locked
TMG Site 2 Site 2 Standorte RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

     

    Ich habe eine generelle Frage bezüglich eines Site2Site VPN's und 2 Standorten.

     

    Aktuell sieht es so aus, WAN (Öffentliche IP)->Junos Router (10.x.x.x)->TMG (172.x.x.x)->AD (eine Domain)/Exchange/TS/WSUS/Deploy/FS/Sharepoint/Project/SQLServer

    Nun soll ein zweiter Standort aufgebaut werden.

     

    Die Hardware dort sieht foglendermaßen bis jetzt aus: WAN (Öffentliche IP)->Junos Router (10.x.x.x)->TMG (172.x.x.x)->SQLServer/FS

     

    - Benötige ich die selben Adressebereiche in den TMG Netzen?

    - Wird ein zweiter Ad benötigt? (Sinnvoll ein Replikation von AD1?)

    - Den TMG aufsetzen ohne AD einbindung? Eingebunden an AD1? oder besteht die möglichkeit eines imports der bestehenden TMG1 konfiguration?

     

     

    Vielen Dank für die Hilfe im vorraus.

     

    G. J. Th.

     

    Mittwoch, 2. Februar 2011 12:48

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    die Bandbreite ist erst mal mehr als ausreichend fuer die Anzahl User. An reinem AD Datenverkehr werden das vermutlich wenige KByte/s sein. Wenn Du jetzt noch weisst, dass die Leitung noch Kapazitaet hat, braeuchte man aus dem Grund keinen DC im Remote Standort. Bei der Anzahl User empfehle ich aber Miniumum einen DC, besser zwei DC, da Dur dort ja auch einen Exchange laufen lassen willst.
    Wegen des klonen der TMG Konfi musst Du schauen ob das Importieren / Exportieren Sinn macht, da Du ja am TMG2 nicht alle Regeln brauchst, wie Du diese auf TMG1 hast und sich ja teilweise die Richtungen in den Firewallregeln drehen. Ich wuerde also ueberlegen, die Konfig am TMG2 manuell zu erstellen mit den notwendigen Firewallregeln. Die S2S Verbidnung musst Du sowieso manuell aufsetzen.
    Wegen AD2 wenn Du mit Replika einen zusaetzlichen DC der Domaene meinst, dann volles ACK! Der zweite DC am zweiten Standort sollte auch Global Catalog sein wegen Exchange etc.

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert ZKSmed IT Mittwoch, 2. Februar 2011 14:29
    Mittwoch, 2. Februar 2011 14:20

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    die Netze muessen sich unterscheiden, damit Du innerhalb des Site to Site VPN Standorts zwischen den Netzen routen kannst!
    Ein weiterer DC kann Sinn machen, wenn die Anzahl der User es rechtfertigt, dort einen zweiten DC aufzubauen. Wenn dort wenige Nutzer sind und die S2S Verbindung ausreichend ist, kannst Du auch den Datenverkehr ohne DC ueber die S2S pumpen. Diese Frage kannst Du Dir beantworten, indem Du die entsprechenden Whitepaper von Microsoft zum Thema AD Replikation liest. Dort steht im Detail fuer welche AD Aktion wieiviel Datenverkehr erzeugt wird.

    Wieviel User hast Du denn am Remote Standort, wie stark ist die Leitung wie hoch ist diese im Durschnitt ausgelastet?

    Wenn der TMG Domaenenmitglied werden soll, weil Du mit Hilfe von Firewallrichtlinien User Zugriffe auf AD Basis steuern willst, wuerde ich am Standort einen DC hinstellen. Seit TMG SP1 kannst Du auch einen RODC auf dem TMG selbst installieren, was ich aber nicht empfehlen wuerde.
    Du kannst eine TMG Konfig exportieren und auf einem anderen System wieder importieren.

    Alles in allem haengt die Entscheidung wie Du es machst von zahlreichen Faktoren ab, welche einer eingehenden Planung bedingen, weil jedes Kontsrukt Vor- und Nachteile hat. Wenn Du weitere Fragen hast, melde Dich hier

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 2. Februar 2011 13:04
  • Question
    Anmelden
    0
    Anmelden

    Also Bandbreite sieht folgendermaßen aus:

     

    Standort_1: 150mbits up/150mbits down (80 User)

    Standort_2: 100mbits up/120mbits down (70 User)

     

    Ich würde jetzt folgendes versuchen aufzubauen

    Standort_1: WAN (Öffentliche IP)->Junos Router (10.x.x.x)->TMG (172.23.x.x)->AD1 (Domain1)/Exchange/TS/WSUS/Deploy/FS/Sharepoint/Project/SQLServer

    Standort_2: WAN (Öffentliche IP)->Junos Router (10.x.x.x)->TMG (172.16.x.x)->AD2 (replika Domain1)/Exchange (replika DAG)/FS/SQLServer

     

    Arbeitsablauf:

    - TMG2 Aufsetzen und in Domain1 aufnehmen->Konfiguration importieren von TMG1 auf TMG2

    - AD2 Aufsetzen und als replika von AD1 einrichten

    - TMG2 und AD2 an Standort_2 aufbauen und die Site2Site verbindung einrichten

    So weit OK?

     

    Was die User angeht, so sind es ca.150. Tendenz wachsend. TS haben wir 70 User.

     

    Vielen Dank

    J.

     

    Mittwoch, 2. Februar 2011 14:02
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    die Bandbreite ist erst mal mehr als ausreichend fuer die Anzahl User. An reinem AD Datenverkehr werden das vermutlich wenige KByte/s sein. Wenn Du jetzt noch weisst, dass die Leitung noch Kapazitaet hat, braeuchte man aus dem Grund keinen DC im Remote Standort. Bei der Anzahl User empfehle ich aber Miniumum einen DC, besser zwei DC, da Dur dort ja auch einen Exchange laufen lassen willst.
    Wegen des klonen der TMG Konfi musst Du schauen ob das Importieren / Exportieren Sinn macht, da Du ja am TMG2 nicht alle Regeln brauchst, wie Du diese auf TMG1 hast und sich ja teilweise die Richtungen in den Firewallregeln drehen. Ich wuerde also ueberlegen, die Konfig am TMG2 manuell zu erstellen mit den notwendigen Firewallregeln. Die S2S Verbidnung musst Du sowieso manuell aufsetzen.
    Wegen AD2 wenn Du mit Replika einen zusaetzlichen DC der Domaene meinst, dann volles ACK! Der zweite DC am zweiten Standort sollte auch Global Catalog sein wegen Exchange etc.

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert ZKSmed IT Mittwoch, 2. Februar 2011 14:29
    Mittwoch, 2. Februar 2011 14:20