none
2 Domänen in einem Netzwerk (Internetzugriff unter Testdomäne) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe eine Domäne erstellt (Auf einem Win 2012 R2 Server) und möchte mit dieser neuen Domäne Internetzugriff haben.

    Das blöde ist, dass dies nur über unser Firmennetzwerk geht.

    In diesem Firmennetzwerk gibt es eine Domäne (addg). Die hat einen DNS, einen DHCP und alles weitere. Es arbeiten rund 30 Persone damit.

    Ich soll nun eine neue Domäne (Test) erstellen. Habe ich auch bereits gemacht. Nun möchte ich (um Exchange Server zu nutzen) damit ins Internet gehen. Mein Server hat 2 Netzwerkkarten. Kann ich irgendwie meinen PrimärenDomainController (PDC-Test) neben dem anderen DC (addg) ins Internet bringen ohne das die anderen Kollegen probleme haben?

    Auf dem neuen DC (Test) läuft kein DHCP Server (da sich das ja dann beißt).

    Als 2. suche ich noch eine gute Freeware für digitale Signaturen. Falls da jemand was kennt, ich würde mich freuen ;-)

    Freitag, 8. Mai 2015 11:59
    |

Antworten

  • Question
    Anmelden
    4
    Anmelden

    Moin,

    ich würde Produktion und Test getrennt halten. Alleine schon wegen IPv6. Da können dank der Autoconfig lustige Dinge passieren. IPv6 wird lt. RfC bei der Kommunikation bevorzugt.

    Im einfachsten Fall lässt sich zwischen Prod und Test ein NAT Router klemmen. Z.Bsp. ein Windows RRAS oder eine IPFire etc. Das WAN Interface hängt im Prod-Netz und bekommt seine IP vom Prod dhcp. Die LAN Seite hängt im Testnetz. Dann macht die Testumgebung zwar ein doppeltes NAT, das dürfte aber selten ins Gewicht fallen. Dafür müssen für Prod und Test unterschiedliche Subnetze verwendet werden.

    Etwas forgeschrittener und eleganter wäre eine Firewall oder ein Router mit mehreren unabhängigen LAN Interfaces (physisch oder per VLAN).

    Zur Signatur:

    Was soll von wem signiert werden, wer soll der Signatur vertrauen, findet ein Schlüsselaustausch statt, ist eine PKI vorhanden, werden offizielle Zertifikate eingesetzt usw. usw.

    gpg4win http://www.gpg4win.de/ kann signieren. Windows kann auch einiges signieren, Office und Adobe Acrobat ebenfalls

    Signieren lässt sich alles mögliche - ohne umfassendes Konzept ist es i.d.R. wenig zielführend.

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert deschriever Mittwoch, 27. Mai 2015 06:18
    Freitag, 8. Mai 2015 12:40
    |

Alle Antworten

  • Question
    Anmelden
    4
    Anmelden

    Moin,

    ich würde Produktion und Test getrennt halten. Alleine schon wegen IPv6. Da können dank der Autoconfig lustige Dinge passieren. IPv6 wird lt. RfC bei der Kommunikation bevorzugt.

    Im einfachsten Fall lässt sich zwischen Prod und Test ein NAT Router klemmen. Z.Bsp. ein Windows RRAS oder eine IPFire etc. Das WAN Interface hängt im Prod-Netz und bekommt seine IP vom Prod dhcp. Die LAN Seite hängt im Testnetz. Dann macht die Testumgebung zwar ein doppeltes NAT, das dürfte aber selten ins Gewicht fallen. Dafür müssen für Prod und Test unterschiedliche Subnetze verwendet werden.

    Etwas forgeschrittener und eleganter wäre eine Firewall oder ein Router mit mehreren unabhängigen LAN Interfaces (physisch oder per VLAN).

    Zur Signatur:

    Was soll von wem signiert werden, wer soll der Signatur vertrauen, findet ein Schlüsselaustausch statt, ist eine PKI vorhanden, werden offizielle Zertifikate eingesetzt usw. usw.

    gpg4win http://www.gpg4win.de/ kann signieren. Windows kann auch einiges signieren, Office und Adobe Acrobat ebenfalls

    Signieren lässt sich alles mögliche - ohne umfassendes Konzept ist es i.d.R. wenig zielführend.

