6
Windows2012R2 Server: Netzwerkzugriff virtueller Maschinen
Ich habe mir einen windows Server 2012 R2 auf einem PC installiert. (der ist in einem großen Netz und bekommt seine IP Adresse über einen dhcp Server zugewiesen.) Wir haben keinen Windowsdomainservice. Nutzerverwaltung erfolgt über Novell OES.
Mein Problem: Ich wollte mich mit Gruppenrichtlinien befassen und brauche dazu 2 virtuelle PC's abgeschirmt vom Außennetz, aber mit Internetzugriff.
Da ich mich nebenbei auch mit windows8.1 und Windows Server befassen wollte, hab ich auf einem PC einen Windowsserver 2012 R2 installiert und wollte jetzt darauf 2 virtuelle PC's mit dem Hyper-V Manger installieren.
War auch gut möglich. Ich habe jetzt einen virtuellen PC win7 und einen virtuellen PC win2008 Server.
Beide sollen im Außennetzwerk nicht sichtbar sein und vom Außennetzwerk nicht mitbekommen, außer wenn möglich Windowsupdates. Sie müssen sich aber beide gegenseitig sehen.
Momentan hab ich gar keinen Internetzugriff von den internen PC's.
Die Einstellungen verstehe ich nicht. Was z.B. ist ein dhcp Wächter oder ein Routerwächter? Brauche ich den Haken bei Geschützes Netzwerk. Trage ich die MAC Adressen statisch oder dynamisch ein. Wer gibt den internen PC's eine IP Adresse?
Muss ich den Haken bei vlan-ID setzen?
Ich habe auf einem anderen PC eine virtual Box installiert, dort gibt es so was wie NAT, das finde ich bei dem Hyper-V gar nicht.
Mein Problem: Ich wollte mich mit Gruppenrichtlinien befassen und brauche dazu 2 virtuelle PC's abgeschirmt vom Außennetz, aber mit Internetzugriff.
Da ich mich nebenbei auch mit windows8.1 und Windows Server befassen wollte, hab ich auf einem PC einen Windowsserver 2012 R2 installiert und wollte jetzt darauf 2 virtuelle PC's mit dem Hyper-V Manger installieren.
War auch gut möglich. Ich habe jetzt einen virtuellen PC win7 und einen virtuellen PC win2008 Server.
Beide sollen im Außennetzwerk nicht sichtbar sein und vom Außennetzwerk nicht mitbekommen, außer wenn möglich Windowsupdates. Sie müssen sich aber beide gegenseitig sehen.
Momentan hab ich gar keinen Internetzugriff von den internen PC's.
Die Einstellungen verstehe ich nicht. Was z.B. ist ein dhcp Wächter oder ein Routerwächter? Brauche ich den Haken bei Geschützes Netzwerk. Trage ich die MAC Adressen statisch oder dynamisch ein. Wer gibt den internen PC's eine IP Adresse?
Muss ich den Haken bei vlan-ID setzen?
Ich habe auf einem anderen PC eine virtual Box installiert, dort gibt es so was wie NAT, das finde ich bei dem Hyper-V gar nicht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220607
Url: https://administrator.de/contentid/220607
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Einen Server der seine IP per DHCP bekommt ??! Kein vernatwortungsvoller Netzwerker macht so eine dilettantische Server IP Adressvergabe, denn verantwortungsvolle System Administratoren nutzen immer statische IP Adressen für Server wie es allgemein üblich ist.
Deinen ,sorry, Bastelaufbau kann man so schon mal gar nicht für voll nehmen...?
Wenn die VMs isoliert sein sollen, dann richtest du die virtuellen netzwerkkarten eben nicht als Bridge oder NAT ein sondern wie es üblich ist als Hostadapter !
Damit hast du dann dedizierte IP Netze zwischen dem Host und den VMs die draussen nicht bekannt sind und damit vollkommen isoliert sind.
Das gilt dann natürlich in beide Richtungen denn wenn das interne eigene IPs sind die im Außennetz nicht geroutet werden kannst du logischerweise auch kein Internet dahin routen und damit dann auch keine Updates.
Das weiss jeder Azubi im ersten Lehrjahr !!
Alternative ist dann nur noch NAT (Adress Translation). Damit tauchen dann die VMs mit der Host IP im Netzwerk auf "tarnen" sich also gewissermaßen" und sind dann nicht mehr isoliert !
