[WIN2k8] AD-domein gebruik in datacenter?

woensdag 8 april 2009 18:53

blub

Iets meer info mbt wat je in het datacenter met je servers gaat doen is wenselijk.

Je kan denken aan het creeeren van een subdomein binnen je bestaande forrest waarbij je RODC's plaatst in je datacenter. Deze knoop je over internet met een VPN tunnel aan elkaar. Alleen, is dit wenselijk? Moet je dezelfde gebruikers als op je kantoor laten authenticeren met de servers in het datacenter?

Welke services ga je draaien in je datacenter?

Zover ik weet kan ik daarop inloggen via RDP om commandline uit te voeren, en via de Hyper-V manager kan ik de VM's aanpassen

Powershell is je vriendje en de Hyper-V manager moet je elders draaien. Deze draait dus niet op je hyper-v server.

[ Voor 22% gewijzigd door _Arthur op 08-04-2009 09:35 ]

Acties:

woensdag 8 april 2009 19:02

Turbulence!

Topicstarter

_Arthur schreef op woensdag 08 april 2009 @ 09:34:
Iets meer info mbt wat je in het datacenter met je servers gaat doen is wenselijk.

Je kan denken aan het creeeren van een subdomein binnen je bestaande forrest waarbij je RODC's plaatst in je datacenter. Deze knoop je over internet met een VPN tunnel aan elkaar. Alleen, is dit wenselijk? Moet je dezelfde gebruikers als op je kantoor laten authenticeren met de servers in het datacenter?

Welke services ga je draaien in je datacenter?

[...]

Powershell is je vriendje en de Hyper-V manager moet je elders draaien. Deze draait dus niet op je hyper-v server.

Srry, iets meer info inderdaad.

Nou, wij willen een aantal test machientjes daar draaien maar ook TS-servers. Het leek ons handig om dit met AD te laten authenticeren, maar nog veel meer dingen, bijv. IIS-FTP en WebDAV met dezelfde credials als op het kantoor.

Ik weet dat Hyper-V alleen maar Powershell in RDP kan starten en voor de rest Hyper-V manger over internet (dat is wat ik bedoelde

)

Het gaat om een datalimiet van 100gb/pmaand..

De vpn oplossing zou dus alsvolgt zijn?: RRAS op de AD server @ office....

Hyper-V laten connecten via VPN met AD-server (kan Hyper-V dat?) maar wel eigen IP voor interenet.

En alle VM's (IIS, Exchange (secondary), FTP, WebDAV, TS, etc.) kunnen dan ADJoin doen via de Hyper-V VPN connectie?

Of zeg ik nu hele rare dingen? (Groten deels is een beetje testen, maar moet wel werken...)

2500 servers is een ander verhaal natuurlijk...

En als ik nou AD-server direct aan internet hang (op kantoor) met de benodigde poorten open, en vervolgens de Datacenter server join over internet? Dat is erg > Not done, he?

Acties:

sanfranjake

Computers can do that?

Best wel heel erg ja

Wat nou als je twee goede routers koopt, met een ingebouwde firewall, die een site2site vpn laat opbouwen, en daarover alles laat gaan. Dat is een 10 keer zo stabiele oplossing als je servers met elkaar te laten connecten, want ik heb het idee dat je wel erg veel verkeer over die lijn zal gaan razen

Ohja dan is het nog veilig ook. Ik moet zeggen dat het hele idee van servers aan internet hangen (anders dan servers die daar moeten zijn) wel erg hobbybob-keukentafel overkomt hoor!

[ Voor 21% gewijzigd door sanfranjake op 08-04-2009 19:03 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 8 april 2009 20:35

Acties:

woensdag 8 april 2009 20:49

Turbulence!

Topicstarter

sanfranjake schreef op woensdag 08 april 2009 @ 19:02:
Best wel heel erg ja

Wat nou als je twee goede routers koopt, met een ingebouwde firewall, die een site2site vpn laat opbouwen, en daarover alles laat gaan. Dat is een 10 keer zo stabiele oplossing als je servers met elkaar te laten connecten, want ik heb het idee dat je wel erg veel verkeer over die lijn zal gaan razen

Ohja dan is het nog veilig ook. Ik moet zeggen dat het hele idee van servers aan internet hangen (anders dan servers die daar moeten zijn) wel erg hobbybob-keukentafel overkomt hoor!

