AD-Anbindung über VPN

Die Anforderung für diese kurze Anleitung ist die AD-Anbindung via VPN eines Standortes an das Active Directory (AD) des Hauptstandortes. Die Anbindung erfolgt gesichert, über ein Site 2 Site VPN. Der Nebenstandort hat (vorerst) keine eigenen Domänen Controller. Des Weiteren erlauben die Einstellungen der Domäne die Anmeldung am Rechner, wenn ein DC nicht verfügbar ist.

Standort X.A.B hat Domänen Controller

Die Standorte liegen in unterschiedlichen Segmenten (10.X.A.B/24 und 10.X.C.B/24) und mittels PING erreichbar. Standort X.A.B kostet die AD-Infrastruktur.

Standort X.C.B hat nur Rechner

(Also keinen eigenen DC oder read-only DC).

Für die Erreichbarkeit der Domänen sind folgende Schritte notwendig:

  1. Eintragung der beiden DCs in der hosts-Datei und
  2. Setzen des DNS in der Netzwerkeinstellung für ipv4 kann sich der Rechner mit der Domäne verbinden und auch neue Benutzer anmelden.

@1:

10.X.A.**1  dc1.***.intern   dc1   # DC 1 der Domäne ***.intern mit der IP aus dem Netzwerk Segment 10.X.A.B/24
10.X.A.**2  dc2.***.intern   dc2   # DC 2 der Domäne ***.intern mit der IP aus dem Netzwerk Segment 10.X.A.B/24

@2:
IPV4 Netzwerkeinstellungen für AD-AnbindungUm im Falle eines Ausfalls der Verfügbarkeit nicht mit heruntergelassenen Hosen dazustehen, sprich der/die Benutzer des Standortes sich nicht mehr anmelden können, wurden die DNS Einstellungen so ausgelegt, dass der primäre DNS auf einen der Domänen Controller (10.X.A.**.1), der sekundäre DNS aber auf den Gateway/Router (10.X.C.1) des Standortes zeigt.

 

 

 

 

AD-Anbindung via VPN testen

Entscheidend für den Erfolg des Projektes ist die Erreichbarkeit eines (am Besten aller) Domänen Controller

nltest /dsgetdc:my_domain_name

Die Ausgabe auf einem Rechner im Netz 10.X.C.B sollte dabei wie folgt aussehen:

C:\WINDOWS\system32>nltest.exe /dsgetdc:***.intern
Domänencontroller: \\dc2.***.intern
Adresse: \\10.X.A.***
Domänen-GUID: 5*f**d38-*b**-**ff-8*6*-4**8b*b1**0*
Domänenname: ***.intern
Gesamtstrukturname: ***.intern
DC-Standortname: MUC
Unserer Standortname: MUC
Kennzeichen: GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9
Der Befehl wurde ausgeführt.

Bei Nichterreichbarkeit erfolgt eine entsprechende Fehlermeldung.

Damit können die Rechner auf die Domäne des anderen Standorts zugreifen. Mit allen Vor- und Nachteilen, die dieses Verfahren mit sich bringt.


Beitrag veröffentlicht

in

, , ,

von