10
Redundanznetzwerk an einem anderen Standort aufbauen
Guten Zusammen,
ich muss für einen Kunden ein Redundanznetzwerk errichten und befinde mich gerade in der Planungsphase. Gemeint mit Redundanz ist in diesem Fall, die Auslagerung wichtiger Server an einem anderen Standort. Die Daten sollen im 24 Stundenbetrieb von Netzwerk 1 (Haupt-Lan) ins Netzwerk 2 (Reserve-Lan) gespiegelt bzw. Synchronisiert werden. Das Netzwerk 2 ist für Ausfall zwecke gedacht. Es steht also im Stand-by und im Fall eines Ausfalles von Netzwerk 1 wird die Domäne.de auf eine andere IP-Adresse umgeleitet und Diverse Dienste hochgefahren!
Hier im Kurzüberblick der IST-Zustand von Netzwerk 1:
• ESXI mit folgenden VMs:
• 2 x Domaincontroller (DC) (2k8R2) für Benutzerverwaltung inkl. RAS/VPN-Server
• 1 x Terminal-Server (2K8R2)
• 1 x Exchange 2016 (2K16)
• 1 x Debian-Server mit Apache und MySQL
• IP-Netzwerkadresse: 178.0/24 Gateway: 178.1 DNS: die beiden DC
Hier nun meine Überlegungen wie der SOLL-Zustand aussehen könnte.
• ESXI mit folgenden VMs:
• 1 x Domaincontroller (DC) (2k16) für Benutzerverwaltung inkl. RAS/VPN-Server
• 1 x Terminal-Server (2K16)
• 1 x Exchange 2016 (2K16)
• 1 x Debian-Server mit Apache und MySQL
• IP-Netzwerkadresse: 178.0/24 Gateway: 178.254 DNS: der DC
Der ESXI und DC ist bereits gebaut und läuft und dazu habe ich auch keine Fragen!
Bei der Netzwerkadresse (178.0) habe ich mich absichtlich für den gleichen IP-Bereich nur mit anderen Gateway entschieden, macht glaube ich mehr Sinn, als neuen Adressbereich verwalten zu müssen. Wird wahrscheinlich beides gehen, ist mir aber so lieber und übersichtlicher. Den Sync. der Objekte aus dem Katalog macht der DC ja ganz von alleine.
Beim Terminal-Server, könnte ich natürlich den TS aus Netzwerk 1 Clonen, einmal raus und wieder rein, mit neuen Hostnamen, aber es macht für mich keinen Sinn, jetzt noch einen 2K8R2 zu installieren, daher neu als 2K16 und TS aus Netzwerk 1 nachbauen. Für den Sync der Daten, nehme ich FreeFileSync V.9. im Modus Spiegeln. Damit habe ich gute Erfahrungen. Der Re-Sync. hält sich auch in Grenzen, da der Produktivdatenbestand nicht die Welt ist!
Der Exchange Server 2016 macht mir ein wenig Angst. Ist die Sache so zu sehen, wie bei einem zusätzlichen DC in einer Domäne? Also einfach aufsetzen und die beiden Exchange fang an zu replizieren oder muss ich da auf was achten? Wobei ich den Empfang von Mails auf dem Exchange im Netzwerk 2. Manuell hochfahren würde, wenn es zu einem Ausfall kommen sollte im Netzwerk 1. Dies läuft über Popcon (Abfrage der Postfächer beim Provider).
Beim Debian mache ich es mir einfacher, hier nehme ich aus Netzwerk 1 die VM und packe die Kopie auf den ESXI und verpasse der Maschine einen neuen Hostnamen. Die Daten lasse ich wie beim TS spiegeln. Wobei die Dienste Apache und MySQL nicht laufen. Werden dann manuell bei einem Ausfall von Netzwerk 1 gestartet!
Mir ist klar, dass hier jeder der das liest andere Ansichten hat, wie man das umsetzen kann. Die Frage ist für mich jetzt, seht ihr hier irgendwo einen groben Planungsfehler oder etwas auf mich zurollen, wo das Konzept scheitern könnte?