Kijk, en daarom vraag ik het ook

maar ipv. die routers/firewalls gebruik ik de vpn van server2008 (Routin and Remote Access Service) waarmee die Hyper-V dan weer verbinding mee gaat maken.

Zoveel verkeer is dat niet lijkt mij.

Windows Firewall lijkt mij voor de rest ook wel ok. Aangezien alle poort dicht staan en de benodigde poorten goed geconfigureerd worden.

Acties:

sanfranjake

Computers can do that?

Maar wat nou als er een grote exploit wordt ontdekt voor de Windows Firewall? Dan ben je toch wel blij dat je nog een layer of defense hebt, waarbij dus niet gelijk je hele bedrijf op straat ligt

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 8 april 2009 21:05

Acties:

woensdag 8 april 2009 21:16

Turbulence!

Topicstarter

sanfranjake schreef op woensdag 08 april 2009 @ 20:49:
Maar wat nou als er een grote exploit wordt ontdekt voor de Windows Firewall? Dan ben je toch wel blij dat je nog een layer of defense hebt, waarbij dus niet gelijk je hele bedrijf op straat ligt

Die hardwarefirewall is geen probleem op kantoor, maar in het datacenter wel. Zover ik weet krijg je die er nooit extra bij. Dus moet ik een apparte space erbij kopen. Daar heb ik momenteel het budget niet voor en geen zin omdat het voorlopig puur als testbak word gebruikt...

Later als we over gaan wil ik dat best doen. (over beveiliging gesprokenL hoe doen anderen dat met een kale windows erver 2008 bak?)

Acties:

alt-92

ye olde farte

tim427 schreef op woensdag 08 april 2009 @ 21:05:
(over beveiliging gesproken, hoe doen anderen dat met een kale windows server 2008 bak?)

Dus wel een Firewall/VPN device ervoor hangen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 8 april 2009 21:18

Acties:

Zwelgje

kale 2008 bak, dan gebruik ik gewoon ipsec policy's op de host om het eea dicht te mikken (als het bv een webserver is)

of je laat die toko in het datacenter even wat filter maken op de BGP router (zo doen wij het nu)

A wise man's life is based around fuck you

woensdag 8 april 2009 21:32

Acties:

alt-92

ye olde farte

Powershell schreef op woensdag 08 april 2009 @ 21:18:
kale 2008 bak, dan gebruik ik gewoon ipsec policy's op de host om het eea dicht te mikken (als het bv een webserver is)

True, erg effectief ook.
(maar daarom zit dat tegenwoordig default in de nieuwe firewall snapin verwerkt)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 8 april 2009 22:36

Acties:

donderdag 9 april 2009 17:10

Turbulence!

Topicstarter

alt-92 schreef op woensdag 08 april 2009 @ 21:32:
[...]

True, erg effectief ook.
(maar daarom zit dat tegenwoordig default in de nieuwe firewall snapin verwerkt)

Oftewel, Windows Firewall (in Windows (web)server 2008) is tegenwoordig volwasen genoeg?

Nu ff uitzoeken of Hyper-V kan connecten met een VPN, aangezien het een uitgekleede windows server 2008 core is...

Acties:

donderdag 9 april 2009 18:20

Turbulence!

Topicstarter

Ben zojuist tot de conclusie gekomen dat Hyper-V Server 2008 en R2 Beta beide geen VPN support hebben.

Eens kijken of het gaat lukken met een Server 2008 Core en anders een Full.

Dat is opzich ook geen ramp, dan kan ik eventueel werken met een DC Replica server?

(DC Replica server doet dan alleen maar DC repliceren en vervolgens EIGEN internet verbinding gebruiken??)

Acties:

donderdag 9 april 2009 19:26

blub

tim427 schreef op donderdag 09 april 2009 @ 17:10:
Ben zojuist tot de conclusie gekomen dat Hyper-V Server 2008 en R2 Beta beide geen VPN support hebben.

