savelsberg
Goto Top

Zweiten windows 2003 server

Sicherheitserver einrichten - wie?

ich wäre froh über Hilfe: ich habe einen Server eingerichtet (DHCP, DNS, AD, Domain Controller). Jetzt möchte ich einen zweiten Server einrichten, der sämtliche Aufgaben des ersten übernehmen soll, falls der erste ausfällt. Gleichzeitig soll der zweite Server im normalen Betrieb als File-Server dienen (auch sämtliche Backups der Clients im Netz gehen auf den zweiten Server). Worauf muss ich achten, wo liegen die Stolperstellen?

Unser Netz: DSL, feste IP, router, 2 switche.

Falls die Frage schon ziemlich oft beantwortet wurde... sorry. Alles was ich bis jetzt so gefunden hab verweist auf die microsoft hilfe im netz, mit der ich nicht richtig was anfangen kann.

Content-Key: 6489

Url: https://administrator.de/contentid/6489

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: vakuum1
vakuum1 04.02.2005 um 08:42:19 Uhr
Goto Top
habe gerade das selbe Problem. Vielleicht helfen die Antworten auf meine fragen.
Win 2003 mit 2 Servern (Softwareverteilung und Einrichtung )?
Mitglied: Savelsberg
Savelsberg 04.02.2005 um 11:57:36 Uhr
Goto Top
Danke für den Hinweis. Leider ist mir das Niveau etwas zu hoch... face-sad. Ich geh davon aus, daß das Szenario ziemlich häufig ist (wer will keinen redundanten Server?), deshalb dachte ich, daß es da irgendeine einfache Standardlösung geben muß. Hierbei dachte ich aber nicht an eine Image-Lösung (unterschiedliche Hardware), auch ein Cluster ist eine Dimension zu hoch für mich. Außerdem soll der zweite Server ja auch nützliches tun (Fileserver, Backup), solange der erste nicht ausfällt. Wo finde ich die Anleitung für Anfänger?
Mitglied: meinereiner
meinereiner 04.02.2005 um 13:15:34 Uhr
Goto Top
Keine Sorge..soo schwer ist das nicht. Der alte Server soll ja stehen bleiben.

Setz einfach einen zweiten Server auf und häng in mit dcpromo in die vorhandene Domäne. Dann hast du dein AD schon mal redundant. Dein DNS solltest du AD-integriert machen. Wenn das auf dem ersten schon so ist, brauchst du eigentlich nur noch beim zweiten auch DNS installieren und Ad-integriert einstellen. Das repliziert sich dann alles von alleine. Die weiterleitung die auf dem ersten läuft musst du noch auf dem Neuen eintragen.

Beim DHCP musst du einn wenig aufpassen. Setz ihn auf wie den ersten. Allerdings darfst du nicht den gleichen IP-Bereich wie auf den ersten verwenden.

Jetzt noch bei den Clients den zweiten DNS Server eintragen (am besten in durch DHCP vergeben lassen) und dann hast du es schon so wie du willst.

Hmm, läuft bei dir kein WINS??
Wenn doch. WINS auf dem zweiten installieren und zwischen den beiden eine Replikation einrichten.

Ist alles keine soo grosse Sache und du hast ja Zeit es einzurichten. face-wink
Den einzigsten Stolperstein den ich da sehe ist die Einrichtung des DHCPs. Da darfst du halt nicht die gleichen Bereiche konfigurieren s.o.
Mitglied: SGAN
SGAN 04.02.2005 um 15:11:11 Uhr
Goto Top
Sind bei zwei Servern, zwei DC´s nicht ein wenig übertrieben ??
Leider geht aus der Frage die Anzahl der Clients nicht hervor.

Aber wenn es so gewollt ist.
Ich würde beim zweiten DHCP den gleichen Bereich wie beim ersten DHCP nehmen. Nur sollte man diesen authorisieren und nicht aktivieren.
So brauchst du bei Ausfall nur den zweiten DHCP aktivieren und die IP werden aus dem gleichen Bereich neu zugewiesen.

Du darfst den Mehraufwand der Administration nicht vergessen. Wenn beide Server DC, DNS, DHCP sind, sollten sie umbedingt täglich gesichert werden ( Systemstate ).

Gruß
SGAN
Mitglied: meinereiner
meinereiner 04.02.2005 um 19:19:14 Uhr
Goto Top
ob das mit dem gleichen Bereich so gut ist???

