tezzla
Goto Top

Strategiefrage zur Einrichtung eines temporärer Standortes

Guten Tag zusammen,

ich habe eine konzeptionelle Frage: Es besteht die Notwendigkeit einmal im Jahr für 10 Tage an einem externen Standort einige Dienste (Mail, Files, Internetanwendungen von Drittanbietern über Citrix) aus dem Haupthaus für eine kleinere Userzahl (30-40) bereitzustellen. Wir betreiben hier im Haupthaus ein Active Directory (Win 2008 r2 Server) mit einer Domäne, ein Standort, keinen weiteren Vertrauensstellungen und zwei Domänencontrollern. Dazu diverse andere Server, wie File- und Terminalserver, aber nichts Aufregendes oder Exotisches.

An dem temporären Standort würde ich gerne die Rechteverwaltung verfügbar haben, um ggf. Gruppenmitgliedschaften, Policies etc. vor Ort anpassen zu können. Die Maschinen sind für ein Login bei nicht verfügbarem Anmeldeserver konfiguriert. Für den Zeitraum sollen keine Server aus der bestehenden Struktur herausgelöst und mitgenommen werden. Eine Anbindung ans Internet erfolgt (leider nur) über eine 6mbit ADSL Leitung. Mehr gibt es vor Ort nicht. Deshalb tendiere ich zu DCs vor Ort.

Da die komplette Infrastruktur an dem temporären Standort die restlichen Tage im Jahr nicht benötigt wird, bin ich da sehr unschlüssig, was die Konfiguration angeht. Meines Wissen nach fallen die DCs nach einer gewissen Zeit aus dem Sync, wenn die Maschinen länger ausgeschaltet waren, sodass die Geräte zur Not am Hauptstandort den Rest des Jahres als DC 3 und 4 mitlaufen könnten, z.B. als zweiter Standort mit seperiertem Netz.

Hat zu dieser Thematik jemand vielleicht eine bessere Vorgehensweise?

Da die Hardware für diesen temporären Standort neu angeschafft werden wird, habe ich hier eine gewisse planerische Freiheit im Einkauf.

Ich hoffe, ich habe das richtige Unterforum erwischt und bedanke mich schon jetzt für die Hilfe.
Viele Grüße!

Content-ID: 279107

Url: https://administrator.de/contentid/279107

Printed on: October 6, 2024 at 19:10 o'clock

108012
108012 Aug 03, 2015 at 15:06:57 (UTC)
Goto Top
Hallo,

Eine Anbindung ans Internet erfolgt (leider nur) über eine 6mbit ADSL Leitung.
Ich kann das bald nicht mehr glauben.

- 32 MBit/s über Kabel Deutsschland
- bis 50 MBit/s oder 100 MBit/s via LTE (Telekom, O2, Vodaphone)
- Bis zu 10 MBit/s synchron via Company Connect

Hat zu dieser Thematik jemand vielleicht eine bessere Vorgehensweise?
Multi WAN Router oder Firewall anschaffen und dann temporär dort aufstellen.
Dann eine VPN Verbindung zur Zentrale anschaffen und gut ist es.

Gruß
Dobby
Tezzla
Tezzla Aug 03, 2015 at 15:12:56 (UTC)
Goto Top
Ich habe bereits alle gängigen Anbieter durch: Unitymedia, Telekom, Vodafone, etc. Selbst die Anbindung über LTE scheitert, da der Standort am Ende der Welt ist. Zudem schaltet nur die Telekom einen Anschluss dorthin für die Laufzeit von einem Monat. Stand: vor einer Woche.

Das Active Directory ausschließlich über's VPN zu bedienen habe ich auch schon in Betracht gezogen, bin aber aufgrund der phenomenalen Leitungsgeschwindigkeit sehr unsicher, ob das überhaupt Sinn macht.
chiefteddy
chiefteddy Aug 03, 2015 at 16:03:58 (UTC)
Goto Top
Hallo,

wie wäre es denn mit reinem Terminal-Betrieb: Terminal-Server am Hauptstandort; VPN-Tunnel von externen Standort und dort nur "dumme" Terminal-Clients (zB Igel https://www.igel.com/de/ ).

