none
2 Standorte in einer Domäne

    Frage

  • Hallo,

    kann mir jemand bei folgendem Problem helfen.

    Ich habe einen Standort A. Dort ist ein DC installiert, der auch für DNS und DHCP zuständig ist. Ausserdem ist ein Exchange Server an diesem Standort vorhanden.

    Standort A hat das Netz 192.168.10.0/24 und die Domäne firma.local

     

    Jetzt soll ein zweiter Standort (Standort B) in die Domäne eingebunden werden und auch den Exchange von Standort A verwenden. Dort ist bisher kein Server vorhanden. Standort B hat das Netz 192.168.20.0/24

    Die beiden Netze werden per Site to site VPN verbunden.

    Muss nun an Standort B auch ein DC installiert werden oder welche Einstellungen muss ich machen damit die Clients von Standort B in die Domäne einbinden kann und auch den Exchange Server von Standort A nutzen kann?

     

    Herzlichen Dank schonmal für eure Hilfe

     

    Grüße,

    Petersen

     

    Freitag, 26. März 2010 08:26

Antworten

  • Petersen. schrieb:

    > Bin ich also mit folgendem Vorgehen richtig:
    >
    > Site to site VPN Verbindung steht
    >
    > - Installation DC an Standort B
    >
    > - Ausführen von DCPROMO an Standort B
    >
    > - Installation WINS auf beiden DCs

    DNS natürlich nicht vergessen. ;)

    > Danach im AD Standorte und Dienste einen zweiten Standort erstellen und den 2. DC in diesen Standort schieben
    >
    > Wird der Server automatisch angezeigt oder muss er hinzugefügt werden?

    Ich bin mir nicht ganz sicher, aber ich glaube der kommt von alleine
    in den Standort rein. Du mußt auch je ein Subnet für beide Standorte
    anlegen. Verbindungsdokumente werden auch angelegt. Kontrollier auch
    in den Verbindungsdokumenten, ob auch das gleiche Protokoll zur
    Replizierung verwendet wird.

    > Muss ich den globalen Katalog dem zweiten DC zuweisen oder übernimmt er das automatisch?

    Nein, mußt Du manuell machen. In den Eigenschaften des NTDS-Objektes
    ist da glaub ich der Haken zu setzen.

    > Eine letzte Frage zum Routing.
    >
    > Kann ich einfach eine statische Route zwischen den beiden Netzen setzen?

    Wenn Du jetzt schon von Standort A auf Standort B zugreifen kannst,
    brauchst Du nichts mehr zu machen.

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 16:33

Alle Antworten

  • Petersen. schrieb:

    > Ich habe einen Standort A. Dort ist ein DC installiert, der auch für
    > DNS und DHCP zuständig ist. Ausserdem ist ein Exchange Server an
    > diesem Standort vorhanden.
    >
    > Standort A hat das Netz 192.168.10.0/24 und die Domäne firma.local

    Soweit OK.

    > Jetzt soll ein zweiter Standort (Standort B) in die Domäne
    > eingebunden werden und auch den Exchange von Standort A verwenden.
    > Dort ist bisher kein Server vorhanden. Standort B hat das Netz
    > 192.168.20.0/24
    >
    > Die beiden Netze werden per Site to site VPN verbunden.

    Auch OK.

    > Muss nun an Standort B auch ein DC installiert werden oder welche
    > Einstellungen muss ich machen damit die Clients von Standort B in
    > die Domäne einbinden kann und auch den Exchange Server von Standort
    > A nutzen kann?

    Müssen tust Du natürlich nicht, sollen tust Du schon wollen. ;) Die
    Clients nutzen dann natürlich den DC vor Ort um sich anzumelden,
    weiter kann der DC auch DNS, DHCP und WINS als Dienste zur Verfügung
    stellen. Die WAN-Verbindung wird dabei natürlich weniger belastet.

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 09:16
  • Hallo Winfried,

    schonmal Danke für deine Antwort.

    Hatte bisher immer nur einen Standort mit DC betreut. Wie ist das Vorgehen bei so einer Konstellation? Kannst du vielleicht ein paar Hinweise geben.

     

    - Installation DC am zweiten Standort

    Müssen die DCs "verbunden" werden?

