einem DC im Managementnetz als 2. Standort deiner Userdomäne arbeiten und über ACLs das ganze absichern.
Also... aus meiner eigenen Cluster-Praxis kann ich dir folgendes sagen:
- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
- Clusterknoten sind IMMER Domänenmitglieder.
- Seit 2016 dürfen die Quorum und Witness Laufwerke reguläre oder DFS shares sein, man muß dann nicht mehr umständlich gemeinsam genutzte Laufwerke über zusätzliche virtuelle SAS Adapter und "independent - Thick provisioned" Disks basteln.
Das DC Konzept von Microsoft ist vom Prinzip her auch ein lose gekoppelter Cluster
darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der Objektdatenbank
Auch gibts seit Server 2000 das Konzept der OUs im AD, und seit Windows 2003 den Forest - mehrere Domänen parallel betreibt heute fast niemand mehr wenn sich das irgendwie vermeiden läßt.
- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
- Clusterknoten sind IMMER Domänenmitglieder.
- Seit 2016 dürfen die Quorum und Witness Laufwerke reguläre oder DFS shares sein, man muß dann nicht mehr umständlich gemeinsam genutzte Laufwerke über zusätzliche virtuelle SAS Adapter und "independent - Thick provisioned" Disks basteln.
Das DC Konzept von Microsoft ist vom Prinzip her auch ein lose gekoppelter Cluster
darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der ObjektdatenbankAuch gibts seit Server 2000 das Konzept der OUs im AD, und seit Windows 2003 den Forest - mehrere Domänen parallel betreibt heute fast niemand mehr wenn sich das irgendwie vermeiden läßt.
Zitat von @GrueneSosseMitSpeck:
- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
Kann man machen, muß man aber nicht. Die Clusterkommunikation erfolgt sowieso über alle Cluster enabled Interfaces.- wer einen Cluster einrichtet muß bzw sollte dafür separate Netzadapter haben, das Management Netz hat keinerlei Beziehung zum Prod Netz. Steht jedenfalls in allen Whitepapers von MS drin
- Clusterknoten sind IMMER Domänenmitglieder.
Das ist falsch, es gibt auch Workgroup Cluster die sich mit Zertifikaten authentifizieren.- Seit 2016 dürfen die Quorum und Witness Laufwerke reguläre oder DFS shares sein, man muß dann nicht mehr umständlich gemeinsam genutzte Laufwerke über zusätzliche virtuelle SAS Adapter und "independent - Thick provisioned" Disks basteln.
Bitte niemals nicht DFS Shares für das Witness verwenden, das ist eine nicht supportete Konfiguration. Seit Server 2019 wird das bei der Konfiguration sogar aktiv unterbunden.Das DC Konzept von Microsoft ist vom Prinzip her auch ein lose gekoppelter Cluster darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der Objektdatenbank
darf aber nicht mit den MS Clusterdiensten kombiniert werden, da Domänencontroller das untereinander anders ausmachen, wer z.B. gerade der DHCP / DNS Server ist oder Master des Sysvol bzw der ObjektdatenbankDie Domaincontroller sind Datenbankserver mit Multimaster Replikation, DHCP und DNS sind vom DC unabhängige Rollen.
/Thomas
Herzlichen Dank an alle Beteiligten für die Beantwortung meiner Fragen. Falls ich es soweit richtig verstanden habe, würde ich eine Domäne für das Managementnetzwerk und eine weitere absolut unabhängige Domäne für das Produktivnetzwerk (Clients: Fileserver, Mailserver, PCs usw.) einrichten. Was ich noch nicht wirklich verstanden habe, ist der Umstand, ob beim Produktivnetz wirklich etwas dagegenspricht, den primären DC als VM auf einen der Nodes des Clusters zu installieren. Der separate physische Server außerhalb des Clusters wäre als primärer DC für die Domäne des Clusters gedacht und somit eigentlich in das Managementnetzwerk eingebunden. Die Aussage mit dem Backupserver bzw. mit dem Blech habe ich noch nicht ganz begriffen, da ich beides als physische Computer interpretiere. Ferner klingt das „könnte“ für mich nach muss nicht sein. Über eine weitere Antwort zu diesem Gesichtspunkt, ob man den DC für das Produktivnetz getrost als VM auf den Cluster legen darf, würde ich mich ehrlich freuen - danke.
