spitzbube
Goto Top

Vorbereitung im Pfsense VLAN für vCenter Server Installation

Guten Morgen,

angehlent an das Tutorial zur Realsierung mehrerer VLANs in Verbindung mit der Pfsense möchte ich nun einen Schritt weiter gehen und mein eigenes Testlabor einrichten. Dieses soll in einem eigens angelegten VLAN beherbergt sein. Das VLAN ist bereits angelegt und die Switche sowie die Pfsense Firewall samt Router dafür konfiguriert.

In der Bucht konnte ich vor kurzem einen preiswerten HP DL 380 Gen. 7 mit sehr üppiger Ausstattung erwerben. Auf diesem ist bereits ESXi in der Version 6 mit einem Custom Image installiert. Nach einigen Tests und Versuchen hab ich dann eingesehen, dass gewisse Dinge im Netzwerk einfach ein richtiges Umfeld bzw. die richtigen Voraussetzungen geschaffen werden müssen, um reibungslos zu funktionieren.

Um nun Grundlegend die VM Ware Produkte besser kennen zu lernen um deren Möglichkeiten praxisbezogen einmal zu konfigurieren, soll der ESX Server von einem vCenter Server verwaltet werden. Jetzt werden wieder einige sagen ja das brauchst du nicht und nur ein Server usw. Mir egal ich will das Teil praktisch testen. Punkt!

Einmal hatte ich bereits Erfolg und konnte eine laufende VM vCenter Server mit einem embeded Plattform Service Controller installieren. Da dies damals ohne VLAN in einem Netzwerk passiert ist und das DNS und Domaincontroller Setup nicht ausreichend performant für meine Geräte war. Habe ich nun wie oben geschrieben erst mal die Voraussetzungen dafür geschaffen.

Da ich nicht ausschließlich mit IP Adressen beim Setup des vCenter Servers arbeiten möchte sondern das Ganze Hand und Fuss haben soll, ist es ja somit nötig das das VLAN einen eigenen Domaninnamen bekommt. Wie in meinem Besipiel homelab.net

So hab ich nun ein VLAN folgend konfiguriert.

VLAN ID: 20

Gateway: 192.168.20.1
DHCP Range: 192.168.20.50 - 192.168.20.150
Infrastruktur Hardware wie Switches haben natürlich eine feste IP:

Domaincontroller: 192.168.20.10 (statisch)
DNS: 192.168.20.10
Gateway: 192.168.20.1

ESX Server 192.168.20.20
DNS: 192.168.20.10
Gateway: 192.168.20.1

Der Domaincontroller wurde nach Anleitung installiert. Hier wurde praktisch nur erklärt, wie man die Serverrolle installiert, wenn man das wie ich noch nie gemacht hat face-smile

Mit dieser Anleitung habe ich mir dann die DNS Konfigurationen für den vCenter Server abgeleitet. Der Knackpunkt ist und bleibt bei der Installation der FQDN Name und setzt, wenn ich das richtig sehe einen richtig konfigurieres Netzwerk mit DHCP DNS und einem funktionierenden Domaincontroller voraus.

Ich bin mir nich sicher, deshalb frage ich: Ist nun seitens der Pfsense noch etwas zu berücksichtigen? Einstellungen etc. ist ja 1. ein komplett anderes Netzwerk und 2. eine andere Domäne. Somit müsste doch zumindest für mein geringes Verständnis der DNS Server der Pfsense nur für die Auflösung externer Adressen sprich Internet Adressen zuständig sein. Alles andere in diesem VLAN20 soll ja der Domaincontroller machen.

Habe jetzt mal vorsichtshalber alles auf default gelassen:

2018-03-10 09_56_30-pfsense.localdomain - services_ dns resolver_ general settings

2018-03-10 09_59_03-pfsense.localdomain - services_ dns resolver_ general settings

