10
Domänencontroller für zwei Standorte
Hallo zusammen,
momentan habe ich folgende Situation:
- Standort A: Netz 172.22.0.0/16
- Standort B: Netz 172.23.0.0/16
Am Standort A befindet sich ein "richtiger Server" (Proxmox-Host) - Darauf ist u.A. ein Windows Server 2008 R2 (Domänencontroller, DNS, DHCP) und eine Sophos UTM (virtuell) installiert.
Über die Sophos UTM wird die Netzkopplung (Site-to-Site-VPN) zwischen dem Standort A und Standort B bereitgestellt.
Am Standort B (neuer Standort) habe ich nur einen kleinen Server (auch Proxmox-Host), auf dem momentan nur die Sophos UTM installiert ist. DHCP & DNS macht dort die Sophos-Firewall. Die Verbindung zwischen den beiden Standorten erfolgt über DSL mit einer Übertragungsgeschwindigkeit von ca. 6 MBit/s.
Da ich nun am Standort B auch zwei Windows 7-Clients in die vorhandene Domäne einbinden will, frage ich nun, wie ich das am Besten lösen könnte bzw. was es für Ansätze gibt.
Spontan fällt mir hier ein:
- 2. Domänencontroller am Standort B (als Replikat)
- DNS-Forwarder von der Firewall am B-Standort zu dem Windows Server 2008 R2 am Standort A (dann müssten die Clients die Domäne finden, oder?)
Danke schon mal für Eure Vorschläge!
VG
Frank
momentan habe ich folgende Situation:
- Standort A: Netz 172.22.0.0/16
- Standort B: Netz 172.23.0.0/16
Am Standort A befindet sich ein "richtiger Server" (Proxmox-Host) - Darauf ist u.A. ein Windows Server 2008 R2 (Domänencontroller, DNS, DHCP) und eine Sophos UTM (virtuell) installiert.
Über die Sophos UTM wird die Netzkopplung (Site-to-Site-VPN) zwischen dem Standort A und Standort B bereitgestellt.
Am Standort B (neuer Standort) habe ich nur einen kleinen Server (auch Proxmox-Host), auf dem momentan nur die Sophos UTM installiert ist. DHCP & DNS macht dort die Sophos-Firewall. Die Verbindung zwischen den beiden Standorten erfolgt über DSL mit einer Übertragungsgeschwindigkeit von ca. 6 MBit/s.
Da ich nun am Standort B auch zwei Windows 7-Clients in die vorhandene Domäne einbinden will, frage ich nun, wie ich das am Besten lösen könnte bzw. was es für Ansätze gibt.
Spontan fällt mir hier ein:
- 2. Domänencontroller am Standort B (als Replikat)
- DNS-Forwarder von der Firewall am B-Standort zu dem Windows Server 2008 R2 am Standort A (dann müssten die Clients die Domäne finden, oder?)
Danke schon mal für Eure Vorschläge!
VG
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 343047
Url: https://administrator.de/contentid/343047
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
du hast es richtig erfasst.
Gruß
PS: Ja ein zweiter DC macht Sinn...
du hast es richtig erfasst.
Gruß
PS: Ja ein zweiter DC macht Sinn...
Hi,
E.
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.E.
Zitat von @emeriks:
Hi,
E.
sag ich dochHi,
PS: Ja ein zweiter DC macht Sinn...
Na ja, wegen der 2 PC sicher nicht. Aber man sollte sowieso min. 2 DC pro Domänen haben. Und da würde sich das dann u.U. anbieten.E.
Hallo zusammen,
okay, das klingt schon mal recht eindeutig
Das mit dem 2. DC (als Replikation) hatte ich mir eigentlich für den Standort A überlegt, da ich dort einen "richtigen Server" habe. Am Standort B habe ich nur eine Krücke (HP MicroServer). Da müsste ich erstmal RAM usw. aufrüsten..
Würde das denn gehen, wenn ich zwei DC's am Standort A habe und in der Firewall am Standort B das DNS-Forwarding auf den 1. DC am Standort A zeigen lasse?
PS: Die Nutzerdaten (Home-Shares, servergesp. Profile) würde ich am Standort lokal belassen - ich habe am Standort A einen Linux-Samba-Server mit winbind und SW-Raid am laufen, das habe ich für Standort B auch vor (braucht einfach wenig Ressourcen).
VG
okay, das klingt schon mal recht eindeutig
Das mit dem 2. DC (als Replikation) hatte ich mir eigentlich für den Standort A überlegt, da ich dort einen "richtigen Server" habe. Am Standort B habe ich nur eine Krücke (HP MicroServer). Da müsste ich erstmal RAM usw. aufrüsten..
Würde das denn gehen, wenn ich zwei DC's am Standort A habe und in der Firewall am Standort B das DNS-Forwarding auf den 1. DC am Standort A zeigen lasse?
PS: Die Nutzerdaten (Home-Shares, servergesp. Profile) würde ich am Standort lokal belassen - ich habe am Standort A einen Linux-Samba-Server mit winbind und SW-Raid am laufen, das habe ich für Standort B auch vor (braucht einfach wenig Ressourcen).
VG
Das würde ohne weiters so gehen.
Das klingt gut - mehr als das DNS-Forwarding muss ich ja am Standort B soweit nicht einrichten, oder?
Die Clients finden ja den DC über DNS, soweit ich richtig informiert bin..
Die Netze sind komplett gegeneinander freigeschaltet, das hab ich auch schon getestet.
VG
Frank
jep.
Also - kurz und knapp - es funktioniert!
Danke noch mal @all!
Im Detail habe ich letzendlich DNS-Forwarding nutzen müssen, da der kleine Server am Standort B nicht in der Lage war, Windows Server 2008 R2 zu hosten.
Im ActiveDirectory habe ich es wie folgt umgesetzt:
- Verschiedene Anmeldescripte (entweder User in A oder B)
- im AD arbeite ich mit verschiedenen Organisationseinheiten, denen unterschiedliche Gruppenrichtlinien zugewiesen sind - so kann ich die servergespeicherten Profile am jeweiligen Standort belassen.
Sollte sich doch ein User mal am jeweils anderen Standort anmelden, ist das auch kein Problem - das servergesp. Profil wird dann über die Netzkopplung vom anderen Standort geladen (dauert halt nur..)
VG
Frank
Danke noch mal @all!
Im Detail habe ich letzendlich DNS-Forwarding nutzen müssen, da der kleine Server am Standort B nicht in der Lage war, Windows Server 2008 R2 zu hosten.
Im ActiveDirectory habe ich es wie folgt umgesetzt:
- Verschiedene Anmeldescripte (entweder User in A oder B)
- im AD arbeite ich mit verschiedenen Organisationseinheiten, denen unterschiedliche Gruppenrichtlinien zugewiesen sind - so kann ich die servergespeicherten Profile am jeweiligen Standort belassen.
Sollte sich doch ein User mal am jeweils anderen Standort anmelden, ist das auch kein Problem - das servergesp. Profil wird dann über die Netzkopplung vom anderen Standort geladen (dauert halt nur..)
VG
Frank