Vielen Dank für euere Meinung!
ich muss für einen Kunden ein Redundanznetzwerk errichten und befinde mich gerade in der Planungsphase. Gemeint mit Redundanz ist in diesem Fall, die Auslagerung wichtiger Server an einem anderen Standort. Die Daten sollen im 24 Stundenbetrieb von Netzwerk 1 (Haupt-Lan) ins Netzwerk 2 (Reserve-Lan) gespiegelt bzw. Synchronisiert werden. Das Netzwerk 2 ist für Ausfall zwecke gedacht. Es steht also im Stand-by und im Fall eines Ausfalles von Netzwerk 1 wird die Domäne.de auf eine andere IP-Adresse umgeleitet und Diverse Dienste hochgefahren!
Hier im Kurzüberblick der IST-Zustand von Netzwerk 1:
• ESXI mit folgenden VMs:
• 2 x Domaincontroller (DC) (2k8R2) für Benutzerverwaltung inkl. RAS/VPN-Server
• 1 x Terminal-Server (2K8R2)
• 1 x Exchange 2016 (2K16)
• 1 x Debian-Server mit Apache und MySQL
• IP-Netzwerkadresse: 178.0/24 Gateway: 178.1 DNS: die beiden DC
Hier nun meine Überlegungen wie der SOLL-Zustand aussehen könnte.
• ESXI mit folgenden VMs:
• 1 x Domaincontroller (DC) (2k16) für Benutzerverwaltung inkl. RAS/VPN-Server
• 1 x Terminal-Server (2K16)
• 1 x Exchange 2016 (2K16)
• 1 x Debian-Server mit Apache und MySQL
• IP-Netzwerkadresse: 178.0/24 Gateway: 178.254 DNS: der DC
Der ESXI und DC ist bereits gebaut und läuft und dazu habe ich auch keine Fragen!
Bei der Netzwerkadresse (178.0) habe ich mich absichtlich für den gleichen IP-Bereich nur mit anderen Gateway entschieden, macht glaube ich mehr Sinn, als neuen Adressbereich verwalten zu müssen. Wird wahrscheinlich beides gehen, ist mir aber so lieber und übersichtlicher. Den Sync. der Objekte aus dem Katalog macht der DC ja ganz von alleine.
Beim Terminal-Server, könnte ich natürlich den TS aus Netzwerk 1 Clonen, einmal raus und wieder rein, mit neuen Hostnamen, aber es macht für mich keinen Sinn, jetzt noch einen 2K8R2 zu installieren, daher neu als 2K16 und TS aus Netzwerk 1 nachbauen. Für den Sync der Daten, nehme ich FreeFileSync V.9. im Modus Spiegeln. Damit habe ich gute Erfahrungen. Der Re-Sync. hält sich auch in Grenzen, da der Produktivdatenbestand nicht die Welt ist!
Der Exchange Server 2016 macht mir ein wenig Angst. Ist die Sache so zu sehen, wie bei einem zusätzlichen DC in einer Domäne? Also einfach aufsetzen und die beiden Exchange fang an zu replizieren oder muss ich da auf was achten? Wobei ich den Empfang von Mails auf dem Exchange im Netzwerk 2. Manuell hochfahren würde, wenn es zu einem Ausfall kommen sollte im Netzwerk 1. Dies läuft über Popcon (Abfrage der Postfächer beim Provider).
Beim Debian mache ich es mir einfacher, hier nehme ich aus Netzwerk 1 die VM und packe die Kopie auf den ESXI und verpasse der Maschine einen neuen Hostnamen. Die Daten lasse ich wie beim TS spiegeln. Wobei die Dienste Apache und MySQL nicht laufen. Werden dann manuell bei einem Ausfall von Netzwerk 1 gestartet!
Mir ist klar, dass hier jeder der das liest andere Ansichten hat, wie man das umsetzen kann. Die Frage ist für mich jetzt, seht ihr hier irgendwo einen groben Planungsfehler oder etwas auf mich zurollen, wo das Konzept scheitern könnte?