Damit würde der Datenverkehr (incl. AD) in der Domäne vollständig am Hauptstandort bleiben.

Jürgen
Tezzla
Tezzla Aug 03, 2015 at 16:24:47 (UTC)
Goto Top
Hallo zusammen,

danke für die Rückmeldungen.
Ich dachte aufgrund der schmalen Bandbreite eher daran soviel wie möglich dort lokal vor Ort bereitzustellen, sprich (evtl.) DCs, Fileserver und vermutlich einen Terminalserver, der über RemoteApp noch einige Applikationen bereitstellt. Kann man das AD über VPN mit einer 6mbit ADSL betreiben, ohne dass es da zu größeren Schwierigkeiten bei Logintimeouts etc kommt?

Die Option Thin Clients ist auch interessant im Hinblick auf Lagerung und Transport, danke für den Hinweis.
Dani
Dani Aug 03, 2015 at 17:08:07 (UTC)
Goto Top
@108012
Ich kann das bald nicht mehr glauben.
Bittere Realität... wir haben noch Außenstellen auf dem Land wo ADSL max. 2/3MBit im Download möglich ist.

@chiefteddy
wie wäre es denn mit reinem Terminal-Betrieb: Terminal-Server am Hauptstandort; VPN-Tunnel von externen Standort und dort nur "dumme" Terminal-Clients
Das wird aber bei ADSL 6000 und 30-40 Benutzern sehr, sehr eng zugehen. Da wird ihm nichts anderes übrig bleiben, als auf SDSL auszuweichen.

@Tezzla
Ich würde die Variante mit Thinclients bevorzugen und eine entsprechend Leitung (SDSL oder DeutschlandLAN) mieten. Ich würde die Technik so gering wie möglich an der Außenstelle halten. Denn die Wartung bleibt bei euch hängen. Gerade bei DCs vor Ort, solltest du AD-Sites einführen und entsprechend einführen. Ist alles Aufwand. Per RDP auf den RDS-Host - fertig.

Kann man das AD über VPN mit einer 6mbit ADSL betreiben, ohne dass es da zu größeren Schwierigkeiten bei Logintimeouts etc kommt?
Sicher... bloß eben nicht mit parallel 30-40 Usern, Exchange-Postfach, File-Sync o.ä. Da ist die Leitung ziemlich schnell dicht.


Gruß,
Dani
chiefteddy
chiefteddy Aug 03, 2015 at 17:34:48 (UTC)
Goto Top
Hallo,

ich habe vor ca. 10 Jahren mehere Außenstellen mit 1-2 RDP-Clients über jeweils eine 64kbit ISDN-Standleitung der Telekom auf einen Win2k3-Terminalserver im produktiven Betrieb arbeiten lassen, Ging von der Performance problemlos (pro RDP-Sitzung 20-23kbit Bandbreite notwendig).

Bei 40 Clients sind das unter 1Mbit Bandbreite. Das müßte auch mit einer ADSL-Leitung zu machen sein. Das aktuelle RDP-Protokoll soll ja auch noch effizienter sein. Käme also auf einen Versuch an. SDSL ist natürlich besser, ohne Frage.

Vielleichte kann man die Thin-Clients ja auch auf 2 ADSL-Anschlüsse aufteilen (preiswerter als SDSL?). Man bräuchte die ADSL-Leitungen dann nicht mal bündeln.

Jürgen
Dani
Dani Aug 03, 2015 at 18:38:58 (UTC)
Goto Top
Hallo Jürgen,
ein ADSL6000 hat normalerweise 512kbit/s als Upload. Der VPN-Tunnel wird auch noch etwas Bandbreite schlucken. Netzwerkdrucker werden wahrscheinlich auch noch vor Ort sein. Das wird verdammt eng... Evtl. beherrscht die Firewall sowas wie WAN-Optimierung o.ä.

