6
Einstieg in DFS an 2 Standorten
Hallo zusammen,
aktuell habe ich folgendes Szenario:
Standort A (SDSL 4000):
dc01.firma.local - Win 2003 SBS
dc02.firma.local - Win 2003 Standart
Standort B (ADSL 6000):
dc03.firma.local - Win 2003 Standart
Alle 3 DC sind DNS und WINS Server der Domäne firma.local. Exchange läuft nur auf dem SBS.
Die beiden Standorte sind mit einem VPN Tunnel verbunden.
Da nun immer mehr Mitarbeiter zwischen den Standorten wechseln und die Leitung an Standort B nicht erhöht werden kann, möchte ich gerne unsere Freigaben und die Roaming profile mittels DFS zwischen den Standorten synchronisieren.
Leider habe ich mit DFS sehr wenig Erfahrung und im Internet nur sehr grundlegende Tutorials gefunden. In meiner Literatur wurde ich leider auch nicht wirklich fündig. Die Forensuche hat mir schon einige Fragen beantwortet.
Auf dc01 habe ich für die insgesamt 4 Freigaben je einen DFS Stamm, in die Domäne integriert, angelegt. Testweise habe ich nun dc02 als weiteres Ziel zu einem Stamm hinzugefügt und als Topologie für die Replikation Full-Mesh gewählt.
Wie gehe ich am Besten vor?
Habe ich auf beiden Servern leere Ordner und kopiere die Daten über einen Clienten in den Stamm oder habe die Daten auf einem Server und füge auf dem 2. nur einen leeren Ordner hinzu. Letztere Variante habe ich gewählt, aber die Synchronisation erscheint mir sehr langsam und in manchen Fällen unvollständig (?).
In welchen Abständen synchroniserien sich die Server eigentlich? Oder wird gleich nach einer Speicherung die synchronisierung der entsprechenden Datei angestoßen? Werden Zugriffsrechte auf Dateien und Ordner mitsynchronisiert? (sollten oder?) Habe als Zeitraum 24/7 gewählt.
Kann es passieren, dass 2 User an verschiedenen standorten die gleiche Datei öffnen? Oder ist es wird, wie bei "normalen" Freigaben eine Speere auf die Datei gelegt? (z.b. Schreibschutz bei Excel Dateien).
Wie stelle ich eigentlich sicher, dass User am Standort B wirklich nur auf die Daten am Standort B zugreifen. Und sich nicht eine große Excel Tabelle über den VPn Tunnel von dc01 am standort A holen.Nach welchen Kriterien, werden die server eigentlich ausgewählt? Latenz? Last? Lassen sich hier benutzerdefinierte Eigenschaften festlegen?
Was mir gerade einfällt: Erlaubt der SBS 2003 neben weiteren DCs auch weitere Exchange Server? Konkret denke ich in unserem Fall an einen Server in Standort B (->Cluster).
Fragen über Fragen... Ich hoffe, es war nicht zu verwirrend
Vielen Dank für eure Antworten
Gruß Stinger
aktuell habe ich folgendes Szenario:
Standort A (SDSL 4000):
dc01.firma.local - Win 2003 SBS
dc02.firma.local - Win 2003 Standart
Standort B (ADSL 6000):
dc03.firma.local - Win 2003 Standart
Alle 3 DC sind DNS und WINS Server der Domäne firma.local. Exchange läuft nur auf dem SBS.
Die beiden Standorte sind mit einem VPN Tunnel verbunden.
Da nun immer mehr Mitarbeiter zwischen den Standorten wechseln und die Leitung an Standort B nicht erhöht werden kann, möchte ich gerne unsere Freigaben und die Roaming profile mittels DFS zwischen den Standorten synchronisieren.
Leider habe ich mit DFS sehr wenig Erfahrung und im Internet nur sehr grundlegende Tutorials gefunden. In meiner Literatur wurde ich leider auch nicht wirklich fündig. Die Forensuche hat mir schon einige Fragen beantwortet.