Nehmen wir den IP-Breich 192.168.0.1-100
Server 1 hat die Ips 192.168.0.1-50 vergeben 192.168.0.51-100 ist noch frei.
Dann fällt Server eins aus. Server zwei wird aktiv geschaltet und übernimmt jetzt. Er hat aber noch alle IPs im Pool..192.168.0.1-100 frei....zu 50 % geht das schief..dumm gelaufen...

Den Sicherungsaufwand würde ich für minimal halten. Ntbackup über den Taskplaner und gut ist. Dauert 5 min das einzurichten.

Wenn ich beurteilen sollte ob sowas sinnig ist einen zweiten DC aufzusetzen, würde ich mir überlegen was es bedeutet wenn der eine DC ausfällt. Was geht dann nicht mehr, wie lange dauert es bis er wieder steht, was für Kosten sind dann evtl damit verbunden, etc..
Mitglied: Savelsberg
Savelsberg 04.02.2005 um 20:47:16 Uhr
Goto Top
Uii... danke! Das hört sich für mich so an, als könnte ich es bewältigen... WINS läuft auf dem ersten Server auch. Leider verwirren mich der Rat "DNS AD-integriert machen". Ich habe auf dem ersten Server DNS installiert, dann AD. Ist das jetzt integriert??

Im Moment sind folgende IPs beteiligt:
Server: 192.168.10.1
Standardgateway (Router): 192.168.10.100
Der DHCP auf dem ersten Server vergibt die Adressen 192.168.10.10 -192.168.10.99 (Adresspool). Ein paar der Adressen sind reserviert (zwei Clients, Drucker und eben der Rechner, der als zweiter Server aufgebaut werden soll)

DNS ist auf dem ersten Server AD-integriert (hab ich grad festgestellt face-smile). Forward und Reverse Lookup sind glaub ich ok. Namensauflösung funktioniert, keine Fehler in den Ereignisprotokollen.

Der Rechner, der als zweiter Server aufgebaut werden soll, hängt im Moment mit 192.168.10.13 (reserviert) im Netz.

Was mach ich mit dem jetzt, welchen IP Bereich geb ich dem und soll ich ihn autorisieren oder aktivieren?

Danke für die Hilfe!
Mitglied: meinereiner
meinereiner 04.02.2005 um 21:31:54 Uhr
Goto Top
Uii... danke! Das hört sich für
mich so an, als könnte ich es
bewältigen...

denke ich auch und du kannst ja weiter fragen. face-smile


Der DHCP auf dem ersten Server vergibt die
Adressen 192.168.10.10 -192.168.10.99

Wie viele Clients habt ihr denn?
Ich nehme mal an ihr habt ein C klasse Subnetmask 255.255.255.0?!


DNS ist auf dem ersten Server AD-integriert
(hab ich grad festgestellt face-smile). Forward und
Reverse Lookup sind glaub ich ok.
Namensauflösung funktioniert, keine
Fehler in den Ereignisprotokollen.

Hört sich doch super an.
Eigentlich kannst du den zweiten Server schon mal aufsetzen und in die Domäne hängen.
Ich geh jetz mal davon aus, dass die Frage ob du einen zweiten DC willst mit Ja beantwortet ist.

Wenn du das alles zum ersten mal machst, lass dir ruhig zeit und halt immer ein Auge auf das Ereignisprotokoll.


Was mach ich mit dem jetzt, welchen IP
Bereich geb ich dem und soll ich ihn
autorisieren oder aktivieren?

Wenn du es mit einem Bereich machen willst musst du dafür Sorgen, dass du Teilbereiche ausschliesst, damit nicht passieren kann was ich oben beschrieb.

Du kannst auf dem zweiten Server also Z.B. den Bereich von 192.168.10.10 -192.168.10.150 konfigurieren, _musst_ dann aber den Teilbereich 192.168.10.10 -192.168.10.100 ausschliessen (die 100 hat ja dein Router). Denk daran die Reservierungen die auf Server 1 schon konfiguriert sind auch auf Server 2 drauf müssen.

Ich würde ihn dann auch scharf schalten, wenn er fertig konfiguriert ist. Wenn der Erste klemmt springt der Zweite gleich ein. Warum auf den Fehlerfall warten. Anhand der IP erkennst du auch immer von welchen DHCP Server die Lease kommt.

Was den WINS betrifft. Installiere ihn ruhig gleich mit. Wie den DNS kannst du es in Ruhe konfigurieren. Du brauchst ihn ja erst auf den Clients eintragen (lassen), wenn alles steht und geht.
Mitglied: Savelsberg
Savelsberg 04.02.2005 um 23:16:08 Uhr
Goto Top
> Uii... danke! Das hört sich
für
> mich so an, als könnte ich es
> bewältigen...

denke ich auch und du kannst ja weiter
fragen. face-smile

Werd ich auch machen face-smile. Aber weil ich jetzt nicht dazu komme, werd ich dann wohl eine neue Frage unter dem gleichen Thema reinstellen...

