11
Netzwerkkonzep ActiveDirectory mehrere Standorte
Hallo,
wir ein e.V. möchten unsere EDV-Systemumgebung aktualisieren bzw. modernisieren. Dazu habe ich auch schon ein paar Vorstellungen. Jedoch möchte ich mir vorher noch eure Meinungen und Erfahrungen anhören.
Der Verein ist auf fünf Standorte aufgeteilt. In jedem Standort sind sechs Clients über ein VPN –Router mit der Zentrale verbunden. In der Zentrale steht ein Windows 2003 Server der als Fileserver dient. Des Weiteren ist auf dem Server eine Spezial Software + SQL Daten installiert. Alle Clients greifen auf die Software sowie auf den Fileserver zu. Ein AD ist nicht eingerichtet. Die Geräte laufen alle in Arbeitsgruppen.
Jetzt möchten wir gerne etwas Struktur reinbringen und in einen neuen Server investieren, eine Domäne aufsetzen und ein AD fahren. Jetzt frage ich mich erstmal, ob es unbedingt nötig ist, dass in jeden Standort ein AD aufgebaut wird oder es ausreicht wenn wir den AD nur in der Zentrale stehen haben.
Was meint Ihr?
Ps. Wir wollen keine Servergespeicherten Profile oder so nutzen. Die Standorte sind mir einer 16.000 DSL –Leitung angebunden.
wir ein e.V. möchten unsere EDV-Systemumgebung aktualisieren bzw. modernisieren. Dazu habe ich auch schon ein paar Vorstellungen. Jedoch möchte ich mir vorher noch eure Meinungen und Erfahrungen anhören.
Der Verein ist auf fünf Standorte aufgeteilt. In jedem Standort sind sechs Clients über ein VPN –Router mit der Zentrale verbunden. In der Zentrale steht ein Windows 2003 Server der als Fileserver dient. Des Weiteren ist auf dem Server eine Spezial Software + SQL Daten installiert. Alle Clients greifen auf die Software sowie auf den Fileserver zu. Ein AD ist nicht eingerichtet. Die Geräte laufen alle in Arbeitsgruppen.
Jetzt möchten wir gerne etwas Struktur reinbringen und in einen neuen Server investieren, eine Domäne aufsetzen und ein AD fahren. Jetzt frage ich mich erstmal, ob es unbedingt nötig ist, dass in jeden Standort ein AD aufgebaut wird oder es ausreicht wenn wir den AD nur in der Zentrale stehen haben.
Was meint Ihr?
Ps. Wir wollen keine Servergespeicherten Profile oder so nutzen. Die Standorte sind mir einer 16.000 DSL –Leitung angebunden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178217
Url: https://administrator.de/forum/netzwerkkonzep-activedirectory-mehrere-standorte-178217.html
Ausgedruckt am: 19.01.2025 um 17:01 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Ein Active-Directory ist natürlich ganz schön, aber es muß auch verwaltet werden. Wenn Du da keine Erfahrungen hast, würde ich es lassen. Eine sinnvolle Investition wäre der Einsatz eines Windows 2008R2-Terminalservers. Damit kannst Du die Zugriffe erheblich beschleunigen, da bei einem direkten Zugriff des Clients über das Internet ja immer die upload-Rate Deines Internetzugangs am Hauptstandort entscheidend ist. Mit dem Einsatz eines WTS erübrigt sich auch die Investition in Performance Rechner in den Außenstellen.
Gruß, Arch Stanton
Ein Active-Directory ist natürlich ganz schön, aber es muß auch verwaltet werden. Wenn Du da keine Erfahrungen hast, würde ich es lassen. Eine sinnvolle Investition wäre der Einsatz eines Windows 2008R2-Terminalservers. Damit kannst Du die Zugriffe erheblich beschleunigen, da bei einem direkten Zugriff des Clients über das Internet ja immer die upload-Rate Deines Internetzugangs am Hauptstandort entscheidend ist. Mit dem Einsatz eines WTS erübrigt sich auch die Investition in Performance Rechner in den Außenstellen.
Gruß, Arch Stanton
Hi,
also wenn du ein AD einrichten möchtest gibt es folgende Möglichkeiten:
Du kannst dich auf einen Domänencontroller in der Zentrale beschränken, welcher dann aber wenigstens ein separater Server sein sollte. Aus Redundanzgründen sollte man aber mindestens 2 DCs betreiben, vielleicht kann der dann ausgemusterte Server noch als DC dienen.