Auf dc01 habe ich für die insgesamt 4 Freigaben je einen DFS Stamm, in die Domäne integriert, angelegt. Testweise habe ich nun dc02 als weiteres Ziel zu einem Stamm hinzugefügt und als Topologie für die Replikation Full-Mesh gewählt.
Wie gehe ich am Besten vor?
Habe ich auf beiden Servern leere Ordner und kopiere die Daten über einen Clienten in den Stamm oder habe die Daten auf einem Server und füge auf dem 2. nur einen leeren Ordner hinzu. Letztere Variante habe ich gewählt, aber die Synchronisation erscheint mir sehr langsam und in manchen Fällen unvollständig (?).
In welchen Abständen synchroniserien sich die Server eigentlich? Oder wird gleich nach einer Speicherung die synchronisierung der entsprechenden Datei angestoßen? Werden Zugriffsrechte auf Dateien und Ordner mitsynchronisiert? (sollten oder?) Habe als Zeitraum 24/7 gewählt.
Kann es passieren, dass 2 User an verschiedenen standorten die gleiche Datei öffnen? Oder ist es wird, wie bei "normalen" Freigaben eine Speere auf die Datei gelegt? (z.b. Schreibschutz bei Excel Dateien).
Wie stelle ich eigentlich sicher, dass User am Standort B wirklich nur auf die Daten am Standort B zugreifen. Und sich nicht eine große Excel Tabelle über den VPn Tunnel von dc01 am standort A holen.Nach welchen Kriterien, werden die server eigentlich ausgewählt? Latenz? Last? Lassen sich hier benutzerdefinierte Eigenschaften festlegen?
Was mir gerade einfällt: Erlaubt der SBS 2003 neben weiteren DCs auch weitere Exchange Server? Konkret denke ich in unserem Fall an einen Server in Standort B (->Cluster).
Fragen über Fragen... Ich hoffe, es war nicht zu verwirrend
Vielen Dank für eure Antworten
Gruß Stinger
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133593
Url: https://administrator.de/contentid/133593
Ausgedruckt am: 15.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Kann es passieren, dass 2 User an verschiedenen standorten die gleiche Datei öffnen?
ja. wer zuletzt speichert, speichert. Die vorangegangene Kopie geht verloren. Wenn Du aber die ~tmp Dateien aus dem Replikationsfilter entfernst, und auf ein etwas schnelles DFS hoffst, kannst Du das ggf. verhindern, zumindest solange, wie die Replikation die Lock-Datei schneller kopiert als der zweite User die gleiche Datei öffnet. Zugegeben, kein sicheres Szenario, aber es kann unter den richtigen Umständen helfen.Wie stelle ich eigentlich sicher, dass User am Standort B wirklich nur auf die Daten am Standort B zugreifen.
Nach welchen Kriterien, werden die server eigentlich ausgewählt?
Durch das Subnet in AD Standorte (solltest richtig konfigurieren!)Erlaubt der SBS 2003 neben weiteren DCs auch weitere Exchange Server?
neinKonkret denke ich in unserem Fall an einen Server in Standort B (->Cluster)
das ist kein Cluster!Wie gehe ich am Besten vor?
lesen...:http://technet.microsoft.com/en-us/library/cc786269%28WS.10%29.aspx
aber, hm, auch das beantwortet nicht immer alle Fragen, wie ich selbst feststellen darf - siehe meine aktuelle Frage hierzu
vg
tc
Hallo Stinger,
dein VPN-Netz ist für DFS ausreichend, solange du nicht andere Bandreitenintensive Dienste über den Tunnel schickst.
