UCS Domäne über eine NAT

Hallo allerseits,

ich überlege mir gerade wie ich eine UCS Domäne über eine NAT spanne: Es gibt im Moment ein paar Debian Rootserver bei einem Hoster und ein Büronetzwerk mit den Clients. Ich möchte nun mit UCS Servern sowohl openLDAP/Kerberos für die Rootserver bereitstellen und als auch eine Samba4 Domäne für die Clients im Büro, überlege mir allerdings noch die richtige Architektur dafür.

Vermutlich werde ich ein VPN Verbindung zwischen den 4 Servern einrichten müssen, damit die Replikation funktioniert. Idealerweise möchte dieses VPN auf die Server beschränken und nicht die Rootserver an das Büronetz anbinden. Hat jemand schon Erfahrungen mit einer dieser Vorgehensweisen:

  • Join des Internen Servers an einen Master DC im Internet, dann Aufbau des VPNs.
  • Master DC hinter der NAT, Rootserver wird als standalone eingerichtet, VPN konfiguriert und dann erfolgt der join.

Wo würdet ihr den Master DC platzieren? Am liebsten würde ich auf den Rootservern gar kein Samba4 installieren, sondern nur auf den Servern im Büro. Muss auf dem Master DC Samba4 installiert sein, wenn es in der Domaine verwendet wird?

Moin,

zum erfolgreichen Joinen ist primär wichtig, dass der joinende Server die DNS-Einträge der Domäne richtig auflösen kann. Weiterhin ist wichtig, dass die IP-Adressen direkt erreichbar sind.

Kurz und knapp würde ich daher auf jeden Fall zu VPN raten. Die Server müssen definitiv nicht im selben Subnetz stehen, aber die IP-Adressen müssen schon direkt routebar sein. Genau dafür (und für Sicherheit) sorgt ja ein VPN.

Mit OpenVPN ist es z.B. problemlos möglich, nur Routen für einzelne Server (und nicht für ganze Subnetze) an den VPN-Client zu pushen.

Also: VPN aufbauen, auf dem zu joinenden PC den DC master als DNS-Server eintragen, joinen. Sollte gehen.

Wenn Samba 4 verwendet wird, dann muss der DC Master auch Samba 4 installiert haben, so meine ich zumindest. Ah, hier ist’s: 9.2.1. Installation. Zumindest der S4-Connector muss auf dem AD Master installiert sein, damit wohl auch Samba 4.

Generell würde ich den DC Master immer im internen Netz platzieren. Die Synchronisation der Verzeichnis- und Domänendaten braucht nicht viel Bandbreite. Ist ja keine Größenordnung von ISO-Images, die da durch die Leitung geht :wink:

Danke für die Infos.

Ein VPN wird sicher besser sein. Ansonsten kann ich mir irgendwelche schwer zu finden Problem wegen unvollständigen Routings einhandeln.

Danke für den Link, also wird auf dem Master Samba installiert werden. Intern anzufangen hat für mich im Moment auch organisatorische Vorteile. Ich werde nochmal nachschauen ob der SAML Identity provider von UCS 4.1 auch auf DC secondaries installiert werden kann. Denn den brauche ich mittelfristig im Internet, der Blog [1] liest sich als ob das geht.

[1] univention.de/2015/11/singl … r-ucs-4-1/

Mastodon