6
Root Server mit Active Directory (per VPN) verbinden
Hallo allerseits,
ich brauche mal wieder Rat, da ich feststellen muss, mit AD nach wie vor nicht sonderlich erfahren zu sein.
Tante Google war auch nicht sonderlich erfolgreich dazu...
Folgendes Szenario:
- ein Windows Server 2012 Essentials im lokalen Netzwerk als "Arbeitspferd"
- ein gemieteter Root Server mit Windows Server 2012 Standard als Web- und externer E-Mail-Server
- der Webserver wählt sich per VPN ins Active Directory
So weit, so gut - funktioniert auch. Die Sache hat nur einen Haken, den ich jüngst realisiert habe:
Ist der VPN Tunnel weg (sei es, weil die lokale Internetverbindung weg ist, oder der lokale Server abgeraucht ist) geht auf den Webseiten kein Login mehr mit AD-Accounts. Ist auch logisch, der Login-Server ist ja nicht erreichbar.
Frage: Was tun?
Die einzige Lösung, die mir bewusst ist, wäre, den Webserver ebenfalls zum DC zu machen - bei dem Gedanken bekomme ich aber direkt ganz heftige Kopf- und Magenschmerzen.
Gibt's sinnvolle Alternativen???
Ich danke euch für euren Input!
Julian
ich brauche mal wieder Rat, da ich feststellen muss, mit AD nach wie vor nicht sonderlich erfahren zu sein.
Tante Google war auch nicht sonderlich erfolgreich dazu...
Folgendes Szenario:
- ein Windows Server 2012 Essentials im lokalen Netzwerk als "Arbeitspferd"
- ein gemieteter Root Server mit Windows Server 2012 Standard als Web- und externer E-Mail-Server
- der Webserver wählt sich per VPN ins Active Directory
So weit, so gut - funktioniert auch. Die Sache hat nur einen Haken, den ich jüngst realisiert habe:
Ist der VPN Tunnel weg (sei es, weil die lokale Internetverbindung weg ist, oder der lokale Server abgeraucht ist) geht auf den Webseiten kein Login mehr mit AD-Accounts. Ist auch logisch, der Login-Server ist ja nicht erreichbar.
Frage: Was tun?
Die einzige Lösung, die mir bewusst ist, wäre, den Webserver ebenfalls zum DC zu machen - bei dem Gedanken bekomme ich aber direkt ganz heftige Kopf- und Magenschmerzen.
Gibt's sinnvolle Alternativen???
Ich danke euch für euren Input!
Julian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222299
Url: https://administrator.de/contentid/222299
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
kleine Verständnisfrage: Der Server im Netz (root-server) wählt sich per VPN in den Server der bei dir steht ein. Korrekt?
Warum schaffst du dir nicht ein Workaround, in dem du per Abfrage schaust, ob das VPN besteht, bzw. der Server (dein AD) erreichbar ist und stellst dann, falls nötig die VPN Verbindung erneut her.
Das ganze lässt du dann alle x Minuten laufen.
Gruß
kleine Verständnisfrage: Der Server im Netz (root-server) wählt sich per VPN in den Server der bei dir steht ein. Korrekt?
Warum schaffst du dir nicht ein Workaround, in dem du per Abfrage schaust, ob das VPN besteht, bzw. der Server (dein AD) erreichbar ist und stellst dann, falls nötig die VPN Verbindung erneut her.
Das ganze lässt du dann alle x Minuten laufen.
Gruß
1
Hi,
Antwort auf deine Verständnisfrage: Ja, korrekt.
die VPN-Verbindung stell ich bereits automatisch wieder her, wenn sie getrennt wurde. Das ist also kein Problem.
Das Problem ist jedoch, wenn mal die DSL-Leitung streikt, hilft auch kein Versuch, VPN wieder aufzubauen (mein DSL ist zwar bislang zuverlässig, aber ich bin sicher, dieser Tag wird auch mal kommen).
Gleiches wenn ich mal was an dem AD-Server mache und dieser dann offline ist.
Grüße
Antwort auf deine Verständnisfrage: Ja, korrekt.
die VPN-Verbindung stell ich bereits automatisch wieder her, wenn sie getrennt wurde. Das ist also kein Problem.
Das Problem ist jedoch, wenn mal die DSL-Leitung streikt, hilft auch kein Versuch, VPN wieder aufzubauen (mein DSL ist zwar bislang zuverlässig, aber ich bin sicher, dieser Tag wird auch mal kommen).
Gleiches wenn ich mal was an dem AD-Server mache und dieser dann offline ist.
Grüße
Hi Julian,
was hältst du denn von einem RODC auf deinem Root-Server? http://de.wikipedia.org/wiki/Read_Only_Domain_Controller
Somit wird dein lokaler DC über VPN auf diesen repliziert, Änderungen können jedoch keine vorgenommen werden. Und wenn dein lokaler DC mal "weg" ist, kann die Authentifizierung trotzdem noch über den RODC erfolgen...
Gruss
Lars
was hältst du denn von einem RODC auf deinem Root-Server? http://de.wikipedia.org/wiki/Read_Only_Domain_Controller
Somit wird dein lokaler DC über VPN auf diesen repliziert, Änderungen können jedoch keine vorgenommen werden. Und wenn dein lokaler DC mal "weg" ist, kann die Authentifizierung trotzdem noch über den RODC erfolgen...
Gruss
Lars
1
Hi,
warum stellst du den mail- und webserver nicht in dein LAN in ne DMZ? Für den Preis des Rootservers bekommst du monatlich auch einen Business-DSL-Anschluss mit fester IP oder sogar nen SDSL?
mfg
warum stellst du den mail- und webserver nicht in dein LAN in ne DMZ? Für den Preis des Rootservers bekommst du monatlich auch einen Business-DSL-Anschluss mit fester IP oder sogar nen SDSL?
mfg
1
Hallo Lars,
danke für deine Antwort, das klingt sehr gut und (der ersten TechNet Recherche nach) durchaus auch für mich als AD-Neuling machbar.
Danke!
danke für deine Antwort, das klingt sehr gut und (der ersten TechNet Recherche nach) durchaus auch für mich als AD-Neuling machbar.
Danke!
Über die Möglichkeit habe ich zugegeben noch nie nachgedacht. Problem könnte sein, dass die DSL-Leitung hier im Ort etwas schmal ist, aber ich werde mich mal informieren.
Danke für den Tipp!
Danke für den Tipp!