Content-ID: 367687

Url: https://administrator.de/contentid/367687

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

aqui
aqui 10.03.2018 aktualisiert um 11:47:28 Uhr
Goto Top
und setzt, wenn ich das richtig sehe einen richtig konfigurieres Netzwerk mit DHCP DNS und einem funktionierenden Domaincontroller voraus.
Nein, nicht unbedingt ! Siehe hier:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Ist nun seitens der Pfsense noch etwas zu berücksichtigen?
Nein, eigentlich nicht.
Du musst nur wenn du die pfSense als lokalen DHCP Server laufen lässt die lokale DNS Server IP propagieren. Auf dem lokalen DNS Server musst du dann eine Weiterleitung auf die pfSense IP einrichten.
Vermutlich ist aber deine Winblows Gurke auch gleichzeitig DHCP Server, und dann musst du auf der pfSense keinen DHCP aktivieren.
Das einzige was du dann machst ist deinem lokalen DNS Server wieder die DNS Weiterleitung auf die pfSense IP einzurichten. Die pfSense ist ja Proxy DNS ins Internet.
1. ein komplett anderes Netzwerk
Wie kommst du darauf ?? Ist ja Unsinn, denn die pfSense ist ja selber auch im .20.0er Netz ! Warum also "fremdes Netz" ??
2. eine andere Domäne
Auch das ist ja Unsinn. Du setzt doch die pfSense in die gleiche Domäne wie auch dein DNS und DHCP Server ??! Also wenn deine Domäne spitzbube.home.arpa ist dann ist auch die pfSense in dieser Domain.
An den Resolver Options musst du NICHT fummeln !
Du gibst am WAN Port einfach deine IP an, definierst dort das Gateway und trägst einen DNS Server ein, überlicherweise die IP des Internet Routers. Fertig !
Guckst du auch hier:
PfSense DNS-Resolver langsam nach "reconnect"

Mehr ist nicht zu machen. Wenn du den WAN Port der pfSense auch noch im (Default) DHCP Client Mode laufen lässt zieht sie sich das auch noch automatisch udn du musst gar nichts mehr einstellen !
DHCP hat aber den Nachteil das du dann ggf. wechselnde WAN Port IP Adressen hast.
Hier hilft dann wieder im Internet Router DHCP Server eine feste IP Zuordnung zu machen auf die Mac Adresse des WAN Ports. So bekommst du per DHCP quasi auch immer eine feste IP und Gateway und DNS automatisch OHNE das du da was im pfSense Setup fummeln musst !
Spitzbube
Spitzbube 10.03.2018 um 13:50:27 Uhr
Goto Top
wenn doch die Pfsense als Domainname pfsense.localdomain hat ist es doch ein anderer Domainname wie im VLAN20 fürs Labor vom DNS Server ausgegeben wird eben hier homelab.net. Ja, die Windows Gruke hat auch DHCP mit installiert genauso wie AD. Müsste dann nicht im DNS Server und wie bereits geschehen im DHCP Server der Pfsense der Service für das VLAN20 abgeschalten werden, weil da ja schon ein Domaincontroller mit DHCP und DNS existiert. Daher der Screenshot.

Der vCenter Server auf dem ESX braucht halt den DNS nur, damit man für das Ansprechen des PSC nicht die IP sondern eben ein Name eingetragen werden kann.
aqui
aqui 10.03.2018 um 14:14:23 Uhr
Goto Top
ein anderer Domainname wie im VLAN20 fürs Labor vom DNS Server ausgegeben wird
Das spielt aber keine Rolle, denn dein zentraler DNS Server für alle Netze ist ja dein lokaler DNS der nur eine Weiterleitung auf die pfSense hat.
Die pfSense löst also nur die Namen auf die der lokale DNS nicht kennt. In der Regel sind das dann ausschliesslich nur die Internet Domain Namen.
Welchen Domain Namen die pfSense selber hat spielt dann keine Rolle. Wenn du sie über das interne Netz erreichen willst sollte sie in einer der internen Domains konfiguriert sein aoslo sowas wie pfsense.spitzbube.home.arpa.
der Service für das VLAN20 abgeschalten werden
Wenn du gar keinen DHCP Server auf der pfSense definiert hast ist das doch eh Latte !
Fazit: Belasse das alles im Default, gebe der pfSense einen lokalen DNS Namen und gut iss.
Spitzbube
Spitzbube 10.03.2018 um 15:26:06 Uhr
Goto Top
ja gut bin ich auch zu frieden, wenn i mal nix machen muss face-smile hat mich halt nur gewundert, dass bei der nslookup anfrage eben der lokalhost.localdomain und nicht domaincontroller.homelab.net zurückgegeben wird wie es eigenlich sein sollte.
2018-03-10 15_24_26-192.168.20.10 - remotedesktopverbindung
aqui
Lösung aqui 10.03.2018 aktualisiert um 15:59:24 Uhr
Goto Top
dass bei der nslookup anfrage eben der lokalhost.localdomain und nicht domaincontroller.homelab.net zurückgegeben wird
Dann hast du ja da auf dem Client womit du per nslookup abfragst einen Konfigurationsfehler begangen, denn der hat dann fälschlicherweise die IP der pfSense als DNS Server definiert statt der IP deines lokalen DNS Servers !
Dein Fehler ! (Check mit ipconfig -all)
Stell ihm deinen lokalen DNS Server als DNS IP ein, dann ist das richtig.
So oder so solltest du aber auch der pfSense deine lokale Domain als FQDN konfigurieren und NICHT den Default ! Sprich also pfsense.homelab.net.