    This posting is provided AS IS with no warranties.

    • Als Antwort markiert deschriever Mittwoch, 27. Mai 2015 06:18
    Freitag, 8. Mai 2015 12:40
    |
  • Question
    Anmelden
    2
    Anmelden
    Hi,
     
    Am 08.05.2015 13:59, schrieb deschriever:
    > ich habe eine Domäne erstellt (Auf einem Win 2012 R2 Server) und
    > möchte mit dieser neuen Domäne Internetzugriff haben.
     
    Wo ist das Problem? Du kannst denselben IP Nummerkreis wie die Prod
    verwenden. Sie heisst anders, sie hat einen völlig andern SID Rahmen,
    kein Client der PROD Domäne wird sich zum Test verbinden.
     
    Du musst hat nur den Clients in der Test feste IPs vergeben.
     
    Du könntest auch über Routing und Ras mit getrennten Netzen arbeiten und
    an deinem Router eine Route zu diesem Netz über die NIC des TestDC
    eintragen, aber der Aufwand ist für eine Spielwiese vielleicht etwas zu
    hoch.
    Alternativ könntest du auch mit Hyper-V/VM das Zeug durch eine virtuelle
    Netzwerkkarte natten usw.
     
    Dann könntest du im Testnetzwerk auch DHCP nutzen
     
    Ich denke derselbe Nummerkreis ist der einfachste Weg und bei 2-3
    Clients kann die IPs auch per Hand eintragen ...
     
    > Als 2. suche ich noch eine gute Freeware für digitale Signaturen.
     
    Reden wir jetzt über Zertifikate oder über Mail Signaturen?
    "Freeware" für Zertifikate hast du schon, wenn du es am Server
    einrichtest. Für Mail Signaturen empfehle ich:
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 8. Mai 2015 13:16
    |
  • Question
    Anmelden
    1
    Anmelden

    Vielen Dank an die Antworter und sorry dass ich mich erst jetzt wieder melde (hatte viel zu tun und keine Zeit für meine kleine Testumgebung).

    Wir haben eine Sophos Firewall. Kann ich in der Einstellungen machen damit ich mit meinem Testnetz in das normale Firmennetz kann ohne dass sich da was beißt?

    Ich möchte eine neue Domäne einrichten um darauf einen Exchange Server 2013 zu installieren. Darüber hinaus soll ich in unserem Domainpaket 2 neue EMail Adressen einrichten und diese dann mit dem Exchangeserver verknüpfen.

    Die Signaturen sollen Zertifikate sein, dass mir der Firefox oder Chrome nicht immer sagen, dass es sich um eine unsichere Verbindung handelt, wenn ich über das Webinterface auf einen Server zugreifen will. Eine Mail Signatur wäre auch noch gut, damit die Mails nicht im Spamordner landen.

    Ich werde nun mal den Tip mit dem NAT Router ausprobieren. Zum Thema RRAS und IPFire werde ich mich dann noch schlau machen. 

    Ist es möglich, dass die PCs in meiner Testdomäne IP Adressen vom DHCP aus dem ProdNetz bekommen?

    Gruß deschriever

    Mittwoch, 20. Mai 2015 08:54
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo Deschriever, 

    ja sollte gehen. Dafür musst du bei deinem Defaultgateway im Testnetz eine DHCP Weiterleitung bzw. ein DHCP Relay zu deinem Prodnetz DHCP Server machen und dort einen passenden Scope für dein Testnetz einrichten. Anbei mal ein paar Screenshots aus meiner Testumgebung. 

    Konfiguration bei Mikrotik Cloud Router: 

    Mittwoch, 20. Mai 2015 09:05
    |
  • Question
    Anmelden
    2
    Anmelden

    DHCP Scope Windows DHCP Server: 

    Viel Erfolg. 

    LG

    Flo 

    Mittwoch, 20. Mai 2015 09:06
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 20.05.2015 10:54, schrieb deschriever:
    > Wir haben eine Sophos Firewall. Kann ich in der Einstellungen machen
    > damit ich mit meinem Testnetz in das normale Firmennetz kann ohne dass
    > sich da was beißt?
     
