14
Neuinstallation eines Windows Netzwerkes mit 3 Standorten - beste Lösung gesucht
Hallo zusammen,
wir möchten eine Neuinstallation eines Netzwerkes vornehmen. Es gibt eine Zentrale und zwei Außenstellen.
Jede Filiale hat in etwa gleich viele Mitarbeiter - sagen wir 10 pro Standort. Es ist geplant, in der Zentrale einen Domänencontroller Windows Server 2016 mit Exchange 2016 als Hyper-V Container sowie auf gesonderter Hardware einen Datenbankserver zu installieren. Dafür sind die Lizenzen bereits beschafft:
30 x Server Cals, 30 x RDS Cals und 30 x Exchange Cals.
Was ich mich jetzt frage: Wie installieren ich am sinnvollsten die Außenstellen?
Da wir noch 2 x 2008R2 Standard Server Lizenzen haben, würde ich die gerne für Außenstelle 1 + 2 nehmen. Dann eine Domäne in der Zentrale installieren und die 2008 R2 als RODC in die Außenstellen.
Alternativ bekommt jeder Standort seine eigene Domäne und es werden Vertrauenstellungen gebildet. Hierbei ist aber die Frage, ob dann die gekauften Lizenzen ausreichen. (ZugriffsCALs für 2008 sind nicht gekauft wurden damals).
Wie würdet ihr das Ganze aufziehen?
viele Grüße
Martin
wir möchten eine Neuinstallation eines Netzwerkes vornehmen. Es gibt eine Zentrale und zwei Außenstellen.
Jede Filiale hat in etwa gleich viele Mitarbeiter - sagen wir 10 pro Standort. Es ist geplant, in der Zentrale einen Domänencontroller Windows Server 2016 mit Exchange 2016 als Hyper-V Container sowie auf gesonderter Hardware einen Datenbankserver zu installieren. Dafür sind die Lizenzen bereits beschafft:
30 x Server Cals, 30 x RDS Cals und 30 x Exchange Cals.
Was ich mich jetzt frage: Wie installieren ich am sinnvollsten die Außenstellen?
Da wir noch 2 x 2008R2 Standard Server Lizenzen haben, würde ich die gerne für Außenstelle 1 + 2 nehmen. Dann eine Domäne in der Zentrale installieren und die 2008 R2 als RODC in die Außenstellen.
Alternativ bekommt jeder Standort seine eigene Domäne und es werden Vertrauenstellungen gebildet. Hierbei ist aber die Frage, ob dann die gekauften Lizenzen ausreichen. (ZugriffsCALs für 2008 sind nicht gekauft wurden damals).
Wie würdet ihr das Ganze aufziehen?
viele Grüße
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339279
Url: https://administrator.de/contentid/339279
Printed on: April 18, 2024 at 17:04 o'clock
14 Comments
Latest comment
Moin,
dein erster Gedanke ist schon der Richtige: Nimm die 2008er in den Außenstellen als DC. Bei den paar Leuten eine Lösung mit Vertrauensstellungen zu bauen, wäre meiner Meinung nach zu viel des Guten.
Gruß
dein erster Gedanke ist schon der Richtige: Nimm die 2008er in den Außenstellen als DC. Bei den paar Leuten eine Lösung mit Vertrauensstellungen zu bauen, wäre meiner Meinung nach zu viel des Guten.
Gruß
Ich würde den von Dir skizzierten Weg vornehmen und die beiden "alten" 2008er in die Außenstellen verlegen
Beim Netzwerkaufbau würde ich jedes Netz einzeln nehmen (IP-mäßig) und über VPN-Verbindungen routen.
- Netz Zentrale: 10.10.0.0/22
- Netz Standort 1: 10.101.20.0/22
- Netz Standort 2: 10.101.40.0/22
Dann hast Du auch noch einige Reserven, um zukünftiges Wachstum abzufangen und durch die Segmentierung hält sich der ungewollte Traffic im Netz, insbes. zwischen den Gateways, in Grenzen (Broadcast bleibt an den Standorten).
Die Laufwerke kannst du über DFS an alle Standorte spiegeln (oder zumindest in die Zentrale) und an ein einem Ort auch sichern.