Nur mal nebenbei...
Die Root Domain .net in einem lokalen Testumfeld zu verwenden ist ziemlich kontraproduktiv, denn das ist eine offiziell zugewiesene ICANN Root Domain.
Sowas ist eigentlich absolut Tabu im privaten Umfeld !! Genau wie .local was offiziell mDNS zugewiesen ist.
Das wäre ebenso kontraproduktiv als wenn du öffentliche IP Adressen statt privater RFC 1918 IPs in einem privaten- oder Testumfeld verwendest.
Für lokale Domains hat man .test oder .dev oder neuerdings .home.arpa !!
Das hier solltest du einmal dringenst dazu lesen und verstehen:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Spitzbube
Spitzbube 10.03.2018 um 18:17:57 Uhr
Goto Top
Der Client von dem die nslookup anfrage gestartet wurde ist der domaincontroller selbst und dieser hat bereits sich selbst als dns server konfiguriert.

2018-03-10 17_58_37-192.168.20.10 - remotedesktopverbindung

2018-03-10 17_58_37-192.168.20.10 - remotedesktopverbindung

auch die Forward Zone hat den Domaincontroller eingetragen, genauso wie die Reverse Zone.

2018-03-10 18_02_33-192.168.20.10 - remotedesktopverbindung

2018-03-10 18_04_33-192.168.20.10 - remotedesktopverbindung

Und zu deinem Thema Domainnamen: Das kann ich natürlich nur begrüßen, wenn du hier so super toll informiert bist und mir das mitgibst, das habe ich so auch noch nie gehört aber man kann ja zur not immer noch Anpassungen vornehmen und lernt nie aus ;) Erst mal ist es mir wichtig, das alles zu verstehen und mir das begreiflich zu machen wie das alles funktioniert. Deshalb erst mal diese Namen.
2018-03-10 18_00_19-192.168.20.10 - remotedesktopverbindung
Pjordorf
Pjordorf 10.03.2018 aktualisiert um 21:27:32 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Und zu deinem Thema Domainnamen: Das kann ich natürlich nur begrüßen, wenn du hier so super toll informiert bist und mir das mitgibst, das habe ich so auch noch nie gehört aber man kann ja zur not immer noch Anpassungen vornehmen und lernt nie aus ;)
Dein HomeLab.net ist aber schon in Benutzung bzw. Registriert und wird dich verzweifeln lassen.

Erst mal ist es mir wichtig, das alles zu verstehen und mir das begreiflich zu machen wie das alles funktioniert. Deshalb erst mal diese Namen.
Nein, das wird dir nur die Erkenntniss bringen das zweimal der gleiche Name im Internet nicht geht... Du machst dir selbst Probleme...
Domain Information
Domain:			homelab.net
Registrar:		DropCatch.com 845 LLC
Registration Date:	2016-01-09
Expiration Date:	2019-01-09
Updated Date:		2018-02-06
Status:			clientTransferProhibited
Name Servers:		ns5.vnoc.com
			ns6.vnoc.com

Registrant Contact
Name:			Domain Manager
Street:			5301 N. Federal Highwway #256
City:			boca raton
State:			FL
Postal Code:		33487
Country:		US
Phone:			+1.8887333772
Email:			email@contrib.com

Administrative Contact
Name:			Domain Manager
Street:			5301 N. Federal Highwway #256
City:			boca raton
State:			FL
Postal Code:		33487
Country:		US
Phone:			+1.8887333772
Email:			email@contrib.com

Technical Contact
Name:			Domain Manager
Street:			5301 N. Federal Highwway #256
City:			boca raton
State:			FL
Postal Code:		33487
Country:		US
Phone:			+1.8887333772
Email:			email@contrib.com