Schlussendlich spielt auch z.B. die Bittiefe (16, 24, 32) eine Rolle. Microsoft empfiehlt pro Session ca.80-100kbit/s.


Gruß,
Dani
chiefteddy
chiefteddy Aug 04, 2015 at 07:22:47 (UTC)
Goto Top
Hallo @Dani,

ich sage ja "Versuch macht klug". face-wink

Bei Aufteilung der Clients auf 2 ADSL-Leitungen müßte es aber gehen.

Und für das Drucken gibt es auch eine Lösung: ThinPrint. ( http://www.thinprint.com/de-de/ )

Jürgen
Tezzla
Tezzla Aug 04, 2015 at 11:09:21 (UTC)
Goto Top
Nach jetzigem Erkenntnisstand und eurer Hilfe sieht mein vorläufiges, grobes Konzept wie folgt aus:

- Zweite Site einrichten und vor Ort 2 DCs betreiben
- Terminalserver im Cluster
- Fileserver mit DFS
- Firewall mit VPN zum Haupthaus und HTTP Priorisierung nach unten
- WDS mit betriebsbereitem Image für Clients
- Printserver

Damit erhoffe ich mir möglichst viel vor Ort zu regeln und nur wenig "Systemtraffic" über die ADSL Leitung zu schieben. Eine zweite Leitung habe ich angefragt, sodass man hier eventuell noch splitten kann.

Vielen Dank schonmal für die vielen Vorschläge.
killtec
killtec Aug 04, 2015 at 11:21:37 (UTC)
Goto Top
Hi,

- Zweite Site einrichten und vor Ort 2 DCs betreiben
Einer sollte reichen bei den paar Clients.
Ist es nicht ggf günstiger, statt der vielen Hardware und Lizenzen etc. eine große Leitung von der Telekom zu nehmen?

Gruß
kopie0123
kopie0123 Aug 04, 2015 at 11:36:06 (UTC)
Goto Top
Hallo zusammen,

@killtec: Wie er bereits geschrieben hat: Eine Anbindung ans Internet erfolgt (leider nur) über eine 6mbit ADSL Leitung.

@killtec: Wie erzeugst Du Ausfallsicherheit mit einem DC? Ich verstehe ihn so, dass er auch gewisse Clusterdienste betreiben will (Terminal, DFS)

Grüße
schicksal
schicksal Aug 04, 2015 at 11:48:10 (UTC)
Goto Top
In der letzten MS-Partner Konferenz wurde so ein Beispiel genannt.
Ich hoffe ich gebe es richtig wieder.

Hänge einen zusätzlichen DC an deine Umgebung (Am besten virtualisiert) !DC keine Snapshots empfohlen!
Wenn du vor Ort alles vorbereitet hast, hängst du dort auch den DC dazu.

Zwischen den Standorten baust du eine VPN auf, so können diese Syncen.
Dies müsste rudimentär für 10 Tage AD Rechte und Mail reichen.
Datenbank oder Filezugriff zum Hauptstandort benötigst du ja scheinbar nicht.

Den visualisierten DC kannst du dann später wieder in die Hauptumgebung einbinden, oder zurückstufen.
killtec
killtec Aug 04, 2015 at 12:03:14 (UTC)
Goto Top
Hi,
die Ausfallsicherheit hast du über das bestehende VPN zum Hauptstandort. Du musst ihn nur im DHCP mit eintragen.

Gruß
Tezzla
Tezzla Aug 05, 2015 at 18:14:25 (UTC)
Goto Top
So, wie oben schon geschrieben, wird es ein redundantes Setup mit 2 DCs vor Ort.
Ich möchte mich an dieser Stelle nochmal für die konstruktiven Vorschläge bedanken.

Bis dahin!