Fragensteller
AD Standorte mit gleichem IP/Subnet

Allgemeine Diskussion
-
Folgendes Szenario:
Ich habe zwei DC an unterschiedlichen Standorten. Diese habe ich bereits im AD deklariert und zugewiesen. Diese Standorte sind per VPN verbunden und besitzen das gleiche IP/Subnetzt. Wir haben quasi ein Netz verteilt auf unterschiedliche Standorte. Bei der Vergabe der IP Adressen hätte ich die Möglichkeit in Bereiche auf zu teilen es ist ein 10.0.0.0/23 Netz
Soweit ich es richtig verstanden habe, ermittelt ein Client anhand der IP Adresse welcher DC für ihn zuständig ist. Hier haben wir das Problem. Die beiden Standorte haben ja leider das gleiche IP Netz.
Folgende Lösungen könnte ich mir vorstellen und bitte um Beurteilung:
1. Ich definiere im AD Standorte A:10.0.0.0/24 und B:10.0.0.1/24 und verteile die IP Adressen. Mir ist allerdings unklar, ob der Client das Subnetz mit berücksichtigt. Wenn ja würde es nicht gehen, da er ja kein DC in seinem IP/Subnetz findet.
2. Lösung
Keine IP Netze im Standort definieren, allerdings die DC schon den unterschiedlichen Standorten A und B zuordnen. Dann per GPO den festen Rechner, (Laptops wechseln zum glück auch nicht den Standort) den Standort DC zuweisen! Gibt es so eine GPO?
3. Händisch Reg ändern:
ich könnte per LOGON Script folgenden Reg Eintrag setzen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName
Was habt ihr für Ideen?
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 26. Juni 2013 07:40 Warten auf Feedback
Alle Antworten
-
Nicht der Client, sondern die Domain Controller validieren anhand der vom Client übermittelnden IP (und nur dieser) und der in der AD-Configuration Partition eingetragenen Subnets die exakte bzw. bestmögliche Site-Zugehörigkeit.
S.a.: http://technet.microsoft.com/en-us/library/cc978016.aspx
Hinweis: Die im AD vorgenommen Subnet-Definitionen anhand der Subnet-Mask muss nicht unbedingt mit der mittels DHCP oder TCP/IP-Konfiguration eingestellten Subnet-Mask des Clients übereinstimmen.
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421 -
Super vielen Dank, hast antürlich recht. Leider bestärkt mich der Artikel allerdings, dass bei gleichen Subnetzen eine zuweisen des dichtesten DC nicht möglich ist. Genau genommen kann ich im AD diese Unterscheidung gar nicht konfigurieren, da ich unterschiedlichen Standorten nicht das glecihe Subnetz zuweisen kann. Bleibt mir wohl nichts anderes übrig, als ein Netz komplett umzustellen :-(
-
Wie denn auch? Wenn die Client-IPs im AD nicht den Standorten zugeordnet werden können, dann war's das mit "Sites und Services"...
Ja, Du musst umstellen.
Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :)) -
Hallo,
ist jetzt die Thematik abgeklärt?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Nochmal:
Mittels Subnetting, wie z.B.:
Standort A:
- 10.0.0.0/24
Standort B:
- 10.0.1.0/24
ist es durchaus möglich, das "reale" VLAN 10.0.0.0/23 (10.0.0.0 - 10.0.1.255) in zwei logische Standorte für AD:
- 10.0.0.0/24 (10.0.0.0 - 10.0.0.255)
- 10.0.1.0/24 (10.0.1.0 - 10.0.1.255)
zu unterteilen, so dass der jeweilige Domain Controller, z.B:
- Domain Controller A-DC01 im Standort A: 10.0.0.100
- Domain Controller B-DC01 im Standort B: 10.0.1.100
aus dem zugehörigen Standort dem Client via dem DCLocator Process mitgeteilt wird.
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421 -
ich könnte per LOGON Script folgenden Reg Eintrag setzen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName
Nein, das willst Du nicht. Was meinst Du, wo dieser Eintrag herkommt? Netlogon schreibt den da rein, wenn es einen Standort gefunden hat.