Dat had iedereen je wel kunnen vertellen denk ik

Eens kijken of het gaat lukken met een Server 2008 Core en anders een Full.

Core ook niet. Full natuurlijk wel.

Dat is opzich ook geen ramp, dan kan ik eventueel werken met een DC Replica server?

Lees dit topic eens: \[AD/Security] Fysieke toegang tot een DC, de gevaren

(DC Replica server doet dan alleen maar DC repliceren en vervolgens EIGEN internet verbinding gebruiken??)

Ik denk dat je je eerst eens even moet afvragen welke functionele zaken je nodig hebt in je datacenter. Wat zijn de eisen, wat moet je draaien voor services (ook al heb je dat al een beetje verteld), wat is je budget, wat is de performance die nodig is etc.

Ook moet je eens nadenken over de authenticatie zaken. Is het een harde eis dat bv het gebruikers account waarmee je inlogt op een service in je datacenter hetzelfde account is als van je kantoor omgeving. Vind er data uitwisseling plaats tussen je kantoor omgeving en het datacenter?

Want zoals ik het nu allemaal lees kan je echt gewoon beter een test-AD optuigen in je datacenter en gaan prutsen. Dan verneuk je in elk geval niet je kantoor-AD.

In dat laatste geval: Win2k8 + Hyper-V role (workgrouk joined). En hierin maak je je VM's aan waarin je je test-AD creeert.

[ Voor 4% gewijzigd door _Arthur op 09-04-2009 18:21 ]

Acties:

donderdag 9 april 2009 19:43

Turbulence!

Topicstarter

_Arthur schreef op donderdag 09 april 2009 @ 18:20:
[...]

Dat had iedereen je wel kunnen vertellen denk ik

[...]

Core ook niet. Full natuurlijk wel.

[...]

Lees dit topic eens: \[AD/Security] Fysieke toegang tot een DC, de gevaren

[...]

Ik denk dat je je eerst eens even moet afvragen welke functionele zaken je nodig hebt in je datacenter. Wat zijn de eisen, wat moet je draaien voor services (ook al heb je dat al een beetje verteld), wat is je budget, wat is de performance die nodig is etc.

Ook moet je eens nadenken over de authenticatie zaken. Is het een harde eis dat bv het gebruikers account waarmee je inlogt op een service in je datacenter hetzelfde account is als van je kantoor omgeving. Vind er data uitwisseling plaats tussen je kantoor omgeving en het datacenter?

Want zoals ik het nu allemaal lees kan je echt gewoon beter een test-AD optuigen in je datacenter en gaan prutsen. Dan verneuk je in elk geval niet je kantoor-AD.

In dat laatste geval: Win2k8 + Hyper-V role (workgrouk joined). En hierin maak je je VM's aan waarin je je test-AD creeert.

Hmmm, tja het budget is als volgt (kort door de bocht)...

Server (is eenmalig) + Colo-kosten

dat is het...

Daar komt het heel hard eigenlijk wel op neer. Dit omdat het puur als TEST is.. In het begin.

Maar na bijv. 3 maanden wil ik ook testen door het langzaam te faceren in de productie-omgeving.. En dan vind ik het belangrijk dat AD-authentication het zelfde is

Maar is het een idee als ik het volgende doe? > Windows Server 2008 full... dan een site-to-site connectie maak naar AD-server @ office?

En dan bedoel ik dus: RRAS op AD-server, en VPN client op DataCenter-server...

Vervolgens Hyper-V om te prutsen... Aangezien die Hyper-V host (om het zomaar te noemen) toch wel serieus gebruikt wordt, alleen de Hyper-V VM's zal een soort van test zijn....

Acties:

sanfranjake

Computers can do that?

Even voor de duidelijkheid Tim, ben je nu bezig met een professioneel project of een uitbreiding van je thuisnetwerk? Ik krijg de indruk het laatste, wat wel zo zinnig is om te weten

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 9 april 2009 20:05

Acties:

donderdag 9 april 2009 21:47

Turbulence!

