SBS2011E + WS2012 + VPN de hardware split-scope DHCP + site-to-site

1

Bit de um newb quando se trata disso, mas eu estou dando uma chance e, até agora, as coisas funcionam, mas espero que eu esteja fazendo isso de uma maneira correta e um par de pequenos soluços ...

O HQ tem um DC SBS2011E (DC1) que fornece DHCP e DNS para uma rede pequena (IP: 192.168.10.11). O modem / roteador da Internet é o gateway (192.168.10.1). O DHCP é configurado na configuração de escopo de divisão 80/20 (192.168.10.100 - 192.168.10.200).

O novo escritório tem configuração semelhante. Windows Server 2012 Standard (DC2) que também fornece DHCP e DNS (DC2 IP: 192.168.10.12). O DC2 - no momento - está localizado no HQ enquanto está sendo configurado. Ele foi associado ao domínio e DCPromo'd, então está replicando e parece funcionar até agora. Eu executei o assistente de escopo dividido do DHCP no DC1 para uma divisão 80/20. Essas configurações foram replicadas no DC2 para que ele saiba quais IPs podem e não podem servir. O modem / roteador da Internet é o gateway - posso configurá-lo para um IP estático semelhante ao do gateway HQ, por exemplo, 192.168.10.2?

Um problema que enfrentei é que, quando eu reinicio o DC1, ele reclama que um servidor DHCP existente está na rede e o serviço do Servidor DHCP no DC1 para. Eu li que com o SBS em particular que ele não gosta de outros servidores DHCP para estar na mesma sub-rede, mesmo que eu tenha configurado um split-scope? Está plenamente ciente de que o outro servidor DHCP não oferecerá endereços no intervalo oferecido porque o assistente foi executado com sucesso ?! Como uma correção temporária para isso eu encontrei uma entrada de registro ( DisableRogueDetection ) que foi aplicada ao DC1 - mas eu não quero depender disso porque não é uma solução "natural".

Por que um escopo dividido? Por que não? Nossa intenção é mover o DC2 para o nosso site remoto, onde uma VPN de hardware se juntará às duas redes. Eu gostaria que os dois servidores pudessem ajudar toda a rede para compartilhamento de arquivos, DHCP e DNS. Como resultado disso, eu gostaria que as solicitações DHCP atravessassem a VPN (caso algum dos servidores estivesse inoperante). O DHCP de divisão, eu li em muitos locais, deve permitir precisamente o que pretendo? Eu poderia então ter toda a rede usando um intervalo lógico.

Se o escopo dividido causar problemas, poderei reverter para intervalos diferentes para os dois servidores.

Posso ter o hardware VPN usar IPs de ponto final que estão dentro do meu intervalo de sub-rede? O dispositivo é um roteador / VPN all-in-one da Draytek, então ele foi configurado como o gateway e eu posso acessar a interface web usando 192.168.10.1, então eu gostaria de poder chegar ao outro ponto final dispositivo (outro Draytek se eu puder) por um IP semelhante (como 192.168.10.2) ...

Minha "ideia" de configuração de rede :

Editar 1: acho que minhas perguntas são:

  1. Se eu quiser usar os dois servidores DHCP em um escopo dividido, posso continuar usando o hack do registro do SBS 2011 Essentials para ignorar servidores DHCP desonestos na rede, porque ele tem dois? Os roteadores seriam configurados para permitir solicitações DHCP através da VPN, portanto, se um servidor DHCP estiver inativo, o outro ainda poderá responder.
  2. Uma configuração de rede para minha imagem funcionaria? Estou tentando obter conselhos antes de aparecer no escritório remoto para que não funcione!
  3. Posso definir meus roteadores VPN para que os IPs estejam de acordo com a minha imagem, para que possam fazer parte da rede e gerenciados usando endereços dentro de um intervalo lógico? Obviamente não estou perguntando como configurá-los, sei disso; mas os IPs que eles receberiam no túnel é o que eu estou perguntando.
por Kinnectus 11.02.2015 / 14:34

2 respostas

0

Não faça isso. A configuração que você ilustra é uma configuração de rede excessivamente complicada e propensa a falhas. Para que pareça funcionar corretamente, você teria que fazer a ponte entre as redes, o que significa que todo o seu tráfego de transmissão teria que atravessar a WAN, o que provavelmente seria um desastre.

Use uma sub-rede separada para cada site.

Também estou confuso sobre por que você mergulhou no DNS de escopo dividido. "Por que não?" não é bom o suficiente, Keep It Simple Stupid. Ligar o DHCP no roteador ou outro servidor no caso de perda do seu servidor DHCP é tão trivialmente simples que não faz sentido tentar construir uma redundância complexa para ele.

    
por 11.02.2015 / 17:40
0

Não entenda exatamente o que você precisa saber (e onde está a pergunta), mas se eu entendi algumas: use o relé dhcp. Como fazer isso: link

    
por 11.02.2015 / 15:05