1. Grundlagen DFS Namespaces
Das DFS selbst ist ein Namespace basierendes Dateisystem, das mehrere Ressourcen auf verschiedenen Servern an mehreren Standorten zusammenfasst. Die eigentliche Freigabe des DFS nennt man Stammfreigabe oder DFS Root. Innerhalb dieser Wurzel werden dann Ordner erstellt, die entweder weitere virtuelle Ordner enthalten oder aus ein oder mehrere Ziele (Freigaben) an anderen Servern verweisen. Dabei ist es möglich, einen Client auf das jeweils nächste Ziel eines DFS-Ordners weiterzuleiten. Der Stamm selbst wird (bei AD-Basierenden Stämmen) von ein oder mehreren Hostservern bereitgestellt. In einer Domäne verbindet sich der Client automatisch mit dem jeweils am nächst gelegenem Stammserver.
Dank dieser Flexibilität lassen sich DFS-Hirachien konstruieren, die ein automatisieres und dynamisches, Standortbasierendes Basislaufwerk für Netzwerkbenutzer bereitstellen.
Gibt es z.B. an jedem deiner 3 Standorte einen DFS-Host für den Namespace "meinstamm", innerhalb dieses Stamms einen virtuellen Ordner "Profile" welcher über 3 Ziele an 3 Standorten verfügt, wird ein Benutzer jeweils mit dem nächstem Profilserver verbunbden. Dies funktioniert wunderbar (ich rede noch nicht von Replikation) um Benutzern, die an mehreren Standorten verschiedene Profile benötigen, auf basis des "Network Default" Profiles schnell einen Profilpfad automatisiert bereitzustellen OHNE im Benutzerobjekt etwas ändern zu müssen.
2. DFS-R
Die Dateisystemreplikation kann verwendet werden, um mehrere Ordner über Standorte hinweg zu Synchronisieren. Dabei werden dateien nicht einfach nur kopiert, sondern bei Änderungen nur die tatsächlich geänderten Blöcke übertragen. DFSR verwendet eigene, von der AD-Replikation (ntfrs) unabhängige Verbindungsobjekte, auf welche du eigene Zeit und Bandbreitenpläne konfigurieren kannst und solltest. Eine Faustregel besagt, das du nie mehr als 75% der verfügbaren Bandbreite einer Physischen Verbindung verwenden solltest.
DFSR arbeitet direkt auf Blockebene des Dateisystems und verwendet das NTFS Änderungsjournal um geänderte, zu replizierende Dateien zu finden. Ist eine Datei gelockt (z.B. über CIFS(Netzlaufwerk)), wartet der Dienst mit der Replikation dieser Datei bis zur aufhebung der Sperre.
DFSR unterstützt mehrere Topologien und ist sehr Flexiebel auf die Bedürfnisse konfigurierbar. Du kannst reine One-Way Topologien, Stern oder Full-Mesh erstellen. Je nach Einsatzzweck. Es lassen sich beispielweise Vorlagen von einem zentralem Verteilungspunkt an mehrere Fileserver verteilen, Daten zur Sicherung von mehreren Fileservern an einen zentralen Punkt replizieren oder Standortübergreifende Arbeitsordner realisieren. Bei letzterem muss folgendes beachtet werden:
Oplocks sind ein Feature des Dateiservers und werden NICHT repliziert. Es ist also möglich, das Benutzer an 2 Standorten Dateien zeitgleich schreibend öffnen. Hier muss ein klares Konzept erarbeitet werden. Ich verwende hier eine Arbeitsanweisung, das Benutzer Dateien vor dem Bearbeiten mut einem Kürzel versehen müssen. DFSR Repliziert Dateisystembefehle wie Umbenennen oder Löschen extrem schnell. So weiß jeder an einem anderem Standort das Benutzer xy diese Datei in Bearbeitung hat. Sollte es dennoch zu überschneidungen kommen, gewinnt der letzte Schreibvorgang. Die "ältere" Version der Datei wird dann im Konfliktordner abgelegt, sofern aktiviert. Übrigens, bei reinen Verteilungs oder Sicherungsordnern sollte diese Funktion deaktiviert werden, da der Konfliktordner bei größeren replizierten Ordnern sehr schnell sehr groß werden kann.