Topicstarter

sanfranjake schreef op donderdag 09 april 2009 @ 19:43:
Even voor de duidelijkheid Tim, ben je nu bezig met een professioneel project of een uitbreiding van je thuisnetwerk? Ik krijg de indruk het laatste, wat wel zo zinnig is om te weten

Om heel eerlijk te zijn > beide

Ja het klinkt vaag, maar ik mag er niet te veel over zeggen... Het is een soort van proof-of-concept... Aan de ene kant een beetje ruimte voor mij, en aan de andere kant ruimte voor de business...

Maar die AD-loopt wel VOOR het bedrijf. Het privé-gebruik, om het zo maar eventjes te noemen, staat hier eigenlijk heel er los hier van, dat wordt niet meer dan een eigen VM draaien...

Maar de REST is dus voor business. Voor o.a. (om mee te beginnen), off-site backup. Daarna zelf de bedrijfs-website draaien ipv. externe partij. Daarna met exchange "rommelen". Indien dat goed werkt definitief over..

Uit eindelijk wordt het omgedraait. Dus ipv. AD @ office > AD @ DataCenter...

Maar dat is nog toekomst. En omdat wij specialistisch werk doen (waar ik dus niks over kwijt kan), is het moeilijk uit te leggen wat we nou precies gaan doen naast de standaard, bovengenoemde, voorbeelden

En omdat het redelijk specifiek is wat we willen weten we ook niet HOE het uit gaat pakken. Daarom willen we er nog niet veel geld in stoppen.. Iets wat LATER wel degelijk kan! Mits het op de juiste manier uit pakt

Het klinkt allemaal een beetje vaag, maar het is wel BEDRIJFS-MATIG bedoelt... Het thuisnetwerk, waat jij het over hebt, heeft er niks mee te maken (misschien had ik het maar beter niet moeten noemen dan

)

Maar we beginen simpel daar komt het op neer, en die AD-authenticatie vinden we toch wel erg belangrijk omdat (de tweede stap = zelf hosten van website) de AD-authenticatie gebruikt gaat worden. Dat is ondermeer de reden dat wel ZELF willen hosten, aangezien de externe partij het NU niet kan...

Misschien had ik in mijn TS dit wat uigebreider moeten uitleggen, excuses daarvoor dat het niet is gebeurt. Reden: gebrek aan tijd

Nu hoop ik dat het allemaal wat duidelijker is voor julle

Kijk opzich die server kopen is geen ramp, in tegendeel, die hebben we bijna. Colo-kosten ook niet. Maar als zijnde een test vinden we twee keer Colo-kosten (VPN, firewall hardware) een beetje TE aangezien die apparaten zelf ook niet gratis zijn.

Ik weet het, het klinkt heel erg Hobby-BOB... Maar dat komt omdat het EERST een test is, puur om te kijken of het HAALBAAR is... Daarna kunnen we profi-oplossinge doen. Niet dat het nu eerst Hobby-BOB moet zijn. Maar we willen het dus bereiken met: Server in Datacenter + Software.

Cheerz, tim427

Acties:

donderdag 9 april 2009 21:52

blub

Tja, prutsen, testen, rommelen.

Ik zou lekker eens op kantoor die hardware als testbak opbouwen ipv gelijk in het datacenter te hangen, anders kan je straks elke dag naar je datacenter fietsen om het zaakje weer te fixen.

En op je Win2k8 Hyper-V host draai je alleen de vpn verbinding, geen andere diensten, die bied je aan vanuit de VM's.

Acties:

alt-92

ye olde farte

offtopic:
Leer trouwens ook aan je verhaal wat beknopter te vertellen.
Je had keurig kunnen volstaan met de mededeling dat je een PoC opstelling wil doen voor een te ontwikkelen produktrange waar je verder niet over kunt/wil uitweiden.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 10 april 2009 02:04

Acties:

vrijdag 10 april 2009 08:14

Turbulence!

Topicstarter

alt-92 schreef op donderdag 09 april 2009 @ 21:52:

offtopic:
Leer trouwens ook aan je verhaal wat beknopter te vertellen.
Je had keurig kunnen volstaan met de mededeling dat je een PoC opstelling wil doen voor een te ontwikkelen produktrange waar je verder niet over kunt/wil uitweiden.

offtopic:
Daar ben ik me van bewust, maar dat heeft ook deels met me dyslexie te maken

Maar wat kan ik nou het besten doen? In een datacenter moet het zowieso hangen. Punt geen discussie over mogelijk

Of we moeten opeens Glasvezel + meerdere IP's krijgen maar dat is er de komende jaren nog niet..

