10
Mehrere Direct Access Server an verschiedenen Standorten
Guten Morgen zusammen
Ich Plane gerade Direct Access zu Implementieren auf Server 2012 R2 Architektur mit Windows 10 Clients.
Jetzt ist es so. Ich habe zwei Standorte. Im ersten Standorte steht der DC mit allen Rollen und im zweiten Standort ein Member DC. Jetzt wollte ich jeweils einen virtuellen Server aufsetzen in jedem Standort und auf diesem die DA Rolle installieren.
Meine frage ist jetzt. Da die Clients nicht auf den jeweils anderen Standort zugreifen müssen, kann ich dieses unabhängig voneinander Aufsetzen, oder muss ich das über den Menüpunkt "Mehrere Standorte Aktivieren" machen?
Meine Befürchtung ist, dass beim Aufsetzen sich etwas im DNS beißt, da sie dann die gleichen DNS Einträge machen. Die GPOs kann man ja einfach umbenennen, das ist nicht das Problem.
Hat damit jemand erfahrung oder einen Tipp
Danke!
EDIT: Habe ich noch Vergessen. Die Standorte sind über OpenVPN Site2Site mit zwei PfSense Firewalls verbunden.
Ich Plane gerade Direct Access zu Implementieren auf Server 2012 R2 Architektur mit Windows 10 Clients.
Jetzt ist es so. Ich habe zwei Standorte. Im ersten Standorte steht der DC mit allen Rollen und im zweiten Standort ein Member DC. Jetzt wollte ich jeweils einen virtuellen Server aufsetzen in jedem Standort und auf diesem die DA Rolle installieren.
Meine frage ist jetzt. Da die Clients nicht auf den jeweils anderen Standort zugreifen müssen, kann ich dieses unabhängig voneinander Aufsetzen, oder muss ich das über den Menüpunkt "Mehrere Standorte Aktivieren" machen?
Meine Befürchtung ist, dass beim Aufsetzen sich etwas im DNS beißt, da sie dann die gleichen DNS Einträge machen. Die GPOs kann man ja einfach umbenennen, das ist nicht das Problem.
Hat damit jemand erfahrung oder einen Tipp
Danke!
EDIT: Habe ich noch Vergessen. Die Standorte sind über OpenVPN Site2Site mit zwei PfSense Firewalls verbunden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331677
Url: https://administrator.de/contentid/331677
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
das von dir beschriebene Szenario findest du auch im Technet ausführlich erklärt. Ich schlage vor du liest die Artikel in Ruhe. Sollten dann Fragen offen bleiben, helfe ich dir gerne weiter.
Gruß,
Dani
das von dir beschriebene Szenario findest du auch im Technet ausführlich erklärt. Ich schlage vor du liest die Artikel in Ruhe. Sollten dann Fragen offen bleiben, helfe ich dir gerne weiter.
Gruß,
Dani
@Dani
Danke für ein Input. Beim kurz überfliegen ist mir nur gekommen. Das Multisite Setup geht auch, wenn nur eine Domain vorhanden ist? Wir haben keine Forest. Jeder Standort ist in der selben AD.
Zusätzlich. Muss ich ein Zertifikat von einer öffentlichen Stelle kaufen? Oder geht das auch ohne?
Danke dafür!
Danke für ein Input. Beim kurz überfliegen ist mir nur gekommen. Das Multisite Setup geht auch, wenn nur eine Domain vorhanden ist? Wir haben keine Forest. Jeder Standort ist in der selben AD.
Zusätzlich. Muss ich ein Zertifikat von einer öffentlichen Stelle kaufen? Oder geht das auch ohne?
Danke dafür!
Moin,
Gruß,
Dani
Das Multisite Setup geht auch, wenn nur eine Domain vorhanden ist?
Ja, du brauchst dann eben unterschiedliche DNS-Namen.Zusätzlich. Muss ich ein Zertifikat von einer öffentlichen Stelle kaufen? Oder geht das auch ohne?
Brauchst du nicht, wir nutzen auch zwei PKIs in unseren Netzwerk. Wichtig ist, dass die Sperrlisten jeweils aus dem Internet abrufbar sind. Dazu gibt es 1-2 gute deutsche Anleitungen im Netz.Gruß,
Dani
Moin Moin,
Dürfte ich nach den Links fragen, wenn du sie zufällig gerade zur Hand hast?
Danke!
Dürfte ich nach den Links fragen, wenn du sie zufällig gerade zur Hand hast?
Danke!
@Dani
Dank deiner Anleitung habe ich nun eine zweistufige PKI Aufgesetzt, die auch funktioniert. Zusätzlich habe ich die Sperrlisten per HTTP abrufbar gemacht.
Ich habe dann zwei Webserver Zertifikate erstellt (NLS und IP-HTTPS) und eingebunden.
Jetzt kommt allerdings die Meldung:
"Der Antragsstellername des Zertifikats, das für die Authentifizierung beim Netzwerkadressenserver verwendet wird, und der Name des RAS-Servers sind identisch. Zum Aktivieren der Bereitstellung für merhere Standorte benötigen Sie ein..." danach brichts ab und sehe die Fehlermeldung nicht zu zum Schluss
Jemand einen tipp?