Verknüpfst du im DFS Namespace einen DFSR Replizierten Ordnern mit allen Servern, auf dem das Replikat liegt, wird der Benutzer, je nachdem an welchem Standort er sich befindet, mit dem nächstem verfügbarem Replikat verbunden. Ohne interaktion des Anwenders. Für Profile, die über Standorte hinweg genutzt bwerden sollen ideal, da ein gleichzeitiger Zugriff unwarscheinlich ist (Ein Benutzer kann schlecht gleichzeitig an 2 Standorten sein).
Beachte die Hinweise zu gleichzeitigen Zugriffen und plane dein DFS sorgfältig, dann hast du ruhe. Unsaber geplant und ohne Hinweise für die Benutzer ist DFS der Horror eines jeden Admins.
Noch Fragen? Immer her damit
PS: Ich Repliziere mehrere Terrabyte mit DFSR über 2MBit Leitungen. Solange sich jeder an die Regeln hält ist alles wunderbar. Falls nicht, helfen Schattenkopien um versehentlich überschriebene Dateien wiederherzustellen.
dein VPN-Netz ist für DFS ausreichend, solange du nicht andere Bandreitenintensive Dienste über den Tunnel schickst.
1. Grundlagen DFS Namespaces
Das DFS selbst ist ein Namespace basierendes Dateisystem, das mehrere Ressourcen auf verschiedenen Servern an mehreren Standorten zusammenfasst. Die eigentliche Freigabe des DFS nennt man Stammfreigabe oder DFS Root. Innerhalb dieser Wurzel werden dann Ordner erstellt, die entweder weitere virtuelle Ordner enthalten oder aus ein oder mehrere Ziele (Freigaben) an anderen Servern verweisen. Dabei ist es möglich, einen Client auf das jeweils nächste Ziel eines DFS-Ordners weiterzuleiten. Der Stamm selbst wird (bei AD-Basierenden Stämmen) von ein oder mehreren Hostservern bereitgestellt. In einer Domäne verbindet sich der Client automatisch mit dem jeweils am nächst gelegenem Stammserver.
Dank dieser Flexibilität lassen sich DFS-Hirachien konstruieren, die ein automatisieres und dynamisches, Standortbasierendes Basislaufwerk für Netzwerkbenutzer bereitstellen.
Gibt es z.B. an jedem deiner 3 Standorte einen DFS-Host für den Namespace "meinstamm", innerhalb dieses Stamms einen virtuellen Ordner "Profile" welcher über 3 Ziele an 3 Standorten verfügt, wird ein Benutzer jeweils mit dem nächstem Profilserver verbunbden. Dies funktioniert wunderbar (ich rede noch nicht von Replikation) um Benutzern, die an mehreren Standorten verschiedene Profile benötigen, auf basis des "Network Default" Profiles schnell einen Profilpfad automatisiert bereitzustellen OHNE im Benutzerobjekt etwas ändern zu müssen.
2. DFS-R
Die Dateisystemreplikation kann verwendet werden, um mehrere Ordner über Standorte hinweg zu Synchronisieren. Dabei werden dateien nicht einfach nur kopiert, sondern bei Änderungen nur die tatsächlich geänderten Blöcke übertragen. DFSR verwendet eigene, von der AD-Replikation (ntfrs) unabhängige Verbindungsobjekte, auf welche du eigene Zeit und Bandbreitenpläne konfigurieren kannst und solltest. Eine Faustregel besagt, das du nie mehr als 75% der verfügbaren Bandbreite einer Physischen Verbindung verwenden solltest.
DFSR arbeitet direkt auf Blockebene des Dateisystems und verwendet das NTFS Änderungsjournal um geänderte, zu replizierende Dateien zu finden. Ist eine Datei gelockt (z.B. über CIFS(Netzlaufwerk)), wartet der Dienst mit der Replikation dieser Datei bis zur aufhebung der Sperre.