Man sieht im "großen" Netz dann logischerweise auch diese Server ! Klar muss man ja auch, denn wenn Internet sprich Update dahin geroutet werden muss, dann muss auch der gesamte Netzwerkverkehr ja zu dem VMs transparent kommen wie an alle anderen Clients in dem gesamten Netz !
Von Isolation kann da keine Rede mehr sein !
Am sinnvollsten ist man trennt solch ein System komplett ab mit einem NAT Router oder kleiner Firewall.
Deinen ,sorry, Bastelaufbau kann man so schon mal gar nicht für voll nehmen...?
Wenn die VMs isoliert sein sollen, dann richtest du die virtuellen netzwerkkarten eben nicht als Bridge oder NAT ein sondern wie es üblich ist als Hostadapter !
Damit hast du dann dedizierte IP Netze zwischen dem Host und den VMs die draussen nicht bekannt sind und damit vollkommen isoliert sind.
Das gilt dann natürlich in beide Richtungen denn wenn das interne eigene IPs sind die im Außennetz nicht geroutet werden kannst du logischerweise auch kein Internet dahin routen und damit dann auch keine Updates.
Das weiss jeder Azubi im ersten Lehrjahr !!
Alternative ist dann nur noch NAT (Adress Translation). Damit tauchen dann die VMs mit der Host IP im Netzwerk auf "tarnen" sich also gewissermaßen" und sind dann nicht mehr isoliert !
Man sieht im "großen" Netz dann logischerweise auch diese Server ! Klar muss man ja auch, denn wenn Internet sprich Update dahin geroutet werden muss, dann muss auch der gesamte Netzwerkverkehr ja zu dem VMs transparent kommen wie an alle anderen Clients in dem gesamten Netz !
Von Isolation kann da keine Rede mehr sein !
Am sinnvollsten ist man trennt solch ein System komplett ab mit einem NAT Router oder kleiner Firewall.
Also wir haben schon statische IP Adressen, nur werden die per dhcp Server statisch vergeben. Eine fest eingetragene IP Adresse haben nur die DHCP Server und einige wenige andere Server, die müssen aber beim Uni RZ angemeldet werden und müssen immer an der gleichen Netzdose stehen. D.h. wenn ein fremder PC mit statisch vergebener IP an einer nicht gemeldeten Datendose ins Internet will, kappt die Software die Internetverbindung dieser Dose.
Mein Bastelserver hat so natürlich auch eine feste IP, die ist aber nicht im PC selbst eingetragen sondern in der dhcp Tabelle.
Die Begriffe Bridge oder NAT hab ich weder beim Hyper-V Manager noch bei der windowssuche gefunden. (Die windowssuche verweist auf die Wikipedia!)
Ich hab jetzt was gefunden das nennt sich "Manager für virtuelle Switches. da kann ich einstellen externes Netzwerk, internes Netzwerk oder privates Netzwerk und einen Eintrag VLAN-ID. ich werde jetzt mal damit experimentieren.
ich möchte das Buch "Gruppenrichtlinien in Windows Server 2008R2 und Windows7" durcharbeiten, dafür brauch ich 2 PC's die mit einem crossover Kabel verbunden sind. Aber ich dachte mir 2 virtuelle PC's tun es auch. (Vor allem kann ich dann snapshoots erstellen.)
Ich bin leider nur Mathematiker, kein Informatiker.
Ich weiß dass NAT bedeutet, der interne PC meldet sich nach draußen mit der externen IP und kann so z.B. Updatens holen.
Bei Bridged bekommt er eine eigene IP Adresse (das will ich definitiv nicht)
Nur gibt es eben bei Hyper-V diese Begriffe nicht.
Mein Bastelserver hat so natürlich auch eine feste IP, die ist aber nicht im PC selbst eingetragen sondern in der dhcp Tabelle.
Die Begriffe Bridge oder NAT hab ich weder beim Hyper-V Manager noch bei der windowssuche gefunden. (Die windowssuche verweist auf die Wikipedia!)
Ich hab jetzt was gefunden das nennt sich "Manager für virtuelle Switches. da kann ich einstellen externes Netzwerk, internes Netzwerk oder privates Netzwerk und einen Eintrag VLAN-ID. ich werde jetzt mal damit experimentieren.
ich möchte das Buch "Gruppenrichtlinien in Windows Server 2008R2 und Windows7" durcharbeiten, dafür brauch ich 2 PC's die mit einem crossover Kabel verbunden sind. Aber ich dachte mir 2 virtuelle PC's tun es auch. (Vor allem kann ich dann snapshoots erstellen.)