Wir haben eine ähnliche Konstellation mit 600 Mitarbeitern an 6 Standorten weltweit, ca. 600 Endgeräte, 60 Server.
Beim Netzwerkaufbau würde ich jedes Netz einzeln nehmen (IP-mäßig) und über VPN-Verbindungen routen.
- Netz Zentrale: 10.10.0.0/22
- Netz Standort 1: 10.101.20.0/22
- Netz Standort 2: 10.101.40.0/22
Dann hast Du auch noch einige Reserven, um zukünftiges Wachstum abzufangen und durch die Segmentierung hält sich der ungewollte Traffic im Netz, insbes. zwischen den Gateways, in Grenzen (Broadcast bleibt an den Standorten).
Die Laufwerke kannst du über DFS an alle Standorte spiegeln (oder zumindest in die Zentrale) und an ein einem Ort auch sichern.
Wir haben eine ähnliche Konstellation mit 600 Mitarbeitern an 6 Standorten weltweit, ca. 600 Endgeräte, 60 Server.
Eine Hostanzahl von 1022 (22er prefix in der Netzmaske) in den Außenstellen die ja nur 10 User haben ist mit Verlaub gesagt doch etwas sinnfrei und auch kontraproduktiv.
Mal ganz davon angesehen das man Layer 2 Collision Domains in Netzen nie größer als 300 plus minus designen sollte.
Das ist also völlig falsch vom IP Adressdesign.
Bei so geringer Hostanzahl reicht ja ein klasssicher 24 Bit Prefix für 253 adressierbare Hosts allemal. Auch ein 25er mit 128 adressierbaren Endgeräten würde noch völlig ausreichen:
- Netz Zentrale: 10.10.0.0 /24
- Netz Standort 1: 10.10.1.0 /24
- Netz Standort 2: 10.10.2.0 /24
Mal ganz davon angesehen das man Layer 2 Collision Domains in Netzen nie größer als 300 plus minus designen sollte.
Das ist also völlig falsch vom IP Adressdesign.
Bei so geringer Hostanzahl reicht ja ein klasssicher 24 Bit Prefix für 253 adressierbare Hosts allemal. Auch ein 25er mit 128 adressierbaren Endgeräten würde noch völlig ausreichen:
- Netz Zentrale: 10.10.0.0 /24
- Netz Standort 1: 10.10.1.0 /24
- Netz Standort 2: 10.10.2.0 /24
Moin,
Gruß,
Dani
Alternativ bekommt jeder Standort seine eigene Domäne und es werden Vertrauenstellungen gebildet. Hierbei ist aber die Frage, ob dann die gekauften Lizenzen ausreichen. (ZugriffsCALs für 2008 sind nicht gekauft wurden damals).
vorallem was willst du durch die Trennung eigentlich erreichen?Gruß,
Dani
Hallo,
Ich würde an in der Zentrale eine Domäne installieren und dann einfach weitere Domäne Controller an den beiden Standorten aufstellen.
Nun, je nach dem wie viele Geräte man hat kann ein 22.er Sinvoll sein aber abgesehen davon ist bei 10 Mitarbeitern + par Server ein 24.er durchaus in Ordnung. Ich würde ein 24.er Subnetz verwenden.
VPN geht mit den Routing und RAS oder halt mit einer Hardwareseitigen Lösung (wer mich kennt, den dürfte es nicht überraschen das ich Cisco empfehlen würde).
Bei Exchange CAL,s muss man zwischen Standart und Enterprise CAL,s entscheiden wo bei Enterprise CAL,s für Archiv Postfächer und Exchange-UM (Ich gehe hier von 2010 aus, weis nicht genau ob sich was in 2016 geändert hat).
So weit ich weiß kann man CLA,s höheren Versionen auch mit einer Niderigeren Version benutzen.
Gruß an die IT-Welt,
J Herbrich
Ich würde an in der Zentrale eine Domäne installieren und dann einfach weitere Domäne Controller an den beiden Standorten aufstellen.
Nun, je nach dem wie viele Geräte man hat kann ein 22.er Sinvoll sein aber abgesehen davon ist bei 10 Mitarbeitern + par Server ein 24.er durchaus in Ordnung. Ich würde ein 24.er Subnetz verwenden.