Punt is, ik wil het volgende bereiken:
AD draait op kantoor
Wil meerdere windows machines in een datacenter hangen
Voor specifieke applicaties is AD-authenticatie een vereiste, en willen dezelfde Security-Auditing als op kantoor

Zover ik tot de conclusie kan komen zijn er de volgende opties:
Site-to-site VPN verbinding met hardware (dit valt af in de eerste paar maanden = test fase)
Site-to-site VPN verbinding met software (dit is haalbaar, dan moet ik een full windows draaien.)

Ok, op dat punt heb ik dus een verbinding met kantoor en kan ik dus AD-authenticatie toepassen...

Maar dan? Moet ik dan iedere VM ook appart een VPN verbinding starten? Of draai ik op de Hyper-V host AD-replica server (geen ervaringen mee op het moment)? Kan dan vervolgens alle VM's connecten met AD-replica server?

Maar over VPN via software (RRAS=server-side / VPNWindowsClient=client-side) zijn we er dus wel over uit?

En zo;n AD-replica server is gewoon Read Only DC toch?

Ik zal morgen eens uitgebreid onderzoeken over hoe en wat met AD-replica..,..

Acties:

vrijdag 10 april 2009 08:29

blub

tim427 schreef op vrijdag 10 april 2009 @ 02:04:
Maar dan? Moet ik dan iedere VM ook appart een VPN verbinding starten? Of draai ik op de Hyper-V host AD-replica server (geen ervaringen mee op het moment)? Kan dan vervolgens alle VM's connecten met AD-replica server?

Maar over VPN via software (RRAS=server-side / VPNWindowsClient=client-side) zijn we er dus wel over uit?

En zo;n AD-replica server is gewoon Read Only DC toch?

En omdat je nog zoveel vragen hebt hoe het er uberhaupt uit moeten komen te zien, wat het is of hoe het werkt, raad ik je aan eerst inhouse te testen. Dan doe je wat kennis op voordat je een nieuwe test omgeving in je datacenter bouwt.

Acties:

Verwijderd

tim427 schreef op vrijdag 10 april 2009 @ 02:04:
[...]

offtopic:
Daar ben ik me van bewust, maar dat heeft ook deels met me dyslexie te maken

Maar wat kan ik nou het besten doen? In een datacenter moet het zowieso hangen. Punt geen discussie over mogelijk Of we moeten opeens Glasvezel + meerdere IP's krijgen maar dat is er de komende jaren nog niet..

Punt is, ik wil het volgende bereiken:
AD draait op kantoor
Wil meerdere windows machines in een datacenter hangen
Voor specifieke applicaties is AD-authenticatie een vereiste, en willen dezelfde Security-Auditing als op kantoor

Zover ik tot de conclusie kan komen zijn er de volgende opties:
Site-to-site VPN verbinding met hardware (dit valt af in de eerste paar maanden = test fase)
Site-to-site VPN verbinding met software (dit is haalbaar, dan moet ik een full windows draaien.)

Ok, op dat punt heb ik dus een verbinding met kantoor en kan ik dus AD-authenticatie toepassen...

Maar dan? Moet ik dan iedere VM ook appart een VPN verbinding starten? Of draai ik op de Hyper-V host AD-replica server (geen ervaringen mee op het moment)? Kan dan vervolgens alle VM's connecten met AD-replica server?

Maar over VPN via software (RRAS=server-side / VPNWindowsClient=client-side) zijn we er dus wel over uit?

En zo;n AD-replica server is gewoon Read Only DC toch?

