computergott
Goto Top

Realisierung eines Active Directory Netzwerks (Grundlagen der Planung)

Hallo zusammen,
da ich noch ein ziemlicher Neuling bei Netzwerken bin, habe ich noch die ein oder andere Frage. Im Moment versuche ich für ein Unternehmen (das frei erfunden ist und nur für mich zur Übung) ein neues Netzwerk aufzubauen. Meine Vorstellung ist, das das Unternehmen neu Gebaut hat und noch über keinerlei Computer, Server und andere Netzwerkstrukturen besitzt. Was nun meine Aufgauben da sein solllen, steht weiter unten.

Meine Aufgabe als neu eingesteller Administrator ist es, ein Netzwerk aufzubauen damit Benutzer Daten speichern können, im Internet recherieren und zentrale Programm auf Servern abrufen können.

Ich habe mir mal darüber Gedanken gemacht und folgenden Netzwerkplan erstellt.

d8837f736922e5889695d5c793aee1bb-netzwerkplan


Zur Erklärung (wie ich es mir denke. Falls etwas falsch an meinen Gedankengängen ist, bitte ich diese zu verbessern):


Die Server

Domänencontroller 1 und 2 sind gleich konfiguriert. Beide laufen unter Windows 2003. Aufgabe der Domänencontroller soll sein: RAS/VPN-Server, Domänencontroller (AD), DNS-Server und DHCP
Es gibt zwei DC's falls einer Ausfällt. Dann sollte der andere DC die Arbeit übernehmen können.

Dateiserver läuft ebenfalls unter Windows 2003. Aufgabe ist nur die Speicherung von Dateien der Benutzer.

Terminalserver läuft, kaum zu glauben, auch unter Windows 2003. Er soll den Sinn erfüllen, das externe Mitarbeiter oder Außendienstmitarbeiter auch auf Ressourcen des Dateiservers zugreifen können.


Die Workstation's
Die Workstations laufen alle komplett unter Windows XP Pro.


So, nun noch ein paar weitere Fragen zur Aufgabenverteilung
1. Ist die Aufgabenverteilung mit DHCP, RAS, DNS, etc. gut getroffen oder müssen dort noch Veränderungen gemacht werden.
2. Sollten die Server eine feste IP Adresse bekommen?
3. Ich habe es jetzt nicht besser gewusst und den DC die Aufgabe geben, Abfragen der Workstation Benutzer füs Internet zu übermitteln. Dadurch hätte ich ja auch die Möglichkeit den Datenverkehr zu überwachen bzw. besondere Seiten im Internet zu sperren. Ist die Aufgabe beim DC richtig eingeordnet?

Ich hoffe auf einige Antworten von euch und bedanke mich schon einmal im voraus.

Gruß
Computergott (der es hoffentlich irgendwann sein wird :D )


EDIT: Hier einmal ein Update, was sich durch die Diskussion hier ergeben hat.

667b9fc690fdae3ca8c744b9167ab458-netwerk_die_zweite

Proxyserver:
Übernimmt die Filterung von Websiten und ruft die Websiten für die Clients auf.

Domänencontroller:
-DHCP
-RAS/VPN-Server
-DNS
-WINS

Dateiserver:
-Speicherung von Daten der Benutzer über Netzlaufwerk
-Installation von SAP Software und Datenbank

NAS
-Backuplösung

Content-ID: 120892

Url: https://administrator.de/contentid/120892

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

2hard4you
2hard4you 20.07.2009 um 21:38:05 Uhr
Goto Top
Moin,

ist locker unvollständig, was ich schreibe, aber auf die Schnelle fällt mir ein.

- Für was ist der Terminalserver?

- Wie realisierst Du Backup / Restores? (Backup-LAN?)

- Server haben feste IP's (Dogma!!)

- Contentverwaltung fürs WEB erfordert einen Proxy (würde ich keinen DC machen lassen)

- DHCP - wie hast Du den Scope zwischen den DC's verteilt?