Raw Whois Data

Domain Name:				HomeLab.net
Registry Domain ID:			1992925399_DOMAIN_NET-VRSN
Registrar WHOIS server:			whois.NameBright.com
Registrar URL:				http://www.NameBright.com
Updated Date:				2018-01-10T00:00:00.000Z
Creation Date:				2016-01-09T19:21:49.000Z
Registrar Registration Expiration Date:	2019-01-09T00:00:00.000Z
Registrar:				DropCatch.com 845 LLC
Registrar IANA ID:			2604
Registrar Abuse Contact Email:		email@NameBright.com
Registrar Abuse Contact Phone:		+1.720.496.0020
Domain Status:				clientTransferProhibited
Registry Registrant ID:
Registrant Name:			Domain Manager
Registrant Organization:
Registrant Street:			5301 N. Federal Highwway #256
Registrant City:			boca raton
Registrant State/Province:		FL
Registrant Postal Code:			33487
Registrant Country:			US
Registrant Phone:			+1.8887333772
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:			email@contrib.com
Registry Admin ID:
Admin Name:				Domain Manager
Admin Organization:
Admin Street:				5301 N. Federal Highwway #256
Admin City:				boca raton
Admin State/Province:			FL
Admin Postal Code:			33487
Admin Country:				US
Admin Phone:				+1.8887333772
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:				email@contrib.com
Registry Tech ID:
Tech Name:				Domain Manager
Tech Organization:			Tech Street: 5301 N. Federal Highwway #256
Tech City:				boca raton
Tech State/Province:			FL
Tech Postal Code:			33487
Tech Country:				US
Tech Phone:				+1.8887333772
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email:				email@contrib.com
Name Server:				ns5.vnoc.com
Name Server:				ns6.vnoc.com
DNSSEC:					unsigned
URL of the ICANN WHOIS Data Problem Reporting System:
http://wdprs.internic.net
--- Last update of WHOIS database: 2018-03-10T07:14:30.674Z ---
https://www.whois.com/whois/homelab.net

Gruß,
Peter
Spitzbube
Spitzbube 12.03.2018 um 10:40:28 Uhr
Goto Top
Sorry, bin noch nicht dazu gekommen, aber ihr habt recht, das werde ich dann bei der nächsten Gelegenheit gleich ändern. Reicht das aus, wenn ich die Server Rolle des DC entferne und nochmals neu drauf mache oder mus dazu gleich die gesamte Kiste neu aufgesetzt werden?
Pjordorf
Lösung Pjordorf 12.03.2018 um 11:07:56 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Reicht das aus, wenn ich die Server Rolle des DC entferne und nochmals neu drauf mache
Das sollte wie immer deine allerletzte Option sein. Je nach Größe, Umfang der enthaltene Objekte in deiner Domäne ist es aber teilweise schneller und einfacher.

oder mus dazu gleich die gesamte Kiste neu aufgesetzt werden?
Wenn es nur eine Testdomäne ist würde ich schnell die DCs (auch deren Server OS) neu aufsetzen, dann ist auch nichts mehr da wo es mal hieß "Damals war das so" face-smile
Andererseits kann es eine gute Erfahrung (auch wenns scheitert) sein so etwas mal getan zu haben face-smile

https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx
http://www.rebeladmin.com/2015/05/step-by-step-guide-to-rename-active-d ...
https://blog.varonis.com/risks-renaming-your-domain-in-active-directory/
https://community.spiceworks.com/topic/492172-best-practice-for-renaming ...
https://www.rickygao.com.au/blog/how-to-rename-your-single-active-direct ...
https://www.rickygao.com.au/blog/how-to-rename-your-single-active-direct ...

Gruß,
Peter
Spitzbube
Spitzbube 12.03.2018 um 11:49:19 Uhr
Goto Top
Erst mal danke, für deine Linksammlung: Bin da ja noch nicht so sattelfest mit den Rollen installieren und konfigurieren, aber langsam wirds face-smile

Kann also nie schaden, das Ganze neu zu installieren, um einfach Praxis und Routine darin zu bekommen.

Das sollte kein Hexenwerk sein. Hab ein Image mit ner Server 2012R2 standard blank und den Windows Updates (aktuell) das kann man ganz leicht zurückspielen.

Der DC dient in erster Linie zum testen. vCenter Server installation Konfiguration und Administration. Hier soll die Anmeldung am Server über das AD erfolgen. Das bezieht sich jetzt erst mal auf die Infrastruktur der Testumgebung selber.

Später kommen dann noch weitere DCs dazu, die aber in eigens dafür erschaffenen Umgebungen / VLANs auf dem ESX Server laufen.
Spitzbube
Spitzbube 17.03.2018 um 17:12:40 Uhr
Goto Top
Also mit der .home.arpa komm ich nicht klar. Möchte ich z. B. eine neue Forward Lookup Zone erstellen, lässt mich der Assistent beim Punkt Zonename gar nicht weiterspringen. Den Artiel aus der CT hab ich glücklicherweise bei nem Kumpel im CT Jahresarchiv gefunden. Dort steht ja auch drin, dass man die Domäne genauso mit .test einrichten kann.

Gut, die Domäne steht mit .test und die nslookup Abfrage sieht auch super aus. Jede IP kann sowohl in den DNS Namen als auch der DNS Name in die IP resolved werden. Der Punkt wäre nun mal abgeschlossen.

Weiter gehts mit dem vCenter Server. Kann mir hier jemand eine Hilfestellung zur Installation geben.

Einige Anleitungen und HowTos hab ich schon zum Thema durch:

www.thevirtualist.org/vmware-vcenter-server-appliance-6-5-install-configure/

Hier wird z.B. nochmals das Thema DNS auf dem Domaincontroller beleuchtet:

www.altaro.com/vmware/installing-vcenter-vcsa-6-5/

Hab zunächst mal einen Win 2012 R2 als VM installiert und von dort aus die .iso mit der vCenter Server installation gestartet. Erst versuchte ich, den Server als embedded installation. Nach Angabe der ganzen IP Adressen und der FQDNs bin ich bis 80 % im Setup gekommen. Die VM wird gestartet und läd. Nach langem rumprobieren und keiner angeschlossenen Installtion bin ich dann zum Troubleshooting übergegangen:

Im zweiten Link wird eine zweite spezielle Forward Lookupzone eingerichtet. Braucht man diese überhaupt? Oder ist die nur dafür da, dass der neue vCenter Server, welcher in dem HowTo neu aufgesetzt wird, sich nicht mit den anderen in die Quere kommt?

Was mir auch aufgefallen ist, wenn die VM Ware des vCenter Servers bootet, noch immer der localhost bzw. localdomain drin steht. Auch werden die im Setup eingegebenen IP Adressen bzw. der FQDN nicht mit in die Maschine übernommen. Das ist doch nicht normal! Oftmals wird auch der Fehler ausgegeben Rootpasswort not set, obwohl ich dieses beim Setup ebenfalls mitangegeben habe.

Für diesen Fall hab ich dann die VMWare neugestartet und das rootpasswort über die bash geändert:

www.vladan.fr/how-to-reset-root-password-in-vcenter-server-appliance-6-5/

Nach dem Ändern des Rootpassworts springt er meist auch im Setup weiter und versucht den Storage zu konfigurieren. Hier produziert er dann nach ca. einer halben Stunde einen Timeout und bricht das Setup ab.
aqui
aqui 17.03.2018 um 17:43:21 Uhr
Goto Top
Dort steht ja auch drin, dass man die Domäne genauso mit .test einrichten kann.
Richtig. Aber ob du sie .home.arpa nennst oder .intern ist ja Jacke wie Hose ! Beides geht und funktioniert identisch.
Oder überfordert dich ein zweigliedriger Domain Name schon intellektuell ? face-wink
Der Punkt wäre nun mal abgeschlossen.
Gut wenns nun klappt wie es soll. face-smile
Weiter gehts mit dem vCenter Server. Kann mir hier jemand eine Hilfestellung zur Installation geben.
Da muss dann einer derVmWare Spezls hier ran...
Spitzbube
Spitzbube 17.03.2018 aktualisiert um 17:52:44 Uhr
Goto Top
aber ganz sicher nicht! Bei dir muss ich schon eine Tendenz zum sticheln feststellen ;) Kann nur sagen wies gelaufen ist und wenn der Weiterbutton nicht weiter will stellt man sich halt die Frage wieso das so ist. Frage an dich: Wieso ist das so? face-smile und wieso gehts mit .test ohne Probleme? face-smile
aqui
aqui 17.03.2018 aktualisiert um 18:29:48 Uhr
Goto Top
Bug in VmWare !! face-wink
Spitzbube
Spitzbube 18.03.2018 um 09:42:30 Uhr
Goto Top
Hast du schon mitbekommen, dass es sich um den DNS Assistenten handet, der Teil der Rolle von Windows Server 2012R2 ist und nicht die VM Ware?! face-smile
aqui
aqui 18.03.2018 um 13:58:40 Uhr
Goto Top
Nee, leider nicht. Mit Winblows Gruselkram hab ich auch nix am Hut. Sorry für die Verwirrung.