    Das ist ein ANDERES! Active Directory. Es hat eine andere SID. Solange
    du nicht dieselben NetBIOS Namen innerhalb desselben Broadcasst
    Netzwerks verwendest passiert da nichts.
    Sonst würden sämtliche Schulungsräume sterben gehen, wenn jeder
    Teilnehmer einen eigenen DC installiert ...
     
    > Die Signaturen sollen Zertifikate sein, dass mir der Firefox oder Chrome
    > nicht immer sagen, dass es sich um eine unsichere Verbindung handelt,
     
    Dann musst du nur die Zertifikate als "Vertrauenswürdige Stammzerts" des
    FF, bzw. WinClients importieren, wenn sie vom Exchange selbst erzeugt
    wurden. Für WinClients kannst du auch die Gruppenrichtlinien zur
    Verteilung nutzen.
     
    > Ist es möglich, dass die PCs in meiner Testdomäne IP Adressen vom DHCP
    > aus dem ProdNetz bekommen?
     
    Nur, wenn du sicherstellen kannst, daß der DNS Server auf den DNS Server
    des NEUEN DC verwaist, denn der kennt die AD Records des AD. Alternativ
    könntest du die NEUE Zone auch in dem DNS inkl. aller SRV Records
    verwalten, der jetzt schon an die Clients als DNS verteilt wird.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 20. Mai 2015 17:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für eure Hilfe.

    Ich bin grade dabei einen DC in Hyper V zu installieren. Dazu habe ich Windows Server 2012 R2 installiert.

    Die Rollen sind auch schon drauf.

    Ich hänge nun bei der Konfiguration der Active-Directory-Domänedienste.

    Wenn ich eine neue Domäne (Test) zur schon vorhandenen Domäne (Prod) hinzufügen möchte, kann ich dann wählen: Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen?

    Falls ja, muss ich dann untergeordnete Domäne oder Strukturdomäne auswählen wenn beide Domänen eigenständig sein sollen? Also die Prod-Domäne unangetastet seien soll.

    Gruß

    deschriever

    Donnerstag, 21. Mai 2015 09:17
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 21.05.2015 11:17, schrieb deschriever:
    > Wenn ich eine neue Domäne (Test) zur schon vorhandenen Domäne (Prod)
    > hinzufügen möchte,
     
    Warum willst du das? Wenn du das machst, kannst du sie nicht einfach
    wieder löschen/entfernen und still legen.
     
    Willst du eine Testdomäne komplett unabhängig von der Prod? Dann ist das
    ein neuer Forest. Datenzugriff ist über Vertrauensstellungen oder
    direkter Authentifizierung bei Zugriff möglich.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 21. Mai 2015 11:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Alles klar. Ich danke.

    Ich habe nun folgendes Szenario:

    ..

    Domäne Test ist via DLink Router mit Domäne Prod verbunden.

    Habe damit in der Testdomäne Internet und bisher hat sich keiner meiner Kollegen beschwert.

    Kann ich in der Testdomäne nun einfach einen DHCP Server starten, der z.B. die IPs 192.168.2.100 bis 199 vergibt? Die Prod-Umgebug hat eine andere Z.b: 172.16.66.XXX.

    Donnerstag, 21. Mai 2015 13:52
    |
  • Question
    Anmelden
    1
    Anmelden
    Am 21.05.2015 15:52, schrieb deschriever:
    > Kann ich in der Testdomäne nun einfach einen DHCP Server starten, der
    > z.B. die IPs 192.168.2.100 bis 199 vergibt? Die Prod-Umgebug hat eine
    > andere Z.b: 172.16.66.XXX.
     
    Wenn du physikalisch in einem anderen Netzwerksegment sitzt, ja.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 21. Mai 2015 14:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo deschriever,

    haben die Tipps weitergeholfen? Wenn ja, markieren Sie bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als "Die Antworten". Wenn Sie eine andere Lösung gefunden haben, bitte teilen Sie sie der Community mit, so dass auch andere Benutzer, als der Fragesteller davon profitieren können.

    Bitte beachten Sie, dass ich wegen keiner weiteren Aktivitäten das Thema als Diskussion verschieben werde.

    Mit freundlichen Grüßen,

    Michaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 26. Mai 2015 08:59
    |
    Moderator