    Woher wissen die Clients von Standort B dass sich der Exchange an Standort A befindet?

    Was muss eingestellt werden damit die Clients von Standort B auch auf das Netz von Standort A zugreifen können?

     

    Sorry für die vielen Fragen. Ist leider einiges an Neuland für mich dabei.

     

    Grüße,

    Petersen

    Freitag, 26. März 2010 09:31
  • Deine Frage ist so einfach nicht zu beantworten. Wesentlich für die Beanwortung ist erst einmal die Bandbreite, die zur Verfügug steht, zudem spielt natürlich die Anzahl der User eine Rolle (wobei ich bei einem 24er Netz nicht von zu vielen ausgehe). Einen DC für 10 User hinzustellen, macht aber meist nicht so viel Sinn. Und wenn du über deine FW sicherstellen kannst, dass eben DHCP am zweiten Standort funktioniert, ist zu überlegen, was Sinn macht. Logon benötigt sicher einiges AnBandbreite, sollte aber kaum mehr als 500K mit GPO-Traffic etc. benötigen (und es melden sich nicht alle zugleich an). Serverbasierte Profile sind da sicher schon problematischer, so ihr sie denn nutzt.

    Jens

    Freitag, 26. März 2010 10:56
  • Ich anwtorte mal darauf. :-)

    Natürlich müssen die Server "verbunden" werden, was allein schon dadurch passiert, dass du den zweiten in die Domäne hebst. Ggf. kannst du einen zweiten Standort definieren, um den Traffic zu kontrollieren (d.h. jeder meldet sich an seinem lokalen DC an). Wichtig: Der zweite Server muss auch den Globalen Katalog vorhalten (--> MMC "Standorte und Services" --> Servereigenschaften).

    Über das Active Directory "weis" der Account dann auch, wo der Exchange Server steht. Das ist ein Attribut des Benutzers. Weiter einzustellen ist da nichts.

    Jens

    Freitag, 26. März 2010 11:01
  • Petersen. schrieb:

    > Hatte bisher immer nur einen Standort mit DC betreut. Wie ist das
    > Vorgehen bei so einer Konstellation? Kannst du vielleicht ein paar
    > Hinweise geben.

    Es gibt für alles das erste Mal. ;)

    > - Installation DC am zweiten Standort

    Du kannst den DC auch am ersten Standort installieren und dann direkt
    am zweiten Standort DCPROMO aufrufen. Du kannst auch alles am ersten
    Standort machen. Den DC kannst Du später noch verschieben. Yusuf hat
    das etwas dokumentiert:
    http://blog.dikmenoglu.de/PermaLink,guid,4f80a203-a76c-42c7-9f4d-79b3f5e325a3.aspx

    > Müssen die DCs "verbunden" werden?
    >
    > Woher wissen die Clients von Standort B dass sich der Exchange an Standort A befindet?

    Über die korrekte Namensauflösung. Tu dir selbst einen Gefallen und
    installier auf beiden DCs unbedingt auch den WINS-Dienst.

    > Was muss eingestellt werden damit die Clients von Standort B auch auf das Netz von Standort A zugreifen können?

    Das Routing muß stimmen, hat aber mit dem AD oder den DCs nichts zu
    tun. Schau dir auch DFS-R an:
    http://serverhowto.de/Planung-Installation-und-Konfiguration-des-Distributed-File-System-DFS-unter-Windows-Server-2003.338.0.html

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 11:12
  • Jens Tolkmitt schrieb:

    > Natürlich müssen die Server "verbunden" werden, was allein schon
    > dadurch passiert, dass du den zweiten in die Domäne hebst. Ggf.
    > kannst du einen zweiten Standort definieren, um den Traffic zu
    > kontrollieren (d.h. jeder meldet sich an seinem lokalen DC an).

    Nicht nur können, es muß sogar ein zweiter Standort angelegt werden.
    Denn dann ist es sauber und ordentlich gemacht. ;)

    > Wichtig: Der zweite server muss auch den Globalen Katalog verhalten
    > (--> MMC "Standorte und Services" --> Servereigenschften).

    Stimmt.

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 11:17
  • Super,

    danke für eure Antworten.

