Realisierung eines Active Directory Netzwerks (Grundlagen der Planung)
Hallo zusammen,
da ich noch ein ziemlicher Neuling bei Netzwerken bin, habe ich noch die ein oder andere Frage. Im Moment versuche ich für ein Unternehmen (das frei erfunden ist und nur für mich zur Übung) ein neues Netzwerk aufzubauen. Meine Vorstellung ist, das das Unternehmen neu Gebaut hat und noch über keinerlei Computer, Server und andere Netzwerkstrukturen besitzt. Was nun meine Aufgauben da sein solllen, steht weiter unten.
Meine Aufgabe als neu eingesteller Administrator ist es, ein Netzwerk aufzubauen damit Benutzer Daten speichern können, im Internet recherieren und zentrale Programm auf Servern abrufen können.
Ich habe mir mal darüber Gedanken gemacht und folgenden Netzwerkplan erstellt.
Zur Erklärung (wie ich es mir denke. Falls etwas falsch an meinen Gedankengängen ist, bitte ich diese zu verbessern):
Die Server
Domänencontroller 1 und 2 sind gleich konfiguriert. Beide laufen unter Windows 2003. Aufgabe der Domänencontroller soll sein: RAS/VPN-Server, Domänencontroller (AD), DNS-Server und DHCP
Es gibt zwei DC's falls einer Ausfällt. Dann sollte der andere DC die Arbeit übernehmen können.
Dateiserver läuft ebenfalls unter Windows 2003. Aufgabe ist nur die Speicherung von Dateien der Benutzer.
Terminalserver läuft, kaum zu glauben, auch unter Windows 2003. Er soll den Sinn erfüllen, das externe Mitarbeiter oder Außendienstmitarbeiter auch auf Ressourcen des Dateiservers zugreifen können.
Die Workstation's
Die Workstations laufen alle komplett unter Windows XP Pro.
So, nun noch ein paar weitere Fragen zur Aufgabenverteilung
1. Ist die Aufgabenverteilung mit DHCP, RAS, DNS, etc. gut getroffen oder müssen dort noch Veränderungen gemacht werden.
2. Sollten die Server eine feste IP Adresse bekommen?
3. Ich habe es jetzt nicht besser gewusst und den DC die Aufgabe geben, Abfragen der Workstation Benutzer füs Internet zu übermitteln. Dadurch hätte ich ja auch die Möglichkeit den Datenverkehr zu überwachen bzw. besondere Seiten im Internet zu sperren. Ist die Aufgabe beim DC richtig eingeordnet?
Ich hoffe auf einige Antworten von euch und bedanke mich schon einmal im voraus.
Gruß
Computergott (der es hoffentlich irgendwann sein wird :D )
EDIT: Hier einmal ein Update, was sich durch die Diskussion hier ergeben hat.
Proxyserver:
Übernimmt die Filterung von Websiten und ruft die Websiten für die Clients auf.
Domänencontroller:
-DHCP
-RAS/VPN-Server
-DNS
-WINS
Dateiserver:
-Speicherung von Daten der Benutzer über Netzlaufwerk
-Installation von SAP Software und Datenbank
NAS
-Backuplösung
da ich noch ein ziemlicher Neuling bei Netzwerken bin, habe ich noch die ein oder andere Frage. Im Moment versuche ich für ein Unternehmen (das frei erfunden ist und nur für mich zur Übung) ein neues Netzwerk aufzubauen. Meine Vorstellung ist, das das Unternehmen neu Gebaut hat und noch über keinerlei Computer, Server und andere Netzwerkstrukturen besitzt. Was nun meine Aufgauben da sein solllen, steht weiter unten.
Meine Aufgabe als neu eingesteller Administrator ist es, ein Netzwerk aufzubauen damit Benutzer Daten speichern können, im Internet recherieren und zentrale Programm auf Servern abrufen können.
Ich habe mir mal darüber Gedanken gemacht und folgenden Netzwerkplan erstellt.
Zur Erklärung (wie ich es mir denke. Falls etwas falsch an meinen Gedankengängen ist, bitte ich diese zu verbessern):
Die Server
Domänencontroller 1 und 2 sind gleich konfiguriert. Beide laufen unter Windows 2003. Aufgabe der Domänencontroller soll sein: RAS/VPN-Server, Domänencontroller (AD), DNS-Server und DHCP
Es gibt zwei DC's falls einer Ausfällt. Dann sollte der andere DC die Arbeit übernehmen können.
Dateiserver läuft ebenfalls unter Windows 2003. Aufgabe ist nur die Speicherung von Dateien der Benutzer.
Terminalserver läuft, kaum zu glauben, auch unter Windows 2003. Er soll den Sinn erfüllen, das externe Mitarbeiter oder Außendienstmitarbeiter auch auf Ressourcen des Dateiservers zugreifen können.
Die Workstation's
Die Workstations laufen alle komplett unter Windows XP Pro.