DFSR unterstützt mehrere Topologien und ist sehr Flexiebel auf die Bedürfnisse konfigurierbar. Du kannst reine One-Way Topologien, Stern oder Full-Mesh erstellen. Je nach Einsatzzweck. Es lassen sich beispielweise Vorlagen von einem zentralem Verteilungspunkt an mehrere Fileserver verteilen, Daten zur Sicherung von mehreren Fileservern an einen zentralen Punkt replizieren oder Standortübergreifende Arbeitsordner realisieren. Bei letzterem muss folgendes beachtet werden:
Oplocks sind ein Feature des Dateiservers und werden NICHT repliziert. Es ist also möglich, das Benutzer an 2 Standorten Dateien zeitgleich schreibend öffnen. Hier muss ein klares Konzept erarbeitet werden. Ich verwende hier eine Arbeitsanweisung, das Benutzer Dateien vor dem Bearbeiten mut einem Kürzel versehen müssen. DFSR Repliziert Dateisystembefehle wie Umbenennen oder Löschen extrem schnell. So weiß jeder an einem anderem Standort das Benutzer xy diese Datei in Bearbeitung hat. Sollte es dennoch zu überschneidungen kommen, gewinnt der letzte Schreibvorgang. Die "ältere" Version der Datei wird dann im Konfliktordner abgelegt, sofern aktiviert. Übrigens, bei reinen Verteilungs oder Sicherungsordnern sollte diese Funktion deaktiviert werden, da der Konfliktordner bei größeren replizierten Ordnern sehr schnell sehr groß werden kann.
Verknüpfst du im DFS Namespace einen DFSR Replizierten Ordnern mit allen Servern, auf dem das Replikat liegt, wird der Benutzer, je nachdem an welchem Standort er sich befindet, mit dem nächstem verfügbarem Replikat verbunden. Ohne interaktion des Anwenders. Für Profile, die über Standorte hinweg genutzt bwerden sollen ideal, da ein gleichzeitiger Zugriff unwarscheinlich ist (Ein Benutzer kann schlecht gleichzeitig an 2 Standorten sein).
Beachte die Hinweise zu gleichzeitigen Zugriffen und plane dein DFS sorgfältig, dann hast du ruhe. Unsaber geplant und ohne Hinweise für die Benutzer ist DFS der Horror eines jeden Admins.
Noch Fragen? Immer her damit
PS: Ich Repliziere mehrere Terrabyte mit DFSR über 2MBit Leitungen. Solange sich jeder an die Regeln hält ist alles wunderbar. Falls nicht, helfen Schattenkopien um versehentlich überschriebene Dateien wiederherzustellen.
Hey,
vielen Dank erstmal für die ausführlich Antwort. Ich bin schon einige Schritte weiter gekommen. Zur zeit steh ich vor dem Problem, dass die Zugriffberechtigungen nicht alle übertragen wurden (Sicherheit).
Ich synchronisiere es gerade manuell :/
Werden diese normalerweise denn übertragen? Sind doch eigentlich Feadtures des NTFS oder?
Die Replikation bei Umbennen, neu erstellten ordner oder auch beim löschen dieser klappt einwandfrei.
Ich habe gerade nur das Problem, dass der Datenbestand nicht gleich ist, da durch die Fehlenden Zugriffsrechte auch einige Ordner nicht kopiert wurden.
Gruß
EDIT:
nach hinzufügen der administratoren Gruppe unter Sicherheit, wurden alle andere Rechten "nachgeladen" und scheinbar auch repliziert. komisch... Ich warte mal etwas ab,m bis alles repliziert ist
vielen Dank erstmal für die ausführlich Antwort. Ich bin schon einige Schritte weiter gekommen. Zur zeit steh ich vor dem Problem, dass die Zugriffberechtigungen nicht alle übertragen wurden (Sicherheit).
Ich synchronisiere es gerade manuell :/
Werden diese normalerweise denn übertragen? Sind doch eigentlich Feadtures des NTFS oder?