> Der DHCP auf dem ersten Server vergibt
die
> Adressen 192.168.10.10 -192.168.10.99

Wie viele Clients habt ihr denn?
Ich nehme mal an ihr habt ein C klasse
Subnetmask 255.255.255.0?!

Wir haben (mit Netzwerkdrucker) 13 Clients. Und eine variierende Zahl an Notebooks über WLAN bzw. LAN.

Ja, C Klasse.


> DNS ist auf dem ersten Server
AD-integriert
> (hab ich grad festgestellt face-smile).
Forward und
> Reverse Lookup sind glaub ich ok.
> Namensauflösung funktioniert,
keine
> Fehler in den Ereignisprotokollen.

Hört sich doch super an.
Eigentlich kannst du den zweiten Server
schon mal aufsetzen und in die Domäne
hängen.
Ich geh jetz mal davon aus, dass die Frage
ob du einen zweiten DC willst mit Ja
beantwortet ist.

Ja face-smile. Wahrscheinlich blöde Frage: Welche IP geb ich dem zweiten Server? Das hört sich immer so locker an (in die Domäne hängen...).


Wenn du das alles zum ersten mal machst,

ganz genau face-wink

lass dir ruhig zeit und halt immer ein Auge
auf das Ereignisprotokoll.

OK


> Was mach ich mit dem jetzt, welchen IP
> Bereich geb ich dem und soll ich ihn
> autorisieren oder aktivieren?

Wenn du es mit einem Bereich machen willst
musst du dafür Sorgen, dass du
Teilbereiche ausschliesst, damit nicht
passieren kann was ich oben beschrieb.

Du kannst auf dem zweiten Server also Z.B.
den Bereich von 192.168.10.10
-192.168.10.150 konfigurieren, _musst_ dann
aber den Teilbereich 192.168.10.10
-192.168.10.100 ausschliessen (die 100 hat
ja dein Router). Denk daran die
Reservierungen die auf Server 1 schon
konfiguriert sind auch auf Server 2 drauf
müssen.

Moment mal: wenn der Server 2 ...10 bis ...150 konfiguriert (als DHCP Server vergibt?), der Teilbereich ...10 bis ...100 ausgeschlossen sein soll und dann noch die Reservierungen von Server 1 enthalten sein sollen .... die liegen nämlich alle im Bereich ...10 bis ...100 - geht das????


Ich würde ihn dann auch scharf
schalten,

was genau verbirgt sich hinter "scharf schalten"? Wo ist der "Schalter" ?

wenn er fertig konfiguriert ist.
Wenn der Erste klemmt springt der Zweite
gleich ein.

Ja, so soll es sein face-smile

Warum auf den Fehlerfall warten.
Anhand der IP erkennst du auch immer von
welchen DHCP Server die Lease kommt.

weil jeder seinen IP-Bereich hat, richtig?


Was den WINS betrifft. Installiere ihn ruhig
gleich mit. Wie den DNS kannst du es in Ruhe
konfigurieren. Du brauchst ihn ja erst auf
den Clients eintragen (lassen), wenn alles
steht und geht.



Vielen Dank für die Mühe !
Mitglied: meinereiner
meinereiner 04.02.2005 um 23:50:25 Uhr
Goto Top
Werd ich auch machen face-smile. Aber weil ich
jetzt nicht dazu komme, werd ich dann wohl
eine neue Frage unter dem gleichen Thema
reinstellen...

Oki, dann bekomm ich es auch auf jeden Fall mit. face-smile

Ja face-smile. Wahrscheinlich blöde Frage:
Welche IP geb ich dem zweiten Server? Das
hört sich immer so locker an (in die
Domäne hängen...).

Ist es nur nicht wenn man es selten macht. face-wink
Wenn du zwei ältere Rechner hast ( mit mehr als 400 MHZ), dann kannst du das Ganze auch mal Testweise aufsetzen. Sowas mache ich gerne, wenn ich was Neues mache. Dann merkt man schon im Vorfeld wo es klemmt oder was man noch nicht versteht.
VMWare oder Virtual PC/Server leisten das auch sehr gut.


Im Endeffekt ist das wurscht.
Ich würde ihm wohl die 2 hinten raus geben. Die IP hat nichts mit DHCP zu tun und ich könnte mir gut merken, das 1 und 2 zu den DCs gehören. Es ist recht paraktisch wenn man schon anhand der IP weiss welcher Server gemeint ist.