Eine andere, für deinen Bedarf aber wahrscheinlich überdimensionierte Möglichkeit wäre, in der Zentrale einen Domänencontroller zu betreiben und an jedem Standort einen Read-only-Domänencontroller. Diese können für Anmeldungen etc. verwendet werden, sie können aber keine Änderungen entgegennehmen. Diese müssten dann immer auf dem DC in der Zentrale durchgeführt werden. Das soll verhindern, dass jemand an einem DC rumpfuscht, der sich an einem Standort befindet, wo ein Admin keinen Zugriff hat.
Ich hoffe, ich konnte dir etwas helfen.
also wenn du ein AD einrichten möchtest gibt es folgende Möglichkeiten:
Du kannst dich auf einen Domänencontroller in der Zentrale beschränken, welcher dann aber wenigstens ein separater Server sein sollte. Aus Redundanzgründen sollte man aber mindestens 2 DCs betreiben, vielleicht kann der dann ausgemusterte Server noch als DC dienen.
Eine andere, für deinen Bedarf aber wahrscheinlich überdimensionierte Möglichkeit wäre, in der Zentrale einen Domänencontroller zu betreiben und an jedem Standort einen Read-only-Domänencontroller. Diese können für Anmeldungen etc. verwendet werden, sie können aber keine Änderungen entgegennehmen. Diese müssten dann immer auf dem DC in der Zentrale durchgeführt werden. Das soll verhindern, dass jemand an einem DC rumpfuscht, der sich an einem Standort befindet, wo ein Admin keinen Zugriff hat.
Ich hoffe, ich konnte dir etwas helfen.
2 DCs aus Redundanzgründen hört sich gut an.
Wie sieht den eigentlich die Netzwerkkonfiguration aus, wenn der AD in der Zentrale steht und die Standorte über VPN site-to-site an der Zentrale angebunden ist. Die Clients sollen in einer AD Umgebung sollen ja immer den DNS Server bekommen, auf welchen das AD läuft.
z.B.:
Zentale 192.168.0.1/24 -> DC 192.168.0.2
Standort1 192.168.1.1/24
Standort2 192.168.2.1/24
Standort3 192.168.3.1/24
Auf jeden Router im Standort wird ein DHCP-Server betrieben. Bekommen jetzt die Clients den DC 192.168.0.2 als DNS-Server zugewiesen?
Wie sieht den eigentlich die Netzwerkkonfiguration aus, wenn der AD in der Zentrale steht und die Standorte über VPN site-to-site an der Zentrale angebunden ist. Die Clients sollen in einer AD Umgebung sollen ja immer den DNS Server bekommen, auf welchen das AD läuft.
z.B.:
Zentale 192.168.0.1/24 -> DC 192.168.0.2
Standort1 192.168.1.1/24
Standort2 192.168.2.1/24
Standort3 192.168.3.1/24
Auf jeden Router im Standort wird ein DHCP-Server betrieben. Bekommen jetzt die Clients den DC 192.168.0.2 als DNS-Server zugewiesen?
Ohne dein Zutun werden die Clients den DNS-Server nicht bekommen, entweder musst du den manuell auf den Clients eintragen oder du sagst dem DHCP-Server, dass der DC als DNS genutzt werden soll.
So kann man es auch zurecht bastelen, aber sinnvoller wäre es dann, in den Standorten Domaincontroller zu betreiben, um die Netzwerklast zu beschränken. Hast Du mal über meinen Tip mit dem Terminalserver nachgedacht?
Die Netzwerknummern solltest Du aber ganz schnell abändern auf etwas wie 10.119.1xxx oder 192.168.200.xxx, die 0 und die 1 werden in den allermeisten Routern verwendet, so daß Du immer Schwierigkeiten bei der Einwahl per VPN bekommst.
Gruß, Arch Stanton
Die Netzwerknummern solltest Du aber ganz schnell abändern auf etwas wie 10.119.1xxx oder 192.168.200.xxx, die 0 und die 1 werden in den allermeisten Routern verwendet, so daß Du immer Schwierigkeiten bei der Einwahl per VPN bekommst.
Gruß, Arch Stanton
@104274:
Das ist mir schon klar, dass ich den DNS Server erstmal in DHCP hinterlegen muss, meine Frage war eher, ob der DNS-Server auch der richtige ist bzw ob das ganz über VPN so geht.
Das ist mir schon klar, dass ich den DNS Server erstmal in DHCP hinterlegen muss, meine Frage war eher, ob der DNS-Server auch der richtige ist bzw ob das ganz über VPN so geht.
Zitat von @Arch-Stanton:
So kann man es auch zurecht bastelen, aber sinnvoller wäre es dann, in den Standorten Domaincontroller zu betreiben, um die
Netzwerklast zu beschränken. Hast Du mal über meinen Tip mit dem Terminalserver nachgedacht?
Die Netzwerknummern solltest Du aber ganz schnell abändern auf etwas wie 10.119.1xxx oder 192.168.200.xxx, die 0 und die 1
werden in den allermeisten Routern verwendet, so daß Du immer Schwierigkeiten bei der Einwahl per VPN bekommst.
Gruß, Arch Stanton
So kann man es auch zurecht bastelen, aber sinnvoller wäre es dann, in den Standorten Domaincontroller zu betreiben, um die
Netzwerklast zu beschränken. Hast Du mal über meinen Tip mit dem Terminalserver nachgedacht?
Die Netzwerknummern solltest Du aber ganz schnell abändern auf etwas wie 10.119.1xxx oder 192.168.200.xxx, die 0 und die 1
werden in den allermeisten Routern verwendet, so daß Du immer Schwierigkeiten bei der Einwahl per VPN bekommst.
Gruß, Arch Stanton
Wenn ich einen zweiten DC einführe, muss das ganze in jedem Standort stattfinden, sonst macht das nicht sehr viel sinn. Wenn man noch bedenkt, dass die Kisten noch gewartet werden müssen, Hardware ausfallen kann und die Hauptnetzwerklast sowieso in der Zentrale entseht, weil dort der Server mit der spezial Anwendung steht, macht das ganze in meinen Augen wenig sinn. Der Tipp mit den Terminalserver hingegen ist sehr gut. Muss mir nochmal genauer gedanken machen.
Wieso aber ich die Netzwerkadresse abändern soll habe ich nicht ganz verstanden. Wenn in jedem Standort ein Router steht und jeder dieser Router in einen anderen Adressbereich liegt, sollte das doch kein Problem darstellen oder?
z.B.
Router 0: 192.168.0.1 DCHP 192.168.0.10 - 192.168.0.150
Router 1: 192.168.1.1 DCHP 192.168.1.10 - 192.168.1.150
Router 2: 192.168.2.1 DCHP 192.168.2.10 - 192.168.2.150
Router 3: 192.168.3.1 DCHP 192.168.3.10 - 192.168.3.150
Router 4: 192.168.4.1 DCHP 192.168.4.10 - 192.168.4.150
Zitat von @dafdag:
@104274:
Das ist mir schon klar, dass ich den DNS Server erstmal in DHCP hinterlegen muss, meine Frage war eher, ob der DNS-Server auch der
richtige ist bzw ob das ganz über VPN so geht.
@104274:
Das ist mir schon klar, dass ich den DNS Server erstmal in DHCP hinterlegen muss, meine Frage war eher, ob der DNS-Server auch der
richtige ist bzw ob das ganz über VPN so geht.
Okay, tut mir Leid, dann habe ich das etwas falsch aufgefasst. Das Ganze sollte dann so funktionieren.
Wenn Du es auf diese Netze beschränkst ist es ok. wenn Du Dich von außen (von zu Hause) per VPN einwählst, oder auch andere Nutzer, dann ist die Wahrscheinlichkeit sehr groß, daß die Adressbereiche kollidieren. Die Telekomrouter haben z.b. immer die 192.168.1.0.
Gruß, Arch Stanton
Gruß, Arch Stanton
@freadator und Arch-Stanton
Danke!
@all
Liege ich also damit richtig, dass die Clients den DNS Server zugeteilt bekommen, obwohl der in einem "anderen" Netzbereich liegt?
Die Router haben doch auch einen DNS Server. Wird dieser als sekundärer DNS angegeben und muss ist die am DC im DNS einbinden?
Danke!
@all
Liege ich also damit richtig, dass die Clients den DNS Server zugeteilt bekommen, obwohl der in einem "anderen" Netzbereich liegt?
Die Router haben doch auch einen DNS Server. Wird dieser als sekundärer DNS angegeben und muss ist die am DC im DNS einbinden?
@freadator und Arch-Stanton
Danke!
@all
Liege ich also damit richtig, dass die Clients den DNS Server zugeteilt bekommen, obwohl der in einem "anderen" Netzbereich liegt?
Die Router haben doch auch einen DNS Server. Wird dieser als sekundärer DNS angegeben und muss ist die am DC im DNS einbinden?
Danke!
@all
Liege ich also damit richtig, dass die Clients den DNS Server zugeteilt bekommen, obwohl der in einem "anderen" Netzbereich liegt?
Die Router haben doch auch einen DNS Server. Wird dieser als sekundärer DNS angegeben und muss ist die am DC im DNS einbinden?