     

    Bin ich also mit folgendem Vorgehen richtig:

    Site to site VPN Verbindung steht

    - Installation DC an Standort B

    - Ausführen von DCPROMO an Standort B

    - Installation WINS auf beiden DCs

     

    Danach im AD Standorte und Dienste einen zweiten Standort erstellen und den 2. DC in diesen Standort schieben

    Wird der Server automatisch angezeigt oder muss er hinzugefügt werden?

    Muss ich den globalen Katalog dem zweiten DC zuweisen oder übernimmt er das automatisch?

     

    Eine letzte Frage zum Routing.

    Kann ich einfach eine statische Route zwischen den beiden Netzen setzen?

     

    Vielen Dank und sorry für mein nichtvorhandenes Wissen :-)

     

    Grüße,

    Petersen

     

     

    Freitag, 26. März 2010 15:43
  • Petersen. schrieb:

    > Bin ich also mit folgendem Vorgehen richtig:
    >
    > Site to site VPN Verbindung steht
    >
    > - Installation DC an Standort B
    >
    > - Ausführen von DCPROMO an Standort B
    >
    > - Installation WINS auf beiden DCs

    DNS natürlich nicht vergessen. ;)

    > Danach im AD Standorte und Dienste einen zweiten Standort erstellen und den 2. DC in diesen Standort schieben
    >
    > Wird der Server automatisch angezeigt oder muss er hinzugefügt werden?

    Ich bin mir nicht ganz sicher, aber ich glaube der kommt von alleine
    in den Standort rein. Du mußt auch je ein Subnet für beide Standorte
    anlegen. Verbindungsdokumente werden auch angelegt. Kontrollier auch
    in den Verbindungsdokumenten, ob auch das gleiche Protokoll zur
    Replizierung verwendet wird.

    > Muss ich den globalen Katalog dem zweiten DC zuweisen oder übernimmt er das automatisch?

    Nein, mußt Du manuell machen. In den Eigenschaften des NTDS-Objektes
    ist da glaub ich der Haken zu setzen.

    > Eine letzte Frage zum Routing.
    >
    > Kann ich einfach eine statische Route zwischen den beiden Netzen setzen?

    Wenn Du jetzt schon von Standort A auf Standort B zugreifen kannst,
    brauchst Du nichts mehr zu machen.

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 16:33
  • Wenn du den zweten Server benötigst, dann ist das Vorgehen erst einmal so OK. Allerdings hast du dann einen Standort, den zweiten musst du eben erst im MMC "Sites und Services" definieren. Dann kannst du dein zweites Netz dem zuordnen und auch den neuen Server. Repolikationsvereinbarungen kannst du automatisiert erstellen lassen, weil es ja e nur eine gibt.

    Frtage: Benötigst du WINS? Das ist eigentlich nur noch für wenige Applikationen notwendig (u.a. SQL Server 2000).

    Eine statische Route ist sicher korrekt, so dass das Routing vom default Gateway auf beiden Seiten gewährleistet wird. DNS ist wahrscheinlich auf der zweiten Site nicht notwendig, da sollte iner reichen.

    Ich würde aber trotzdsem noch einmal nachrechnen, ob du wirklich einen zweiten Server benötigst. Er kostet dich sicher 500-1.000 € im Monat (Facility, Admin, ...). Wenn du ggf. nur die Bandbreite ein wenig erhöhen musst, umd das Gleiche zu erreichen, kann das auf Dauer presiwerter sein.

     

    Grüße   Jens

    Freitag, 26. März 2010 18:25
  • Jens Tolkmitt schrieb:

    > Frtage: Benötigst du WINS? Das ist eigentlich nur noch für wenige
    > Applikationen notwendig (u.a. SQL Server 2000).

    Irgendeine Exchange Version oder auch mehrere brauchen auch noch WINS.
    http://www.faq-o-matic.net/2004/04/09/brauche-ich-noch-wins-wenn-ich-ein-ad-betreibe/
    http://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/

    > DNS ist wahrscheinlich auf der zweiten Site nicht notwendig, da
    > sollte iner reichen.

    Ein DC in einer Windows Domain sollte immer auch den DNS-Dienst
    installiert und konfiguriert haben. Bei einer solchen Konstellation,
    zwei Standorte, ist er IMHO sogar Pflicht.