VPN geht mit den Routing und RAS oder halt mit einer Hardwareseitigen Lösung (wer mich kennt, den dürfte es nicht überraschen das ich Cisco empfehlen würde).
Bei Exchange CAL,s muss man zwischen Standart und Enterprise CAL,s entscheiden wo bei Enterprise CAL,s für Archiv Postfächer und Exchange-UM (Ich gehe hier von 2010 aus, weis nicht genau ob sich was in 2016 geändert hat).
So weit ich weiß kann man CLA,s höheren Versionen auch mit einer Niderigeren Version benutzen.
Gruß an die IT-Welt,
J Herbrich
Moin,
Gruß,
Dani
Nun, je nach dem wie viele Geräte man hat kann ein 22.er Sinvoll sein
nenn uns ein Anwendungsszenario aus der Praxis. Außer dass mehr Geräte in ein Subnetz passen.Bei Exchange CAL,s muss man zwischen Standart und Enterprise CAL,s entscheiden wo bei Enterprise CAL,s für Archiv Postfächer und Exchange-UM (Ich gehe hier von 2010 aus, weis nicht genau ob sich was in 2016 geändert hat).
Hat sich nichts geändert... bis auf den Standard. So weit ich weiß kann man CLA,s höheren Versionen auch mit einer Niderigeren Version benutzen.
Richtig, die CALs sind immer abwärtskompatibel.Gruß,
Dani
1wie viele Geräte man hat kann ein 22.er Sinvoll sein
Kollege Dani hat es ja schon gesagt... Diese Aussage ist Unsinn und zeugt eher von wenig Netzwerk Design Kenntniss.Niemals sollte man im Hinblick auf die Broad- und Multicast Last in einem L2 Segment mehr als max. 250 bis 300 Endgeräte haben. Eher weniger.
Genau weil diese Last eben massiv auf Kosten der Performance geht. Es ist also sinnvoll und weise zu segmentieren und eher kleinere Segmente zu verwenden.
/22 Netze sind also nicht wirklich praxistauglich sofern man sie ausreitzt von der Anzahl der Endgeräte.
Hallo,
Ja, selbst ein 8.er Netz ist ok aber wen zu viele Geräte im gleichen LAN sind wird der Broadcast verkehr in der Tat zur Netzwerk Bremse
Gruß an die IT-Welt,
J Herbrich
Ja, selbst ein 8.er Netz ist ok aber wen zu viele Geräte im gleichen LAN sind wird der Broadcast verkehr in der Tat zur Netzwerk Bremse
Gruß an die IT-Welt,
J Herbrich
Hallo,
danke für die rege Anteilnahme. So wie ich euch verstehe, ist es also sinnvoll, das lokale Subnetz so klein wie nötig (natürlich mit genug Reserven) zu gestalten. 128 adressierbare Host sind ja nun tatsächlich allemal ausreichend. Daher würd ich das so ins Auge fassen. Wäre dann eine kleinere Subnettierung noch merklich besser? Weniger Hosts würde ja theoretisch auch machbar sein....
Was haltet ihr von der RODC Lösung für die Filialen? Oder lieber als sekundäre Domaincontroller mit Schreibzugriff konfigurieren?
einen schönen Abend in die Runde
danke für die rege Anteilnahme. So wie ich euch verstehe, ist es also sinnvoll, das lokale Subnetz so klein wie nötig (natürlich mit genug Reserven) zu gestalten. 128 adressierbare Host sind ja nun tatsächlich allemal ausreichend. Daher würd ich das so ins Auge fassen. Wäre dann eine kleinere Subnettierung noch merklich besser? Weniger Hosts würde ja theoretisch auch machbar sein....