Ik zal morgen eens uitgebreid onderzoeken over hoe en wat met AD-replica..,..

ff kort opgesomt:

- bouw een compleet netwerk met eigen ip range in je datacenter
- configureer een firewall\router om te verbinden met het internet
- configureer een VPN tunnel tussen kantoor en datacenter
- installeer een domain controller in het datacenter, draai DCpromo en je hebt een volwaardige AD server in je datacenter die onderdeel is van jouw domain. (of je bouwt een nieuw domain in de huidige forest maar ik zie daar het nut niet van in)

verder voeg je alles toe wat je wilt hebben, DNS, DHCP, webservers, terminal servers, etc etc

mocht de boel ooit affikken op kantoor, installeer he gewoon een nieuwe 2008 bak, laat hem verbinde met het datacenter, draai DCpromo en je bent niets uit je AD kwijt. prachtige online back-up

p.s: bij een site to site VPN hoef je neits aan je clients aan te passen mbt clients oid, daar zorgt de router voor, SITE naar SITE

[ Voor 4% gewijzigd door Verwijderd op 10-04-2009 08:32 ]

vrijdag 10 april 2009 10:11

Acties:

zaterdag 11 april 2009 11:58

Turbulence!

Topicstarter

Verwijderd schreef op vrijdag 10 april 2009 @ 08:29:
[...]

ff kort opgesomt:

- bouw een compleet netwerk met eigen ip range in je datacenter
- configureer een firewall\router om te verbinden met het internet
- configureer een VPN tunnel tussen kantoor en datacenter
- installeer een domain controller in het datacenter, draai DCpromo en je hebt een volwaardige AD server in je datacenter die onderdeel is van jouw domain. (of je bouwt een nieuw domain in de huidige forest maar ik zie daar het nut niet van in)

verder voeg je alles toe wat je wilt hebben, DNS, DHCP, webservers, terminal servers, etc etc

mocht de boel ooit affikken op kantoor, installeer he gewoon een nieuwe 2008 bak, laat hem verbinde met het datacenter, draai DCpromo en je bent niets uit je AD kwijt. prachtige online back-up

p.s: bij een site to site VPN hoef je neits aan je clients aan te passen mbt clients oid, daar zorgt de router voor, SITE naar SITE

Thnx, voor de tips

Ik ga eerst nog eventjes kijken naar een Read-only Domain Controller. Volgens mij heb ik dat nodig op locatie.

Dus DomainController in DataCenter en vervolgens locatie(s) VPN-en naar DataCenter en dan op locatie een Read Only Domain Controller installeren.

Acties:

Verwijderd

tim427 schreef op vrijdag 10 april 2009 @ 10:11:
[...]

Thnx, voor de tips

Ik ga eerst nog eventjes kijken naar een Read-only Domain Controller. Volgens mij heb ik dat nodig op locatie.

Dus DomainController in DataCenter en vervolgens locatie(s) VPN-en naar DataCenter en dan op locatie een Read Only Domain Controller installeren.

een RODC is net per-se nodig in een datacenter, lees even de voor en nadelen.

ik zie zelf niet zoveel nut in een RODC

zaterdag 11 april 2009 13:11

Acties:

zaterdag 11 april 2009 13:19

blub

Verwijderd schreef op zaterdag 11 april 2009 @ 11:58:
[...]

een RODC is net per-se nodig in een datacenter, lees even de voor en nadelen.

ik zie zelf niet zoveel nut in een RODC

Voordeel van een RODC in een Datacenter kan zijn, is dat je niet heel je AD naar die RODC hoeft te syncen. Als alleen Jantje en Pietje toegang tot diensten in je Datacenter moeten hebben, laat je alleen die useraccounts repliceren ipv alles.

Hier een goed stuk over RODC's: http://technet.microsoft.com/en-us/library/cc732801.aspx

Acties:

djluc

Wij hebben die gedaan en getest. Prima te doen maar wat echt een must is wat ons betreft is een professionele VPN oplossing. Wij gebruikten daarvoor ATM VPN's voor kleine locaties wat niet veel meer is dan een (a)DSL verbinding die direct met het serverpark kan communiceren zonder allerlei routertjes etc.

Verder is 100 GB dataverkeer per maand echt niets als je een beetje data gaat repliceren.

zaterdag 11 april 2009 14:33

Acties:

zaterdag 11 april 2009 14:52

_Arthur schreef op zaterdag 11 april 2009 @ 13:11:
[...]