Vielen Dank für euere Meinung!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342757
Url: https://administrator.de/forum/redundanznetzwerk-an-einem-anderen-standort-aufbauen-342757.html
Ausgedruckt am: 21.04.2025 um 04:04 Uhr
10 Kommentare
Neuester Kommentar
Moin,
wie sind denn die Netzwerke/Standorte mit einander Verbunde und was für ESXi Versionen wird denn eingeesetzt?
Evtl. kannst du auch "einfach" alles VMs z.b. mit Veeam replizieren? Oder falls eine SAN im Einsatz ist, das ganze auf Arrayebene synchron halten
lg,
Slainte
wie sind denn die Netzwerke/Standorte mit einander Verbunde und was für ESXi Versionen wird denn eingeesetzt?
Evtl. kannst du auch "einfach" alles VMs z.b. mit Veeam replizieren? Oder falls eine SAN im Einsatz ist, das ganze auf Arrayebene synchron halten
lg,
Slainte
Hallo SlainteMatath,
über zwei 100 VDSL (VPN-IPSEC). die Maschinen zu replizieren war auch eine Idee gewesen, jedoch habe ich dann kein aktuellen Datenbestand. Das würde wahrscheinlich gehen, aber max. 1 x pro Tag. Das ist zu wenig. Ausserdem wäre die VDSL dann unter Dauerbelastung, auch nicht gut! Ein SAN ist nicht im Einsatz.
ESXI ist im Netzwerk 1 ein 5.1 (Free) und im Netzwerk 2 ein 6.5 (Free)
über zwei 100 VDSL (VPN-IPSEC). die Maschinen zu replizieren war auch eine Idee gewesen, jedoch habe ich dann kein aktuellen Datenbestand. Das würde wahrscheinlich gehen, aber max. 1 x pro Tag. Das ist zu wenig. Ausserdem wäre die VDSL dann unter Dauerbelastung, auch nicht gut! Ein SAN ist nicht im Einsatz.
ESXI ist im Netzwerk 1 ein 5.1 (Free) und im Netzwerk 2 ein 6.5 (Free)
Irgendwie ist die Angabe der IP Adressen völlig unsinnig.
Was soll denn sowas kryptisches wie 178.0/24 Gateway: 178.1 DNS bedeuten ??
Mal ganz davon abgesehen das die 178er Adresse keine RFC 1918 IP ist sondern eine vergebene denn die gehört Arcor bzw. Vodafone !
Aber auch vom Subnetting ist das irgendwie Blödsinn. 178.0.x.x impliziert ja erstmal ein /16 Prefix, aber der TO gibt hier einen /24 Prefix vor.
Damit ist dann einen Gateway IP von 178.1.x.x unmöglich, denn die würde sowohl mit einem /16 als auch mit einem /24 Prefix (Subnetzmaske) in einem völlig anderen Netz liegen und eine IP Kommunikation damit unmöglich machen.
Gleiches gilt für den 178.0/24 Gateway: 178.254 Unsinn !
Nach einen schlüssigen IP Konzept sieht das nicht aus oder nach erheblichen Defiziten in der IP Adress Planung oder Verständnis von Subnetting
Fakt ist aber das bei IP Netzwerk Gleichheit auf beiden Seiten eine Layer 2 Technik über die WAN Verbindung realisiert werden muss denn die beiden Netze sind ja dann quasi eins und müssen über Layer 2 gekoppelt werden.
geroutete VPNs fallen da gleich flach, denn die erfordern wie der Name schon sagt ein Routing und damit unterschiedliche IP Netze.
Bei eine solchen L2 Kopplung nimmt man entweder den Klassiker MPLS / VPLS oder VxLAN. Letzteres bietet sich in einer VmWare Umgebung an.
Es gibt auch proprietäre Verfahren wie DCI (Data Center Interconnect) z.B. von Cisco die dann aber Cisco Hardware erzwingen.
Klassisch ist VPLS.
Was soll denn sowas kryptisches wie 178.0/24 Gateway: 178.1 DNS bedeuten ??
Mal ganz davon abgesehen das die 178er Adresse keine RFC 1918 IP ist sondern eine vergebene denn die gehört Arcor bzw. Vodafone !