- WINS?


mir fällt locker noch was ein - aber löse erst mal das ^^


Gruß

24
computergott
computergott 20.07.2009 um 21:52:31 Uhr
Goto Top
Für was ist der Terminalserver?
--> Damit Außendienstmitarbeiter Programme verwenden kann, die nur auf dem Server laufen und nur selten benutzt werden müssen

Wie realisierst Du Backup / Restores? (Backup-LAN?)
--> Da es sich hierbei um ein ausgedachtes Szenario handelt, habe ich das erstmal weggelassen. Im Moment möchte ich halt erstmal die strukturen kennenlernen, wie was arbeitet und welcher Dienst auf welchen angewiesen ist. Außerdem möchte ich lernen, wie ein Netz aufgebaut ist. Welcher PC übernimmt welche Dienste.

Server haben feste IP's (Dogma!!)
--> Okay

DHCP - wie hast Du den Scope zwischen den DC's verteilt?
--> Noch gar nicht. Ich hatte mir gedacht den DC1 als primären Server laufen zu lassen. DC2 synchronisiert die Daten in der Nacht von DC1 damit beide relativ die gleichen Daten haben. Wenn dann DC1 am Tag ausfällt, übernimmt komplett DC2 die Aufgabe.

WINS?
--> Sorry, ich bin in der Materie noch nicht richtig drin. Ich habe gelesen das WINS eine relativ alte Technik ist und durch DNS abgelöst worden sei. Da habe ich mir gedacht, das ich kein WINS mehr einsetzen brauche.
kopie0123
kopie0123 20.07.2009 um 21:58:24 Uhr
Goto Top
Hallo,

du solltest auf jedenfall noch eine Firewall zwischen deinem LAN und dem Internet schalten. (zb.: http://www.ipcop.org)

Desweiteren macht ein Proxy Sinn, im IPCop integriert, mit dem du dann auch Webseiten filtern kannst.

Über wieviele Clienten reden wir? Bei einer überschaubaren Anzahl könntest du dir auch den DHCP sparen...

Gruß

EDIT: Für den Terminalserver solltest du auch VPN Tunnel nutzen (auch mit IPCop möglich)
computergott
computergott 20.07.2009 um 22:13:48 Uhr
Goto Top
Gut, die Firewall verwende ich noch dazwischen setzten.
Wir reden von ungefähr 80 Clients.
Firewalltechnisch müsste ich doch auch den ISA Server einsetzen können, oder?
2hard4you
2hard4you 20.07.2009 um 22:16:08 Uhr
Goto Top
Moin

DHCP ist überlegenswert hinsichtlich

1. wie lange dauert die Lease für *feste* PC's

2. wie lange für Notebooks

3. wie lange für VPN / RAS

bei DHCP sollte nur 1 Server je Scope aktiv sein, bzw. der Scope sollte zwischen 2 DHCP-Servern aufgeteilt sein - ein hot Standby geht nicht wirklich, da mußt Du den Server, auf dem DHCP läuft, schon clustern

Bei wenigen Clients genügt auch ne feste IP-Vergabe - ist allerdings dann schon Turnschuhadministration ^^

WINS würde ich trotzdem konfigurieren, irgendeine Anwendung braucht immer noch WINS....

Backup würde ich nicht weglassen, Dir geht es ja auch um die Netzwerkstruktur - da macht dann eine 2. NIC (und eine IP *außerhalb* Deines BetriebsLANs Sinn)

Gruß

24
2hard4you
2hard4you 20.07.2009 um 22:28:39 Uhr
Goto Top
Zitat von @computergott:
Firewalltechnisch müsste ich doch auch den ISA Server einsetzen
können, oder?

türlich - der ISAServer kostet Geld, IPCOP ist kostenlos....

24
computergott
computergott 20.07.2009 um 22:31:32 Uhr
Goto Top
Zitat von @2hard4you:
> Zitat von @computergott:
> ----
> Firewalltechnisch müsste ich doch auch den ISA Server
einsetzen
> können, oder?

türlich - der ISAServer kostet Geld, IPCOP ist kostenlos....

24

Korrekt. Aber im moment will/muss ich auf Microsoft Basis bleiben. Da ich NULL Kentnisse in UNIX habe.
computergott
computergott 20.07.2009 um 22:40:56 Uhr
Goto Top
Zitat von @2hard4you:
Moin

DHCP ist überlegenswert hinsichtlich

1. wie lange dauert die Lease für *feste* PC's

2. wie lange für Notebooks

3. wie lange für VPN / RAS

bei DHCP sollte nur 1 Server je Scope aktiv sein, bzw. der Scope
sollte zwischen 2 DHCP-Servern aufgeteilt sein - ein hot Standby geht
nicht wirklich, da mußt Du den Server, auf dem DHCP läuft,
schon clustern


Bei wenigen Clients genügt auch ne feste IP-Vergabe - ist
allerdings dann schon Turnschuhadministration ^^

WINS würde ich trotzdem konfigurieren, irgendeine Anwendung
braucht immer noch WINS....