Voordeel van een RODC in een Datacenter kan zijn, is dat je niet heel je AD naar die RODC hoeft te syncen. Als alleen Jantje en Pietje toegang tot diensten in je Datacenter moeten hebben, laat je alleen die useraccounts repliceren ipv alles.

Hier een goed stuk over RODC's: http://technet.microsoft.com/en-us/library/cc732801.aspx

Als je ook exchange wilt gaan draaien in je datacenter op den duur moet je wel een DC hebben op die lokatie, Exchange negeert RODC's gewoonweg, waardoor elke request voor een global catalog over de vpn verbinding gaat op dat moment.

Acties:

zaterdag 11 april 2009 15:24

blub

chratnox schreef op zaterdag 11 april 2009 @ 14:33:
Als je ook exchange wilt gaan draaien in je datacenter op den duur moet je wel een DC hebben op die lokatie, Exchange negeert RODC's gewoonweg, waardoor elke request voor een global catalog over de vpn verbinding gaat op dat moment.

Je hebt gelijk. Had over het eventuele gebruik van Exchange heen gelezen.

Acties:

zaterdag 11 april 2009 15:39

Turbulence!

Topicstarter

Afbeeldingslocatie: http://tweakers.tim427.net/datacenter1thumb.jpg

DRV-KANTOOR heeft twee netwerkkaarten en is dus Domain Controller + DHCP + Gateway (via RRAS)
NIC2=LAN en geeft dus de PC's op de switch hun internet en AD-info..
NIC1=WAN en zit dus DIRECT op internet, via VPN kan men zo verbinding maken.

(toekomstige) SRV-DATACENTER heeft 1 netwerkkaart aangsloten op de datacenter-switch, oftwel DIRECT internet.
Hier gaat Windows Server 2008 Full op draaien + Hyper-V.
Vervolgens maakt Windows continu een VPN verbidning met SRV-KANTOOR en heeft op deze manier dus de beschikking over AD-info.. Hierop kan ik dus al d.m.v. IIS7 een een site maken met AD-autentication.
Tot zover kan ik me voorstellen dat men kan inloggen op de datacenter server met de kantoor-credentials.
Toch?
Maar nu de Hyper-V VM's. Moeten die alleemaal zelf een VPN verbinding leggen naar SRV-KANTOOR? Of moet ik op de Hyper-V host een RODC draaien waarmee de Hyper-V VM's weer verbinding kunnen maken? (zie "virtuelle interne verbindingen")?

chratnox schreef op zaterdag 11 april 2009 @ 14:33:
[...]

Als je ook exchange wilt gaan draaien in je datacenter op den duur moet je wel een DC hebben op die lokatie, Exchange negeert RODC's gewoonweg, waardoor elke request voor een global catalog over de vpn verbinding gaat op dat moment.

_Arthur schreef op zaterdag 11 april 2009 @ 14:52:
[...]

Je hebt gelijk. Had over het eventuele gebruik van Exchange heen gelezen.

Dat zien we dan wel weer met Exchange, het gaat ons meer om de website zelf te hosten + AD-authenticatie...

Daarna zal het wel profesioneler worden...

[ Voor 24% gewijzigd door tim427 op 11-04-2009 15:28 ]

Acties:

zaterdag 11 april 2009 16:19

tim427 schreef op zaterdag 11 april 2009 @ 15:24:
[afbeelding]

[...]

[...]

Dat zien we dan wel weer met Exchange, het gaat ons meer om de website zelf te hosten + AD-authenticatie...

Daarna zal het wel profesioneler worden...

Ik zou een extra site maken in AD Sites & Services en een DC (lees: 2 DC's, failover e.d.) inrichten aan de kant van je datacenter. De keuze voor een DC hangt van jouzelf af, het biedt namelijk beiden voordelen.

Een DC biedt meer schaalbaarheid en is wat meer voorbereid op uitbreiding, maar met een RoDC kun je bijvoorbeeld alleen je IIS users laten repliceren. Ook genereert een RoDC een stuk minder data dan een gewone DC, maar je kunt eventueel universal group membership caching ook nog aanzetten (wordt gebruikt voor 't inloggen op eventuele machines aan die kant).