So, nun noch ein paar weitere Fragen zur Aufgabenverteilung
1. Ist die Aufgabenverteilung mit DHCP, RAS, DNS, etc. gut getroffen oder müssen dort noch Veränderungen gemacht werden.
2. Sollten die Server eine feste IP Adresse bekommen?
3. Ich habe es jetzt nicht besser gewusst und den DC die Aufgabe geben, Abfragen der Workstation Benutzer füs Internet zu übermitteln. Dadurch hätte ich ja auch die Möglichkeit den Datenverkehr zu überwachen bzw. besondere Seiten im Internet zu sperren. Ist die Aufgabe beim DC richtig eingeordnet?
Ich hoffe auf einige Antworten von euch und bedanke mich schon einmal im voraus.
Gruß
Computergott (der es hoffentlich irgendwann sein wird :D )
EDIT: Hier einmal ein Update, was sich durch die Diskussion hier ergeben hat.
Proxyserver:
Übernimmt die Filterung von Websiten und ruft die Websiten für die Clients auf.
Domänencontroller:
-DHCP
-RAS/VPN-Server
-DNS
-WINS
Dateiserver:
-Speicherung von Daten der Benutzer über Netzlaufwerk
-Installation von SAP Software und Datenbank
NAS
-Backuplösung
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120892
Url: https://administrator.de/contentid/120892
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
ist locker unvollständig, was ich schreibe, aber auf die Schnelle fällt mir ein.
- Für was ist der Terminalserver?
- Wie realisierst Du Backup / Restores? (Backup-LAN?)
- Server haben feste IP's (Dogma!!)
- Contentverwaltung fürs WEB erfordert einen Proxy (würde ich keinen DC machen lassen)
- DHCP - wie hast Du den Scope zwischen den DC's verteilt?
- WINS?
mir fällt locker noch was ein - aber löse erst mal das ^^
Gruß
24
ist locker unvollständig, was ich schreibe, aber auf die Schnelle fällt mir ein.
- Für was ist der Terminalserver?
- Wie realisierst Du Backup / Restores? (Backup-LAN?)
- Server haben feste IP's (Dogma!!)
- Contentverwaltung fürs WEB erfordert einen Proxy (würde ich keinen DC machen lassen)
- DHCP - wie hast Du den Scope zwischen den DC's verteilt?
- WINS?
mir fällt locker noch was ein - aber löse erst mal das ^^
Gruß
24
Hallo,
du solltest auf jedenfall noch eine Firewall zwischen deinem LAN und dem Internet schalten. (zb.: http://www.ipcop.org)
Desweiteren macht ein Proxy Sinn, im IPCop integriert, mit dem du dann auch Webseiten filtern kannst.
Über wieviele Clienten reden wir? Bei einer überschaubaren Anzahl könntest du dir auch den DHCP sparen...
Gruß
EDIT: Für den Terminalserver solltest du auch VPN Tunnel nutzen (auch mit IPCop möglich)
du solltest auf jedenfall noch eine Firewall zwischen deinem LAN und dem Internet schalten. (zb.: http://www.ipcop.org)
Desweiteren macht ein Proxy Sinn, im IPCop integriert, mit dem du dann auch Webseiten filtern kannst.
Über wieviele Clienten reden wir? Bei einer überschaubaren Anzahl könntest du dir auch den DHCP sparen...
Gruß
EDIT: Für den Terminalserver solltest du auch VPN Tunnel nutzen (auch mit IPCop möglich)
Moin
DHCP ist überlegenswert hinsichtlich
1. wie lange dauert die Lease für *feste* PC's
2. wie lange für Notebooks
3. wie lange für VPN / RAS
bei DHCP sollte nur 1 Server je Scope aktiv sein, bzw. der Scope sollte zwischen 2 DHCP-Servern aufgeteilt sein - ein hot Standby geht nicht wirklich, da mußt Du den Server, auf dem DHCP läuft, schon clustern
Bei wenigen Clients genügt auch ne feste IP-Vergabe - ist allerdings dann schon Turnschuhadministration ^^
WINS würde ich trotzdem konfigurieren, irgendeine Anwendung braucht immer noch WINS....
Backup würde ich nicht weglassen, Dir geht es ja auch um die Netzwerkstruktur - da macht dann eine 2. NIC (und eine IP *außerhalb* Deines BetriebsLANs Sinn)
Gruß
24
DHCP ist überlegenswert hinsichtlich
1. wie lange dauert die Lease für *feste* PC's
2. wie lange für Notebooks
3. wie lange für VPN / RAS
bei DHCP sollte nur 1 Server je Scope aktiv sein, bzw. der Scope sollte zwischen 2 DHCP-Servern aufgeteilt sein - ein hot Standby geht nicht wirklich, da mußt Du den Server, auf dem DHCP läuft, schon clustern
Bei wenigen Clients genügt auch ne feste IP-Vergabe - ist allerdings dann schon Turnschuhadministration ^^
WINS würde ich trotzdem konfigurieren, irgendeine Anwendung braucht immer noch WINS....
Backup würde ich nicht weglassen, Dir geht es ja auch um die Netzwerkstruktur - da macht dann eine 2. NIC (und eine IP *außerhalb* Deines BetriebsLANs Sinn)
Gruß
24
Zitat von @computergott:
Firewalltechnisch müsste ich doch auch den ISA Server einsetzen
können, oder?