Vielen Dank!
Dank deiner Anleitung habe ich nun eine zweistufige PKI Aufgesetzt, die auch funktioniert. Zusätzlich habe ich die Sperrlisten per HTTP abrufbar gemacht.
Ich habe dann zwei Webserver Zertifikate erstellt (NLS und IP-HTTPS) und eingebunden.
Jetzt kommt allerdings die Meldung:
"Der Antragsstellername des Zertifikats, das für die Authentifizierung beim Netzwerkadressenserver verwendet wird, und der Name des RAS-Servers sind identisch. Zum Aktivieren der Bereitstellung für merhere Standorte benötigen Sie ein..." danach brichts ab und sehe die Fehlermeldung nicht zu zum Schluss
Jemand einen tipp?
Vielen Dank!
Moin geocast,
die Meldung sagt mir erst mal nichts... kommt diese direkt auf dem Client?
Kannst du eine Zeichnung der DA-Infrastruktur hochladen und parallel dazu wo du welches Zertifikat installiert hast?
Gruß,
Dani
die Meldung sagt mir erst mal nichts... kommt diese direkt auf dem Client?
Kannst du eine Zeichnung der DA-Infrastruktur hochladen und parallel dazu wo du welches Zertifikat installiert hast?
Gruß,
Dani
Habe mal mehr oder weniger neu angefangen
Hier ist der Aufbau der Testumgebung
Die zweistufige PKI habe ich nach folgenden Anleitungen aufgebaut:
Teil 1
Teil 2
Die CRL ist über eine extern auflösbare Adresse abrufbar: crl.contoso.com
Der DA Server ist momentan noch mit dem selbstsiegniertem Zertifikat aufgesetzt.
Kannst du mir sagen, wie ich jetzt weiter vorgehen muss?
Sofern ich es verstehe, muss ich ein IP-HTTPS und ein NLS Zertifikat erstellen. Aber bin mir nicht so sicher wie...
Hier ist der Aufbau der Testumgebung
Die zweistufige PKI habe ich nach folgenden Anleitungen aufgebaut:
Teil 1
Teil 2
Die CRL ist über eine extern auflösbare Adresse abrufbar: crl.contoso.com
Der DA Server ist momentan noch mit dem selbstsiegniertem Zertifikat aufgesetzt.
Kannst du mir sagen, wie ich jetzt weiter vorgehen muss?
Sofern ich es verstehe, muss ich ein IP-HTTPS und ein NLS Zertifikat erstellen. Aber bin mir nicht so sicher wie...
Ich habe es nun hinbekommen, dass ich endlich das Menü "Mehrere Standorte konfigurieren" aufrufen konnte. Schwierige geburt.
Werde es noch etwas weiter testen und bei gelegenheit eine Anleitung hier raufstellen. Danke nochmal für die Hilfe!
Werde es noch etwas weiter testen und bei gelegenheit eine Anleitung hier raufstellen. Danke nochmal für die Hilfe!
Moin,
leider ist dein Thread bei mir irgendwie untergegangen - Sorry.
Die beiden Anleitungen schauen brauchbar aus und damit steht die Basis für die DirectAccess bzw. Zertifikate für Server und Clients.
Gruß,
Dani
leider ist dein Thread bei mir irgendwie untergegangen - Sorry.
Die beiden Anleitungen schauen brauchbar aus und damit steht die Basis für die DirectAccess bzw. Zertifikate für Server und Clients.
Sofern ich es verstehe, muss ich ein IP-HTTPS und ein NLS Zertifikat erstellen
Was meinst du mit IP-HTTPS und NLS? Der DA-Server braucht ein Zertifikat welches mit dem öffentlichen Namen übereinstimmt. Ist dies beim Installieren bzw. Konfigurieren von DA bereits auf dem Server installiert, wird dies automatische verwendet.Gruß,
Dani
Guten Morgen Dani
Kein Thema!
Man braucht für Multisite einmal ein Zertifikat für den DA Server mit der öffentlichen Adresse (Das ist das IP-HTTPS Zertifikat, wenn man diese Technologie verwendet) und ein Zertifikat für den Network location Server mit der internen Adresse (ist ja der DA Server meist selbst, aber es muss ein Zertifikat sein von der öffentlichen Stelle)
Zusätzlich (was ja eh zu empfehlen ist) muss man die Clients mit einem Zertifikat beim Login absichern. Erst dann funktioniert der Multisite Button.
Kein Thema!
Man braucht für Multisite einmal ein Zertifikat für den DA Server mit der öffentlichen Adresse (Das ist das IP-HTTPS Zertifikat, wenn man diese Technologie verwendet) und ein Zertifikat für den Network location Server mit der internen Adresse (ist ja der DA Server meist selbst, aber es muss ein Zertifikat sein von der öffentlichen Stelle)
Zusätzlich (was ja eh zu empfehlen ist) muss man die Clients mit einem Zertifikat beim Login absichern. Erst dann funktioniert der Multisite Button.