Op je router (die je daar neerzet) maak je een VPN verbinding naar je kantoor en stel je een route in. Dus bijvoorbeeld: al het verkeer naar netwerk 10.10.12.0 gaat over de VPN link naar de andere kant, dan hoef je niet elke Hyper-V VM ook hierop in te stellen.

Let erop dat als je ervoor kiest om een reguliere DC neer te zetten, je de replicatieschema's en je site links/site link bridges goed instelt, anders kan dat een hoop dataverkeer gaan opleveren.

Acties:

zaterdag 11 april 2009 16:39

Turbulence!

Topicstarter

chratnox schreef op zaterdag 11 april 2009 @ 15:39:
[...]

Ik zou een extra site maken in AD Sites & Services en een DC (lees: 2 DC's, failover e.d.) inrichten aan de kant van je datacenter. De keuze voor een DC hangt van jouzelf af, het biedt namelijk beiden voordelen.

Een DC biedt meer schaalbaarheid en is wat meer voorbereid op uitbreiding, maar met een RoDC kun je bijvoorbeeld alleen je IIS users laten repliceren. Ook genereert een RoDC een stuk minder data dan een gewone DC, maar je kunt eventueel universal group membership caching ook nog aanzetten (wordt gebruikt voor 't inloggen op eventuele machines aan die kant).

Op je router (die je daar neerzet) maak je een VPN verbinding naar je kantoor en stel je een route in. Dus bijvoorbeeld: al het verkeer naar netwerk 10.10.12.0 gaat over de VPN link naar de andere kant, dan hoef je niet elke Hyper-V VM ook hierop in te stellen.

Let erop dat als je ervoor kiest om een reguliere DC neer te zetten, je de replicatieschema's en je site links/site link bridges goed instelt, anders kan dat een hoop dataverkeer gaan opleveren.

Bedankt voor de tips! Ik ga in mijn paasweekend me eventjes verdiepen in de materie: Tweede DC..

Maar die Router gaat er voorlopig niet komen. Puur omdat we eerst willen TESTEN.. Dus qua aanschaf en extra ruimte die gehuurt moet worden willen we eerst uitsparen zodat we die niet voor niks hebben aangeschaft mocht de test niet lukken..

Ipv. een VPN-router kan ik toch ook gewoon met windows laten conecten? En dan zeggen dat het internet NIET via vpn gaat?

Acties:

zaterdag 11 april 2009 19:32

tim427 schreef op zaterdag 11 april 2009 @ 16:19:
[...]

Bedankt voor de tips! Ik ga in mijn paasweekend me eventjes verdiepen in de materie: Tweede DC..

Maar die Router gaat er voorlopig niet komen. Puur omdat we eerst willen TESTEN.. Dus qua aanschaf en extra ruimte die gehuurt moet worden willen we eerst uitsparen zodat we die niet voor niks hebben aangeschaft mocht de test niet lukken..

Ipv. een VPN-router kan ik toch ook gewoon met windows laten conecten? En dan zeggen dat het internet NIET via vpn gaat?

Ja, het kan wel met Windows. Ik zou het echter met een router doen omdat deze ervoor gemaakt wordt. Als je Windows server waar je RRAS op hebt draaien eruit ligt kun je bij geen enkele server op die lokatie komen. Die kans is met een VPN device een stuk kleiner, omdat deze gemaakt is voor dat soort taken.

Acties:

zaterdag 11 april 2009 19:43

Turbulence!

Topicstarter

chratnox schreef op zaterdag 11 april 2009 @ 16:39:
[...]

Ja, het kan wel met Windows. Ik zou het echter met een router doen omdat deze ervoor gemaakt wordt. Als je Windows server waar je RRAS op hebt draaien eruit ligt kun je bij geen enkele server op die lokatie komen. Die kans is met een VPN device een stuk kleiner, omdat deze gemaakt is voor dat soort taken.

Maar op DIT MOMENT is dat nog niet erg

Het is nog een test. Pas als de test geslaagd is dan gaan we het profesioneler aanpakken

Dus in dat geval zou jij zeggen dat dit een goede oplossing is? (RRAS en AD op kantoor, VPN in Datacenter)

Maar mijn vraag blijft nog aan jullie: Wat zouden jullie doen? RODC of een tweede AD-DS?

Acties: