Protokolle, die für DFS über ein VPN benötigt werden - Wie Man

Protokolle, die für DFS über ein VPN benötigt werden

Organisationen mit mehreren Standorten nutzen dies gerne zu ihrem Vorteil für die Notfallwiederherstellung und zur Verteilung ihrer digitalen Assets. Dies automatisch und sicher zu tun, ist normalerweise der Trick. Wir haben uns entschieden, einen Microsoft Server 2008-Domänencontroller und ein Microsoft Distributed File System (DFS) an jedem Standort einzurichten.

Wir haben uns außerdem dafür entschieden, an jedem Standort ein anderes Subnetz und an jedem Ende ein lokales DHCP zu erstellen, sodass unsere Gruppenrichtlinien den Standort kennen. Dies hilft Aufgaben wie WSUS mit dem lokalen Server zu arbeiten, egal wo sich der Computer gerade befindet. Wenn zum Beispiel ein Laptop vom Hauptsitz an den Remote-Standort verschoben wird, wird der lokale WSUS verwendet, unabhängig davon, wo er sich anmeldet.

Um dies beim ersten Mal einzurichten, habe ich zwei Server erstellt, einen als Domänencontroller am Hauptsitz eingerichtet und den zweiten Server zum Remote-Standort gebracht. Ich war ziemlich überrascht, dass irgendwo keine vollständige Liste der Anforderungen aufgeführt war. Ich versuchte es mit einer Aufgabe und beobachtete den Router, um zu sehen, welche Ports blockiert wurden, und reparierte sie einzeln.

9 Schritte insgesamt

Schritt 1: Ein VPN einrichten

Dies hängt von der installierten Router-Ausrüstung ab. Im Grunde erhalten Sie jedoch ein Subnetz in der Zentrale 192.168.101.x und ein Subnetz am entfernten Standort 192.168.102.x. Nehmen wir an, der HQ-Server lautet hq.domain.local, 192.168.101.5 und der Remote-Server ist remote.domain.local, 192.168.102.5.

Nachdem das VPN eingerichtet wurde, sollten Sie eine Verbindung zwischen den beiden Netzwerken herstellen, aber die Firewall blockiert wahrscheinlich den gesamten Datenverkehr.

Schritt 2: Aktivieren Sie den PING-Zugriff

Ein Teil des Microsoft-Protokolls erfordert, dass sich die Server gegenseitig pingen. Aktivieren Sie also ICMP zwischen den beiden Subnetzen.

Schritt 3: Verwalten Sie DNS

Da Sie Active Directory-Namen und -Steuerelemente verwenden, müssen Sie auf beiden Seiten eigene DNS-Server verwenden, damit Sie über ihre lokalen Namen nahtlos auf Server und Maschinen zugreifen können.

Sie müssen zuerst die Firewall zwischen den beiden Subnetzen öffnen, um Port 53-DNS (UDP) in beide Richtungen zuzulassen. Sie benötigen also vier Firewall-Regeln. Mit den beiden Regeln in der Zentrale können Sie das HQ-Subnetz an den Remote-Subnetz-Port 53 UDP weiterleiten, und an alle Remote-Subnetze, um auf den HQ-Port 53 UDP zuzugreifen. Die beiden am Remote-Standort ermöglichen dem HQ-Subnetz den Zugriff auf den Remote-Subnetz-Port 53 UDP und das Remote-Subnetz den Zugriff auf den HQ-Port 53 UDP.

Sie müssen dann beide Server so einstellen, dass der HQ 192.168.101.5-Server als DNS verwendet wird. Auf dem Remote-Server sollten Sie jetzt in der Lage sein, den HQ-Server nach Namen zu senden. (hq.domain.local)

Schritt 4: Netzwerkprotokolle passieren lassen

Damit die Microsoft-Computer am Remote-Standort der HQ-Domäne beitreten, Dateien übertragen und DFS verarbeiten können, müssen Sie den richtigen Datenverkehr durchlassen. Hier ist die Liste der Ports, die ich an beiden Enden zulasse. (Jeder Port generiert 4 Firewall-Regeln, 2 in jedem Router, wie der DNS-Eintrag oben):

Active Directory-Vertrauensrichtlinie TCP - Port 49155
Active Directory-Vertrauensrichtlinie TCP - Port 49158
CFS TCP und UDP - Port 455
Kerberos TCP - Port 88
LDAP TCP und UDP - Port 389
LDAP SSL TCP - Port 636
Microsoft DFS TCP - Port 5722
Microsoft DFSR TCP - Port 49154
Netbios TCP und UDP - Port 135
Netbios TCP - Port 139
Netbios-TCP-Port 138
NTP TCP und UDP - Port 123

Schritt 5: Verbinden Sie den Remote-Server mit der Domäne

Sie haben nun den Pfad zwischen den beiden Maschinen eingerichtet, sodass Sie den Remote-Server mit der HQ-Domäne verbinden können.

Schritt 6: Führen Sie den Remote-Server zum Domänencontroller hoch

Nachdem der Remote-Server-Computer der Domäne beigetreten ist, können Sie ihn in dem von Ihnen gewünschten Bereich zu einem Domänencontroller hochstufen.

Schritt 7: Ändern Sie den DNS

Da das DNS jetzt auf dem Remote-Server laufen sollte, sollten Sie die DNS-Einträge auf beiden Servern aktualisieren, um eine gewisse Redundanz für die DNS-Server zu ermöglichen. Alle Computer bei HQ können so eingestellt werden, dass sie den HQ-Computer als primären DNS und den Remote-Computer als sekundären DNS verwenden.

Alle Computer am Remote-Standort können so eingestellt werden, dass der Remote-Computer als primärer DNS und der HQ-Computer als sekundärer DNS verwendet wird.

Sie verfügen jetzt über redundantes DNS, und wenn eines der DNS ausfällt, übernimmt das andere Ende.

Schritt 8: Erstellen Sie GPO-Standorte

Wenn Sie ein standortabhängiges Gruppenrichtlinienobjekt verwenden möchten, müssen Sie einen Standort für jedes Ihrer Subnetze einrichten. (HQ 192.168.101.x) (Remote 192.168.102.x)

Schritt 9: Einrichten des Distributed File System (DFS)

Mit den Netzwerkpfaden können Sie nun Ihre DFS auf beiden Seiten einrichten und verwalten, um die Anforderungen Ihres Unternehmens zu erfüllen.

Ihr Kilometerstand kann variieren, und Sie benötigen möglicherweise nicht alle Protokolle (Netbios usw.). Dies funktioniert jedoch für mich und unsere beiden Standorteinstellungen.