Das weiss jeder Azubi im ersten Lehrjahr !!
Ich bin leider nur Mathematiker, kein Informatiker.Ich weiß dass NAT bedeutet, der interne PC meldet sich nach draußen mit der externen IP und kann so z.B. Updatens holen.
Bei Bridged bekommt er eine eigene IP Adresse (das will ich definitiv nicht)
Nur gibt es eben bei Hyper-V diese Begriffe nicht.
Ein Switch ist ein Switch aber kein Router !!
Der Switch macht keine Netzwerktrennung (da er bridged), damit ist dein Vorhaben nicht umsetzbar !
http://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
Du musst zwingend eine Firewall oder einen Router einsetzen um eine Trennung zu realisieren. Ob das dann virtuell passiert in einer VM oder extern ist erstmal egal.
Bekannte Firewalls wie die pfSense z.B.:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
gibt es fertig schon als VM Image für Vitualisierungsumgebungen.
Damit ist dann so ein Szenario wie die es anstrebst schnell umsetzbar.
...wenn man dann mal davon absieht das eine Firewall oder Router eigentlich nichts in einer VM zu suchen haben aber bei einer Bastelumgebung ist das wie immer tolerabel natürlich !
Besser du fragst da lieber nochmal einen Informatiker....und dann am besten einen Netzwerk Informatiker
Der Switch macht keine Netzwerktrennung (da er bridged), damit ist dein Vorhaben nicht umsetzbar !
http://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
Du musst zwingend eine Firewall oder einen Router einsetzen um eine Trennung zu realisieren. Ob das dann virtuell passiert in einer VM oder extern ist erstmal egal.
Bekannte Firewalls wie die pfSense z.B.:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
gibt es fertig schon als VM Image für Vitualisierungsumgebungen.
Damit ist dann so ein Szenario wie die es anstrebst schnell umsetzbar.
...wenn man dann mal davon absieht das eine Firewall oder Router eigentlich nichts in einer VM zu suchen haben aber bei einer Bastelumgebung ist das wie immer tolerabel natürlich !
Besser du fragst da lieber nochmal einen Informatiker....und dann am besten einen Netzwerk Informatiker
Danke erst mal für den Hinweis. Trotzdem ist mir das Verhalten von Hyper-V unverständlich!
Ich werde also mit VM Virtual Box weitermachen müssen. Dort hab ich 2 virtuelle PC's installiert und die Netzwerkkonfiguration der beiden virtuellen Maschinen auf Host-only-adapter gesetzt und schon funtioniert das was ich will. Die beiden PC sehen sich untereinander und sie sehen die Wirtsmaschine.
Es kann doch nicht sein, dass das bei Hyper-V nicht auch so einfach geht!
Ich hab jetzt zwar dort eine Einstellung gefunden, wo beide virtuelle PC's voll im Internet sind (indem ich deren Mac Adresse in unseren dhcp Server eingetrragen habe) und so kann ich erst mal windowsupdate und Registrierung der beiden vornehmen... aber mein Ziel ist ja, dass es genauso geht wie bei Virtual box. Sie sollen nur sich selber sehen und vielleicht die Wirtsmaschine.
Es sind so viele Einstellmöglichkeiten bei Hyper-V, aber nirgends finde ich eine vernünftige Erklärung, was diese Einstellmöglichkeiten bewirken. Klickt man auf Hilfe, kommt eine Hilfe zum Microsoft Management Konsole und nicht zu der Hyper-V Einstellungen.
Die Erklärungen bei den Haken sind kryptisch! Z.B.
die Erklärung bei Geschützes Netzwerk: "Verschieben Sie diesen virtuellen Computer auf einen anderen Clusterknoten, wenn keine Netzwerkverbindung verfügbar ist."
oder der Text bei vlan-id: "Mithilfe der vlan-Id wird das virtuelle Netzwerk angegeben, das von diesem virtuellen Computer für die Gesammte Netzwerkkommunikation über diese Netzwerkkarte verwendet wird."
!!! Was will mir Bill Gates damit sagen ????