Was haltet ihr von der RODC Lösung für die Filialen? Oder lieber als sekundäre Domaincontroller mit Schreibzugriff konfigurieren?
einen schönen Abend in die Runde
Hallo,
Lieber als Sekondärer DC weil wen VPN abbricht und User ihr Passwort ändern wollen dann geht es nicht mehr. Der RDOC Arbeitet als Proxy bei schreib zugriffen und leitet alles an einen WDC (Writable Domain Controller) weiter
Ein RODC ist für eine DMZ gut oder für Sicherheitskritische sachen
Gruß an die IT-Welt,
J Herbrich
Lieber als Sekondärer DC weil wen VPN abbricht und User ihr Passwort ändern wollen dann geht es nicht mehr. Der RDOC Arbeitet als Proxy bei schreib zugriffen und leitet alles an einen WDC (Writable Domain Controller) weiter
Ein RODC ist für eine DMZ gut oder für Sicherheitskritische sachen
Gruß an die IT-Welt,
J Herbrich
Moin,
RODC kommen immer dann zum Einsatz, wenn es schwierig ist, den Server physikalisch zu sichern. Oft geht es um Außenstellen, wo der Server einfach in einem Technikraum oder sogar unter dem Schreibtisch steht. Je nach Konfiguration sind im schlimmsten Fall nur die Konten kompromittiert, die auf dem RODC zwischengespeichert werden. Wird eine RWDC gestohlen oder kopiert, bist sicherlich deinen Job los!
Gruß,
Dani
Ein RODC ist für eine DMZ gut oder für Sicherheitskritische sachen
eine vollwertige Kopie des Active Directory inkl. Passwordhashes und Co. ist keine sicherheitskritsche Sache?! Da erzählen unsere Microsofter uns immer etwas anderes...RODC kommen immer dann zum Einsatz, wenn es schwierig ist, den Server physikalisch zu sichern. Oft geht es um Außenstellen, wo der Server einfach in einem Technikraum oder sogar unter dem Schreibtisch steht. Je nach Konfiguration sind im schlimmsten Fall nur die Konten kompromittiert, die auf dem RODC zwischengespeichert werden. Wird eine RWDC gestohlen oder kopiert, bist sicherlich deinen Job los!
as lokale Subnetz so klein wie nötig (natürlich mit genug Reserven) zu gestalten. 128 adressierbare Host sind ja nun tatsächlich allemal ausreichend.
Brauchst jemals so viele? Wahrscheinlich nicht.... es gilt: So groß wie möglich, so klein wie notwendigGruß,
Dani
Hallo,
Ist es letzentlich nicht egal wie groß dass Subnet ist, es kommt auf die Anzahl der Rechner drauf an. Je mehr geräte die Broadcasts Produzieren desto größer das Netz. Aber selbst wen ineinen 8.er Subnetz nur 8 Rechner stehen ist die performance nicht hin oder hat die größe des Subnets wirklich was mit der Performance zu tun unabhängig wie viele Devices sich dort drinnen befinden?
Gruß an die IT-Welt,
J Herbrich
Ist es letzentlich nicht egal wie groß dass Subnet ist, es kommt auf die Anzahl der Rechner drauf an. Je mehr geräte die Broadcasts Produzieren desto größer das Netz. Aber selbst wen ineinen 8.er Subnetz nur 8 Rechner stehen ist die performance nicht hin oder hat die größe des Subnets wirklich was mit der Performance zu tun unabhängig wie viele Devices sich dort drinnen befinden?
Gruß an die IT-Welt,
J Herbrich
Gibt es keinen Unterschied, ob du in ein (normales) Bad, oder in eine Olympiahalle rufst? Wenn nein, dann macht auch der Unterschied zwischen einem 8er und einem 29er Netz nichts.
@ersteller: Sicher, dass du das Projekt durchführen solltest? Warum im Jahre 2017 (Q2) noch auf 2008R2 setzen? Die 2016er Umgebung musst du sowieso auf der Basis lizenzieren...
@ersteller: Sicher, dass du das Projekt durchführen solltest? Warum im Jahre 2017 (Q2) noch auf 2008R2 setzen? Die 2016er Umgebung musst du sowieso auf der Basis lizenzieren...
so klein wie nötig (natürlich mit genug Reserven) zu gestalten.
Ja, so kann man es sagen. Natürlich kannst du auch einen /8 Prefix verwenden und nur 16 Rechner im Netz haben, das geht auch...macht aber wenig Sinn.In deinem Falle ist ein klassischer /24 Prefix das Beste, dann kannst du im 3ten Byte der netzwerk Adresse deine Netzwerke kennzeichnen und behälst so den leichten Überblick.
Siehe Beispiel oben mit den 10er Adressen.
2