Die Replikation bei Umbennen, neu erstellten ordner oder auch beim löschen dieser klappt einwandfrei.
Ich habe gerade nur das Problem, dass der Datenbestand nicht gleich ist, da durch die Fehlenden Zugriffsrechte auch einige Ordner nicht kopiert wurden.
Gruß
EDIT:
nach hinzufügen der administratoren Gruppe unter Sicherheit, wurden alle andere Rechten "nachgeladen" und scheinbar auch repliziert. komisch... Ich warte mal etwas ab,m bis alles repliziert ist
Werden diese normalerweise denn übertragen? Sind doch eigentlich Feadtures des NTFS oder?
NTFS Berechtigungen werden nicht übertragen, musst Du manuell pflegen...vg tc
Quatsch. Die NTFS-Berechtigungen werden, je nachdem wer der Master im DFSR-Satz ist, vom Master auf alle Replikate übertragen. Das kannst du beim einrichten eines Replizierten Ordners mit dem Button "Standardberechtigungen" explizit deaktivieren. Per Default ist es aber für neue replizierte Ordner aktiv.
Bitte beachten, die Rechte werden manchmal nicht gleich am Anfang repliziert. Ich persönlich erstelle meist immer zuerst den replizierten Ordner, warte die Erstsynchronisierung ab und setze dann auf dem Master die Dateisystemrechte.
/EDIT
Bei Full-Mesh Replikationsgruppen werden berechtigungen, egal wo diese Geändert werden, ebenfalls mit repliziert. Bitte beachten, du solltest die Berechtigungen nicht von übergeordneten Ordnern vererben. Mit Administratoren und "System" funktioniert das, allerdings machen andere Gruppen meist Probleme. Setze desshalb auf dem Übergeordneten Ordner des Replizierten Ordners maximal "Administratoren" und "System", dann auf dem Ordner selbst alle weiteren Gruppen. Diese werden dann Repliziert und auf allen Servern richtig angezeigt und angewandt.
Bitte beachten, die Rechte werden manchmal nicht gleich am Anfang repliziert. Ich persönlich erstelle meist immer zuerst den replizierten Ordner, warte die Erstsynchronisierung ab und setze dann auf dem Master die Dateisystemrechte.
/EDIT
Bei Full-Mesh Replikationsgruppen werden berechtigungen, egal wo diese Geändert werden, ebenfalls mit repliziert. Bitte beachten, du solltest die Berechtigungen nicht von übergeordneten Ordnern vererben. Mit Administratoren und "System" funktioniert das, allerdings machen andere Gruppen meist Probleme. Setze desshalb auf dem Übergeordneten Ordner des Replizierten Ordners maximal "Administratoren" und "System", dann auf dem Ordner selbst alle weiteren Gruppen. Diese werden dann Repliziert und auf allen Servern richtig angezeigt und angewandt.
Hallo zusammen,
wir haben das Problem mit Filecoop gelöst. Dabei werden die Daten der Server immer synchronisiert und gleichzeitig auf allen verbundenen Servern gleichzeitig gesperrt und erst nach Ende das Bearbeitungsvorgangs wieder freigegeben. Gerade bei CAD-Dateien hat sich das vorgehen als sehr effektiv erwiesen.
Ich hoffe ich konnte helfen.
Mfg Horazius
Achja der Link: http://www.it-michel.de/internet-software/spezial/fertige-softwareloesu ...
wir haben das Problem mit Filecoop gelöst. Dabei werden die Daten der Server immer synchronisiert und gleichzeitig auf allen verbundenen Servern gleichzeitig gesperrt und erst nach Ende das Bearbeitungsvorgangs wieder freigegeben. Gerade bei CAD-Dateien hat sich das vorgehen als sehr effektiv erwiesen.
Ich hoffe ich konnte helfen.
Mfg Horazius
Achja der Link: http://www.it-michel.de/internet-software/spezial/fertige-softwareloesu ...