Backup würde ich nicht weglassen, Dir geht es ja auch um die
Netzwerkstruktur - da macht dann eine 2. NIC (und eine IP
*außerhalb* Deines BetriebsLANs Sinn)

Gruß

24

Was benötige ich für ein Backup. Reicht da ein Server der z.B. Nachts ein Backup macht und in ein 300Meter entferntes Werk über TCP rüberschaufelt? Welche Server müssen gesichert werden?
2hard4you
2hard4you 20.07.2009 um 22:49:32 Uhr
Goto Top
Moin,

Du solltest die DC's sichern (Systemstate/alle AD-Verzeichnisse (NTDS, Sysvol etc.) und ggf. Win), die DHCP & WINS-Datenbanken (den Rest erschlägst Du mit nem Neuaufsetzen und nem Restore, alle Nutzdaten (User / Projects / Departments), Konfigurationen ISA....

Ziel iss relativ egal, entweder auf nem Backupserver als File oder auf ein Tape oder oder oder.....

muß nur automatisch passieren...

btw. (nebenbei) Du hast weder ein Mailsystem noch ggf. Datenbanken....

Gruß

24
El-Larso
El-Larso 21.07.2009 um 08:29:21 Uhr
Goto Top
Hi,

ich würde das NAS gegen ein SAN tauschen... hinsichtlich von Performance Gründen ;)
An Geld scheint es ja nicht zu mangeln, wenn du einen ISA-Server kaufen möchtest.

Gruß
Flo985
Flo985 21.07.2009 um 09:51:04 Uhr
Goto Top
Wie sieht es bezüglich Mails aus? Ich würde noch einen Exchange mit hinzunehmen.
Weitere Frage: Wieso soll alles Win 2003 sein? Wieso nicht 2008?
Was für ein Router willst du nehmen?
Du solltest auch gleich über eine Virenlösung nachdenken. Vielleicht noch ein WSUS.
danebod
danebod 27.07.2009 um 10:02:31 Uhr
Goto Top
Wie steht's mit Subnetzen? Würd ich mir bei 80 Clients schon überlegen. Dann brauchst du im Intranet allerdings auch einen Router statt eines Switches.

Willst du wirklich zwei Firewalls wie auf dem Plan? Eigentlich sollte der ISA als Proxy und Firewall reichen - wenn man ihn schon nehmen will.

Kein Webserver?

Und der Plan ist zeichentechnisch verkehrt. Aufgrund deiner Beschreibung weiß man was du meinst, die Darstellung entspricht dem aber nicht - und auch nicht den Normen. So ein Plan soll verdeutlichen, mit einem Blick soll der Betrachter die Netzwerkstruktur erkennen können, bei deinem Plan muss man sich zuviel dazu denken - was du wohl gemeint haben magst.

Warum steht der Router zwischen Firewall und Internet? Könnte er auch woanders stehen?
zerocool1989
zerocool1989 28.07.2009 um 01:28:59 Uhr
Goto Top
Moinsen,

wie sieht es mit einer DMZ für das VPN aus??
Des Weiteren würde ich den DC nicht so überlasten
und eine extra Server für Wins/DNS aufsetzten.

So wie die DC´s eingezeichnet sind passt es auch nicht ;)
einer sollte reichen, der 2te sollte wenn nur als Replika da sein
aber im ersten Moment NICHT aktiv laufen was er auf deiner
Zeichnung ja mehr oder weniger tut.

Fileserver = SAP ???
würde ich auf jeden fall lassen und fürs SAP ein extra Server
nehmen ;) und ein NAS ist keine Backup Lösung,
du musst sowieso dran denken das gewisse Daten Revisionsicher
gespeichert werden müssen.(z.b. WORM)

Wie schon erwähnt, würde ich für die Daten auch ehr zu einen SAN
greifen statt zu einem NAS. Kommt aber auf die Menge,
Größe und Wichtigkeit der Daten an.

Ich tät auch die Server an einen extra Switch/ Router packen,
getrennt von den Clients.


Gruß