Moment mal: wenn der Server 2 ...10 bis
...150 konfiguriert (als DHCP Server
vergibt?), der Teilbereich ...10 bis ...100
ausgeschlossen sein soll und dann noch die
Reservierungen von Server 1 enthalten sein
sollen .... die liegen nämlich alle im
Bereich ...10 bis ...100 - geht das????

Ja, das geht. Der Ausschluss gilt nur für den Bereich der _dynamisch_ vergeben wird.


was genau verbirgt sich hinter "scharf
schalten"? Wo ist der
"Schalter" ?

authorisieren und aktivieren meinte ich. So das er dann auch funktioniert.


Ja, so soll es sein face-smile

Wobei die zwei dann parallel arbeiten werden und der eine nicht standby steht.
Um zu erreichen das einer wirklich standby steht und automatisch einspringt wenn der erste Rechner ausfällt, müsstest du einen Cluster installieren. Aber das ginge dann doch ein bischen weit. face-wink


weil jeder seinen IP-Bereich hat, richtig?

Ja genau!


Vielen Dank für die Mühe !

Kein Thema. Demächst kannst du ja dann Fragen in der Richtung beantworten.. face-wink
Mitglied: SGAN
SGAN 07.02.2005 um 00:08:32 Uhr
Goto Top
@meinereiner

ob das mit dem gleichen Bereich so gut ist???

Nehmen wir den IP-Breich 192.168.0.1-100
Server 1 hat die Ips 192.168.0.1-50 vergeben 192.168.0.51-100 ist noch frei.
Dann fällt Server eins aus. Server zwei wird aktiv geschaltet und übernimmt jetzt. Er hat > aber noch alle IPs im Pool..192.168.0.1-100 frei....zu 50 % geht das schief..dumm
gelaufen...

Ihr seit ja eigentlich schon weiter mit dem zweiten Server, aber noch eine Anmerkung.
Server1 fällt aus, ich aktiviere DHCP auf Server2. Und was passiert jetzt ? Nichts !!! Wann fragen die Clients denn den DHCP ab ?
1. Beim Start: kein Problem DHCP2 antwortet, vergibt die Lease und aktualiert DNS

2. nach 50% Ablauf der Leasedauer, also Standard 4 Tage. Bis dahin wird doch jeder Client neu gestartet und vom DHCP2 eine Lease erhalten haben.


Wenn der zweite Server fertig installiert und eingerichtet ist, macht doch mal den Test und schaltet Server1 aus. Könnt ihr euch dann anmelden ??


Gruß
SGAN
Mitglied: meinereiner
meinereiner 07.02.2005 um 01:11:52 Uhr
Goto Top
@SGAN,


!!! Wann fragen die Clients denn den DHCP ab
?
1. Beim Start: kein Problem DHCP2
antwortet, vergibt die Lease und aktualiert
DNS

Was für eine vergibt er denn? Von den 100 die er im Pool hat sind 50 vergeben. Das weiss er aber dummer Weise nicht.


2. nach 50% Ablauf der Leasedauer, also
Standard 4 Tage. Bis dahin wird doch jeder
Client neu gestartet und vom DHCP2 eine
Lease erhalten haben.

Das Problem tritt auf wenn der erste Client seine Lease von DHCP2 erhält. Alle anderen Client haben dann noch IPs von DHCP1. Egal wann das passiert.


Wenn der zweite Server fertig installiert
und eingerichtet ist, macht doch mal den
Test und schaltet Server1 aus. Könnt
ihr euch dann anmelden ??

Warum sollte das nicht gehen???
Mitglied: SGAN
SGAN 07.02.2005 um 08:36:32 Uhr
Goto Top
Ich glaube wir werden so auf keinen gemeinsamen Nenner kommen.
Ich werde weiter meine Konfiguration bevorzugen, die hat sich im Fehlerfall bereits bewährt.

Deine Konfiguration wird auch funktionieren, finde ich in meinen Augen zu umständlich.


Anmelden:
Auf welchem Server ist denn der Global Catalog ?

Gruß
SGAN
Mitglied: meinereiner
meinereiner 07.02.2005 um 10:02:09 Uhr
Goto Top
auf Beiden...
Mitglied: meinereiner
meinereiner 07.02.2005 um 10:02:10 Uhr
Goto Top
auf Beiden...
Mitglied: meinereiner
meinereiner 07.02.2005 um 10:07:22 Uhr
Goto Top
Wobei du bei 2003 die Möglichkeit hast universelle Gruppen zu cachen. Damit würde es auch gehen wenn nur einer GC ist.