Bei Virtual Box steht: Host-only networking
This can be used to create a network containing the host and a set of virtual machines, without the need for the host's physical network interface. Instead, a virtual network interface (similar to a loopback interface) is created on the host, providing connectivity among virtual machines and the host.
So ein Text ist verständlich!
Naja ich werde mir mal Deine Links ansschauen, vielleicht wird mir noch was klarer. Noch geb ich die Hoffnung nicht auf Hyper V zu verstehen.
Ich werde also mit VM Virtual Box weitermachen müssen. Dort hab ich 2 virtuelle PC's installiert und die Netzwerkkonfiguration der beiden virtuellen Maschinen auf Host-only-adapter gesetzt und schon funtioniert das was ich will. Die beiden PC sehen sich untereinander und sie sehen die Wirtsmaschine.
Es kann doch nicht sein, dass das bei Hyper-V nicht auch so einfach geht!
Ich hab jetzt zwar dort eine Einstellung gefunden, wo beide virtuelle PC's voll im Internet sind (indem ich deren Mac Adresse in unseren dhcp Server eingetrragen habe) und so kann ich erst mal windowsupdate und Registrierung der beiden vornehmen... aber mein Ziel ist ja, dass es genauso geht wie bei Virtual box. Sie sollen nur sich selber sehen und vielleicht die Wirtsmaschine.
Es sind so viele Einstellmöglichkeiten bei Hyper-V, aber nirgends finde ich eine vernünftige Erklärung, was diese Einstellmöglichkeiten bewirken. Klickt man auf Hilfe, kommt eine Hilfe zum Microsoft Management Konsole und nicht zu der Hyper-V Einstellungen.
Die Erklärungen bei den Haken sind kryptisch! Z.B.
die Erklärung bei Geschützes Netzwerk: "Verschieben Sie diesen virtuellen Computer auf einen anderen Clusterknoten, wenn keine Netzwerkverbindung verfügbar ist."
oder der Text bei vlan-id: "Mithilfe der vlan-Id wird das virtuelle Netzwerk angegeben, das von diesem virtuellen Computer für die Gesammte Netzwerkkommunikation über diese Netzwerkkarte verwendet wird."
!!! Was will mir Bill Gates damit sagen ????
Bei Virtual Box steht: Host-only networking
This can be used to create a network containing the host and a set of virtual machines, without the need for the host's physical network interface. Instead, a virtual network interface (similar to a loopback interface) is created on the host, providing connectivity among virtual machines and the host.
So ein Text ist verständlich!
Naja ich werde mir mal Deine Links ansschauen, vielleicht wird mir noch was klarer. Noch geb ich die Hoffnung nicht auf Hyper V zu verstehen.
Genau so mit den Hostadaptern als Lösung und Routing ist es ja oben auch erklärt
Hyper-V ist netzwerktechnisch vermutlich Jahre hinter VB oder VM hinterher mit den Features oder....du musst teuer dafür bezahlen. Ist ja immer so üblich bei MS....
Hyper-V ist netzwerktechnisch vermutlich Jahre hinter VB oder VM hinterher mit den Features oder....du musst teuer dafür bezahlen. Ist ja immer so üblich bei MS....
Ich hab's jetzt raus! Irgendwo hab ich gelesen, dass Microsoft bei Hyper-V voraussetzt, dass der Wirt 2 Netzkarten hat. (Mein PC hat 2, also hab ich die zweite aktiviert) Dabei hab ich gemerkt, man braucht doch keine 2 Karten!
Man muss einfach eine virtuelle Netzkarte einfügen und die internen PC's mit der virtuellen Netzkarte verbinden, dann geht genau das, was ich will, die beiden internen PC's sehen sich und die Wirtsmaschine, aber sonst nichts.
Ein einfacher Haken "Host Only" oder wenigstens ein vernünftiger Hilfetext, wäre schön gewesen und hätte mir viel Zeit gespart, aber egal es funktioniert jetzt.
Man muss einfach eine virtuelle Netzkarte einfügen und die internen PC's mit der virtuellen Netzkarte verbinden, dann geht genau das, was ich will, die beiden internen PC's sehen sich und die Wirtsmaschine, aber sonst nichts.
Ein einfacher Haken "Host Only" oder wenigstens ein vernünftiger Hilfetext, wäre schön gewesen und hätte mir viel Zeit gespart, aber egal es funktioniert jetzt.