    > Ich würde aber trotzdsem noch einmal nachrechnen, ob du wirklich
    > einen zweiten Server benötigst. Er kostet dich sicher 500-1.000
    > € im Monat (Facility, Admin, ...).

    Kannst Du die Zahlen begründen?

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 26. März 2010 19:57
  • Hallo,

     

    sorry das ich erst so spät antworte. War über Ostern nicht im Büro.

    Herzlichen Dank für eure Hilfe. Eine Frage habe ich noch.

    Muss ich den zweiten Server in die Domäne aufnehmen bevor ich DCPROMO ausführe oder danach?

     

    Gruß,

    Petersen

    Freitag, 9. April 2010 06:22
  • Servus,

    nein, du musst den Server nicht zuerst zur Domäne hinzufügen.
    Du kannst direkt DCPROMO ausführen und den Server als zusätzlichen DC zur Domäne hinzufügen.

    [LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen]
    http://blog.dikmenoglu.de/Einen+Zus%c3%a4tzlichen+DC+In+Die+Dom%c3%a4ne+Hinzuf%c3%bcgen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Freitag, 9. April 2010 10:10
  • Hallo Yusuf,

     

    vielen Dank für die Antwort.

    Mir ist stellt sich noch einen weitere Frage. So weit ich das verstanden habe melden sich Clients an Standort A am DC im Standort A und Clients amStandort B am DC im Standort B an.

    Was passiert nun wenn ein Client von Standort A sich am Standort B anmeldet? Wird sein Profil dann automatisch vom DC von Standort A geladen oder muss hier etwas bestimmtes beachtet werden?

     

    Herzlichen Dank

     

    Gruß,

    Petersen

    Freitag, 16. April 2010 08:34
  • Petersen. schrieb:

    > Mir ist stellt sich noch einen weitere Frage. So weit ich das
    > verstanden habe melden sich Clients an Standort A am DC im Standort
    > A und Clients amStandort B am DC im Standort B an.

    Richtig.

    > Was passiert nun wenn ein Client von Standort A sich am Standort B
    > anmeldet? Wird sein Profil dann automatisch vom DC von Standort A
    > geladen oder muss hier etwas bestimmtes beachtet werden?

    Normalerweise passiert das so. Du kannst natürlich mittels DFS die
    Profile wandern lassen.
    http://technet.microsoft.com/de-de/library/cc738688%28WS.10%29.aspx

    Servus
    Winfried
    --
    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: www.gruppenrichtlinien.de
    Gruppenrichtlinien Mailingliste "gpupdate":
    http://frickelsoft.net/cms/index.php?page=mailingliste
    Freitag, 16. April 2010 20:35
  • Hallo Winfried,

    danke für die Hilfe.

     

    Gruß,

    Petersen

    Montag, 19. April 2010 13:36
  • Hallo zusammen,

    ich hol mal nochmal diesen Beitrag vor.

    Ich hab ein site to site vpn. Erreichbar sind sowohl hosts auf dieser Seite wie auch auf der anderen Seite. Allerdings nur über IP Adressen. Ist das Auflösen von Hostnames möglich sobald ich den DC am zweiten Standort installiert habe und das DNS repliziert ist oder muss ich noch eine Änderung vornehmen?

     

    Herzlichen Dank,

    Petersen

     

    Freitag, 7. Mai 2010 16:00
  • Die Namensauflösung funktioniert bereits ab dem Zeitpunkt, so bald in den TCP/IP-Einstellungen der Clients ein interner DNS-Server eingetragen ist. Dazu muss nicht erst ein DC der gleichen Domäne vor Ort an Standort B aufgestellt werden. Natürlich funktioniert die Namensauflösung nur, sofern alles korrekt konfiguriert wurde und zwischen den Standorten der Port 53 UDP/TCP nicht von einer evtl. bestehenden Firewall blockiert wird.

    Die Forward Lookup Zone im DNS sollte idealerweise AD-integriert gespeichert sein und die Option "Nur sichere Updates" sollte konfiguriert werden.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Freitag, 7. Mai 2010 18:57
  • Hallo zusammen,

     

    herzlichen Dank für eure Hilfe.

    Hat alles bestens geklappt.

     

    Viele Grüße,

    Petersen

    Freitag, 14. Mai 2010 11:27