Firewalltechnisch müsste ich doch auch den ISA Server einsetzen
können, oder?
türlich - der ISAServer kostet Geld, IPCOP ist kostenlos....
24
Moin,
Du solltest die DC's sichern (Systemstate/alle AD-Verzeichnisse (NTDS, Sysvol etc.) und ggf. Win), die DHCP & WINS-Datenbanken (den Rest erschlägst Du mit nem Neuaufsetzen und nem Restore, alle Nutzdaten (User / Projects / Departments), Konfigurationen ISA....
Ziel iss relativ egal, entweder auf nem Backupserver als File oder auf ein Tape oder oder oder.....
muß nur automatisch passieren...
btw. (nebenbei) Du hast weder ein Mailsystem noch ggf. Datenbanken....
Gruß
24
Du solltest die DC's sichern (Systemstate/alle AD-Verzeichnisse (NTDS, Sysvol etc.) und ggf. Win), die DHCP & WINS-Datenbanken (den Rest erschlägst Du mit nem Neuaufsetzen und nem Restore, alle Nutzdaten (User / Projects / Departments), Konfigurationen ISA....
Ziel iss relativ egal, entweder auf nem Backupserver als File oder auf ein Tape oder oder oder.....
muß nur automatisch passieren...
btw. (nebenbei) Du hast weder ein Mailsystem noch ggf. Datenbanken....
Gruß
24
Wie steht's mit Subnetzen? Würd ich mir bei 80 Clients schon überlegen. Dann brauchst du im Intranet allerdings auch einen Router statt eines Switches.
Willst du wirklich zwei Firewalls wie auf dem Plan? Eigentlich sollte der ISA als Proxy und Firewall reichen - wenn man ihn schon nehmen will.
Kein Webserver?
Und der Plan ist zeichentechnisch verkehrt. Aufgrund deiner Beschreibung weiß man was du meinst, die Darstellung entspricht dem aber nicht - und auch nicht den Normen. So ein Plan soll verdeutlichen, mit einem Blick soll der Betrachter die Netzwerkstruktur erkennen können, bei deinem Plan muss man sich zuviel dazu denken - was du wohl gemeint haben magst.
Warum steht der Router zwischen Firewall und Internet? Könnte er auch woanders stehen?
Willst du wirklich zwei Firewalls wie auf dem Plan? Eigentlich sollte der ISA als Proxy und Firewall reichen - wenn man ihn schon nehmen will.
Kein Webserver?
Und der Plan ist zeichentechnisch verkehrt. Aufgrund deiner Beschreibung weiß man was du meinst, die Darstellung entspricht dem aber nicht - und auch nicht den Normen. So ein Plan soll verdeutlichen, mit einem Blick soll der Betrachter die Netzwerkstruktur erkennen können, bei deinem Plan muss man sich zuviel dazu denken - was du wohl gemeint haben magst.
Warum steht der Router zwischen Firewall und Internet? Könnte er auch woanders stehen?
Moinsen,
wie sieht es mit einer DMZ für das VPN aus??
Des Weiteren würde ich den DC nicht so überlasten
und eine extra Server für Wins/DNS aufsetzten.
So wie die DC´s eingezeichnet sind passt es auch nicht ;)
einer sollte reichen, der 2te sollte wenn nur als Replika da sein
aber im ersten Moment NICHT aktiv laufen was er auf deiner
Zeichnung ja mehr oder weniger tut.
Fileserver = SAP ???
würde ich auf jeden fall lassen und fürs SAP ein extra Server
nehmen ;) und ein NAS ist keine Backup Lösung,
du musst sowieso dran denken das gewisse Daten Revisionsicher
gespeichert werden müssen.(z.b. WORM)
Wie schon erwähnt, würde ich für die Daten auch ehr zu einen SAN
greifen statt zu einem NAS. Kommt aber auf die Menge,
Größe und Wichtigkeit der Daten an.
Ich tät auch die Server an einen extra Switch/ Router packen,
getrennt von den Clients.
Gruß
wie sieht es mit einer DMZ für das VPN aus??
Des Weiteren würde ich den DC nicht so überlasten
und eine extra Server für Wins/DNS aufsetzten.
So wie die DC´s eingezeichnet sind passt es auch nicht ;)
einer sollte reichen, der 2te sollte wenn nur als Replika da sein
aber im ersten Moment NICHT aktiv laufen was er auf deiner
Zeichnung ja mehr oder weniger tut.
Fileserver = SAP ???
würde ich auf jeden fall lassen und fürs SAP ein extra Server
nehmen ;) und ein NAS ist keine Backup Lösung,
du musst sowieso dran denken das gewisse Daten Revisionsicher
gespeichert werden müssen.(z.b. WORM)
Wie schon erwähnt, würde ich für die Daten auch ehr zu einen SAN
greifen statt zu einem NAS. Kommt aber auf die Menge,
Größe und Wichtigkeit der Daten an.
Ich tät auch die Server an einen extra Switch/ Router packen,
getrennt von den Clients.
Gruß