Aber auch vom Subnetting ist das irgendwie Blödsinn. 178.0.x.x impliziert ja erstmal ein /16 Prefix, aber der TO gibt hier einen /24 Prefix vor.
Damit ist dann einen Gateway IP von 178.1.x.x unmöglich, denn die würde sowohl mit einem /16 als auch mit einem /24 Prefix (Subnetzmaske) in einem völlig anderen Netz liegen und eine IP Kommunikation damit unmöglich machen.
Gleiches gilt für den 178.0/24 Gateway: 178.254 Unsinn !
Nach einen schlüssigen IP Konzept sieht das nicht aus oder nach erheblichen Defiziten in der IP Adress Planung oder Verständnis von Subnetting
Fakt ist aber das bei IP Netzwerk Gleichheit auf beiden Seiten eine Layer 2 Technik über die WAN Verbindung realisiert werden muss denn die beiden Netze sind ja dann quasi eins und müssen über Layer 2 gekoppelt werden.
geroutete VPNs fallen da gleich flach, denn die erfordern wie der Name schon sagt ein Routing und damit unterschiedliche IP Netze.
Bei eine solchen L2 Kopplung nimmt man entweder den Klassiker MPLS / VPLS oder VxLAN. Letzteres bietet sich in einer VmWare Umgebung an.
Es gibt auch proprietäre Verfahren wie DCI (Data Center Interconnect) z.B. von Cisco die dann aber Cisco Hardware erzwingen.
Klassisch ist VPLS.
Irgendwie ist die Angabe der IP Adressen völlig unsinnig.
Was soll denn sowas kryptisches wie 178.0/24 Gateway: 178.1 DNS// bedeuten ??
IP Adressbereich: 192.168.178.1 bis 192.168.254 mit SubNet: 255.255.255.0 Gateway: 192.168.178.1 DNS: Die jeweiligen DNS Server im Lan, die natülich als DNS konfiguriert sind.Was soll denn sowas kryptisches wie 178.0/24 Gateway: 178.1 DNS// bedeuten ??
Heute würde ich das auch anders machen, jedoch ist es so wie es ist und werde den Teufel tun und das alles umbauen, so lange es läuft!
VDSL [...] ESXI [...] (Free)
Ok. also auf Homelab niveau.. nagut .)Für Exchange 2016 gitbs div. Methoden... guckst du hier Ob das aber über deine Consumer VDSL Leitung klappt weis ich nicht.
TS musst du eine sep. VM neu im DR-Standort aufsetzen, im Desaster-Fall müssen die User dann eben händisch den Ersatz-TS aufrufen
File hast du ja schon ein Tool. Wäre da ein Windows Fileserver, könntest du auch mit DFS-R arbeiten
lg,
Slainte
Das hört sich aber sehr herablassend von dir an, "OK also HomeLap"... und google habe ich schon befragt! Ich verstehe nicht warum man sich als kleiner Admin hier immer Krum machen muss, es kann soch nicht jeder für eine VW-AG arbeiten. Ihc gehe jetzt mal davon aus, dass du es nicht böse gemeint hast, also Schwamm drüber...
Zurück zu meiner Frage:
20 Mbit im Upload stehen mir zur verfügung und wir reden ja hier von von ca. 40-60 GB einmal Repli. und danach sollen ja nur noch die aktualisierten Objekte repliziert werden. Ich finde allerdings auch keine Anleitung im Netz, wie ich das Ganze zu installieren u. konfigurieren ist.
Deshalb fragte ich ja, ist es ggf. so einfach wie beim aufsetzen eines zweiten DC innerhalb einer Domäne, wo die Kataloge sich ja auch von selbst replizieren in beide richtungen, weil der DC ja bemerkt das bereits ein Schamamaster vorhanden ist. Wenn dem so ist, dann bekomme ich das auch hin. Ich habe das halt noch nie gemacht, zweiten Exchnage in einer Domaine über Tunnel. Irgewann ist doch immer das erste mal.
Kurze knackige Antwort wäre super... ist es so einfach oder nicht?
Ich dachte aus meiner Beschreibung heraus wäre klar gewesen, dass es sich um kein Cluster handelt.