Du willst, was Tobias vorgeschlagen hat - teile das Netz in zwei logische Subnetze für's AD auf, ggf. noch DHCP anpassen, fertig.
Signatur: Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))
Restore the forum design - contribute some CSS if you can! -
Ok erst einmal vielen Dank! Ich habe schon vermutet, dass es keinen anderen Weg gibt. Die Trennung der beiden Netze dürfte möglich sein. Ich wollte versuchen das gebridgte Netzwerk aufrecht zu erhalten und habe folgende Idee:
Server A bekommt 10.0.0.1/24
Server B bekommt 10.0.1.1/24
Würden die Clients am Standort A nun auch Server A als primären AD bekommen, wenn die Clients ein /23 Subnetz haben? Wenn die Clients sich auch mit ihrem Subnetz am DNS melden, wird es wahrscheinlich schwierig, weil dann ja wieder keine eindeutige Trennung erfolgen kann. Nur anhand der IP Adresse sollte es möglich sein.
Natürlich muss ich sicherstellen, dass alle Clients am Standort A 10.0.0.*/23 bekommen und am Standort B 10.0.1.*/23 bekommen.
Wenn nicht müssten wir die Bridge auflösen und die Standortvernetzung naten! Ist wohl auch möglich!
Beste Grüße
Patrick Wienecke
-
Hast Du meine Kommentare gelesen und verstanden...?
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421 -
Hast Du meine Kommentare gelesen und verstanden...?
Ja/Vielleicht und Nein :-)
Tschö
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter -
Hi Tobias, grundsätlich dachte ich schon! Wahrscheinlich hat mich VLAN ein wenig verwird!
Gehen wir davon aus, dass beide Router die IP 10.0.1.2/23 und 10.0.0.2/23 haben.
In beiden Netzen bekommen Server und Clients IP Adressen mit einem /24 SubnetAls Gateway wird der Router gewählt. Die Clients bekommen kein 23 Netz sondern ein 24 Netz aufgeteilt in Standort A und Standort B. Die Zuordnung kann nun sauber im AD erfolgen.
Wenn ich einen Ping vom Standort A zum Standort B absetze, wird trivalerweise der Weg über Gateway gewählt, weil 10.0.1.* sich nicht im Subnetz befindet.
Da das Gateway auch die Bridge zur Verfügung stellt würde ich vermuten das ich eine Antwort bekomme. Habe ich es jetzt richtig verstanden?
Beste Grüße!
-
Die ganze von mir favorisierte Lösung hat nichts mit der zugehörigen Netzwerk-Konfiguration der beteiligten Endpunkte zu tun, sondern lediglich mit der Darstellung der beiden Subnets im AD. Deine reale Netzwerkkonfiguration ist davon unbetroffen.
P.S.: Wie Du zwischen 10.0.1.2/23 und 10.0.0.2/23 routen willst, ist mir schleierhaft...
Source: http://www.subnet-calculator.com/subnet.php?net_class=A
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421 -
Ok die Grundlagen der Netzwerktechnoogie von IPv4 brauchen wir nicht zu diskutieren. Das bei einem /23 Subnet beide in einem Segment liegen ist schon klar.
Ich glaube das wir uns langsam verstehen. Zumindest entnehme ich deinen Zeilen, das nur die Darstellung im AD reicht den Client dem nächsten Controller zuzuweisen.
Im Standort A sind nämlich ca. 150 PC mit fester IP, zum glück belegen diese alle die ersten 256 Adressen bzw 254 Adressen so das dein Ansatz keine wirklich große Arbeit mit sich bringt. Ich werde in beiden Standorten noch einen DHCP aktiveren mit Adressenbereichen für Standort A aus dem ersten 254 Adressen und für Standort B aus den oberen 254 Adressen des 23 Subnetz.
Jetzt noch Standort A definieren mit der NetID der ersten 256 Addressen und einem /24 Subnet und dann Standort B mit der NETID der obern 256 Adressen! Fertig!
Ich bin gespannt! Ob nun die DC korrekt zugewiesen worden sind.
Vielen Dank schon einmal im Vorraus!
-
Das hört sich nach einem guten Plan an. ;)
Über ein positives Feedback freut sich
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421