Zurück zu meiner Frage:
20 Mbit im Upload stehen mir zur verfügung und wir reden ja hier von von ca. 40-60 GB einmal Repli. und danach sollen ja nur noch die aktualisierten Objekte repliziert werden. Ich finde allerdings auch keine Anleitung im Netz, wie ich das Ganze zu installieren u. konfigurieren ist.
Deshalb fragte ich ja, ist es ggf. so einfach wie beim aufsetzen eines zweiten DC innerhalb einer Domäne, wo die Kataloge sich ja auch von selbst replizieren in beide richtungen, weil der DC ja bemerkt das bereits ein Schamamaster vorhanden ist. Wenn dem so ist, dann bekomme ich das auch hin. Ich habe das halt noch nie gemacht, zweiten Exchnage in einer Domaine über Tunnel. Irgewann ist doch immer das erste mal.
Kurze knackige Antwort wäre super... ist es so einfach oder nicht?
Ich dachte aus meiner Beschreibung heraus wäre klar gewesen, dass es sich um kein Cluster handelt.
IP Adressbereich: 192.168.178.1 bis 192.168.254 mit SubNet: 255.255.255.0 Gateway: 192.168.178.1
Sorry aber das ist genau so ein Blödsinn wie oben ! Oder du hast dich vertippt...Das IP Netzwerk: 192.168.178.0 /24 ist ein völlig anderes als 192.168.254.0 24 und eine Kommunikation dazwischen wird ohne Router scheitern !
Vermutlich meinst du aber einzig nur das 192.168.178.0 /24 Netz mit dem Hostbereich von .1 bis .254, (max. 253 adressierbare Endgeräte) richtig ?
Wenn du grüne Wiese hast und neu planst solltest du nicht dieses dümmliche FritzBox Standard Netzwerk verwenden. Spätestens wenn VPN ein Thema ist fällt dir diese nicht besonders intelligente IP Adressierung auf die Füsse.
Der RFC 1918 bietet sinnvollere Alternativen:
https://de.wikipedia.org/wiki/Private_IP-Adresse
...wie z.B. 172.20.178.0 /24 oder 10.178.1.0 /24 usw. die diese Konflikte sicher vermeiden wenn du partout nicht von der "178" lassen kannst.
Und nochmal zur Erinnerung: An beiden Standorten die gleiche IP Adressierung erfordert zwingend eine Layer 2 Kopplung (Bridging) zwischen diesen Netzen !
Nur das du das nicht vergisst....
Vermutlich meinst du aber einzig nur das 192.168.178.0 /24 Netz mit dem Hostbereich von .1 bis .254, (max. 253 adressierbare Endgeräte) richtig ?
Richtig
Ich verstehe schon was du meinst. Und du hast Recht. Nur werde ich nicht wie oben beschrieben eine sehr gut laufende IP und DNS Konfiguration jetzt auseinander nehmen nur um RFC zu erfüllen.
Es geht nur um eine Erweiterung des Netzwerks. Nicht darum, das Teil abzureissen und neu zu bauen.
Da ich hier nicht weiter komme, werde ich das Ganze jetzt mit Clonen aus dem Netzwerk 1 testen auf dem ESXI. Dachte, ich könnte mir das sparen.
Damit schließe ich für mich das Thema u. Trotzdem danke für den einen oder anderen Hinweis.
IP und DNS Konfiguration jetzt auseinander nehmen nur um RFC zu erfüllen.
Musst du ja auch nicht !Das IP Netz 192.168.178.0 /24 ist ja ein RFC 1918 IP Netz !!!
Es ist nur nicht besonders intelligent das zu vergrößern da das millionenfach von FritzBoxen genutzt wird. Wenn du ne Chance hast das anzupassen solltest du es machen. Wenn es partout nicht geht musst du halt damit leben.
Leider hat da einer beim IP Adressdesign gepennt oder nur sehr geringe Netzwerk Kenntnisse gehabt
Es rennt aber auch mit dem FB Netz.
Es geht nur um eine Erweiterung des Netzwerks.
Das war schon verstanden aus deinen obigen Ausführungen
Alles klar, verstehe was du meinst, lasse mir das noch mal durch den Kopf gehen.
