Windows Test Umgebung in aktiver ActiveDirectory

[fenack]

Hallo zusammen,

ich finde gerade zu einer Aufgabenstellung nicht den richtigen Ansatz für die korrekte Umsetzung.

Folgendes Szenario:

- aktive Windows Active Directory mit physikalischem Netzwerk

- Testumgebung soll eingerichtet werden mit eigener Windows AD und Hyper-V für die Testserver

Nutzen:

Entwickler uns SysAdmins sollen verschiedene Testfälle durchspielen können im Bereich Microsoft Dynamics CRM.

Eigene AD zum Zugriff auf User-Daten und auch MS Exchange usw., um verschiedenen Fälle durchzuspielen. Dabei soll es dann egal sein, dass vielleicht mal eine Testumgebung "kaputt" geht.

 

Mein aktueller Plan:

Server mit entsprechender Ausstattung als Grundlage und Windows Server 2012 R2 installiert. (ist auch schon vorhanden und reine Server-Installation habe ich vorhin noch fertig gestellt)

Auf dem Server soll die eigenständige AD und Hyper-V laufen. Die AD an dieser Stelle, damit ich diese nicht ständig neu aufsetzen muss, sondern ständig hier laufen kann. Unter Hyper-V sollen dann die Server für die jeweilige Testumgebung erstellt werden.

Zugriff zwischen der aktiven Domain und der Test-Domain soll an sich nur für Remotedesktopverbindung existieren.

Wie muss ich dabei am besten vorgehen, dass der Server nicht in die aktive Domain irgendwie verbunden wird, bzw. wie muss ich die Netzwerkkarte konfigurieren?

Einfach ohne Netzwerkverbindung mit einer eigenen Adresse für die Testumgebung die Serverrollen installieren und konfigurieren, anschließend Netzwerkverbindung herstellen und für die aktive Domain konfigurieren?

Stehe hier nur gerade wegen der Netzwerkkonfiguration auf dem Schlauch.

Alle Beispiele, welche ich gefunden habe, sind so ausgelegt, dass eine VM als DC läuft. Dies ist bei uns nicht umsetzbar.

 

Beste Grüße und vorab Danke!

[Eye-Q]

Solange in der Testumgebung kein DHCP-Server aktiviert wird und auch keiner der produktiven Clients einen DNS-Server der Testdomäne nutzt, stören sich mehrere Domänen innerhalb eines Netzwerks prinzipiell nicht gegenseitig, da die nichts voneinander "wissen".

Wenn das aber wirklich logisch getrennt sein soll, werden eben zwei VLANs eingerichtet und ein Router lässt zwischen den VLANs eben nur Port 3389 für RDP zu.

vor 11 Minuten schrieb fenack:

Alle Beispiele, welche ich gefunden habe, sind so ausgelegt, dass eine VM als DC läuft. Dies ist bei uns nicht umsetzbar.

Das verstehe ich nicht - wieso kann nicht eine weitere VM auf dem Hyper-V-Host erstellt werden, die dann den DC der Testumgebung spielt? Was spielt es für eine Rolle, ob der Hyper-V-Host selbst DC ist (was von Microsoft ausdrücklich nicht empfohlen wird) oder da eben eine VM läuft, die DC ist?

Bearbeitet 13. Dezember 2017 von Eye-Q

[fenack]

Es wird keinen, außer den DC & Hyper-V Server selbst, physischen Client/Server geben, welcher in die Testumgebung eingebunden werden muss. Daher ist eine Trennung über VLANs nicht notwendig.

vor 2 Minuten schrieb Eye-Q:

Das verstehe ich nicht - wieso kann nicht eine weitere VM auf dem Hyper-V-Host erstellt werden, die dann den DC der Testumgebung spielt? Was spielt es für eine Rolle, ob der Hyper-V-Host selbst DC ist (was von Microsoft ausdrücklich nicht empfohlen wird) oder da eben eine VM läuft, die DC ist?

ganz kurz: Einsparung von Lizenzkosten.

Wir sind ein kleines Unternehmen und müssen wegen der Lizenzkosten etwas schauen. Aktuell ist noch nicht das Geld da, um in einer Testumgebung mehrere Lizenzen fest laufen zu lassen. Und ich habe keine Lust ständig den DC für die Testumgebung dann wieder neu einzurichten. Daher möchte ich DC und Hyper-V auf einem Server laufen lassen.

DHCP und DNS Problematik kenne ich bereits.

Wie baue ich aber das Netzwerk (IP-Adressbereich, ...) für die Testumgebung auf?

[Gast Arvi]

Wenn du nach VLAN's eh nicht separierst, suchst du dir halt einfach eine IP-Range in deinem Netz aus. Welche IP Adressen spielt dann keine Rolle. Wichtig ist ggf. nur, dass du auf deinen Testservern den DNS Server statisch setzt, damit die Domäne, in die du beitreten willst, auch gefunden wird.

Bearbeitet 14. Dezember 2017 von Arvi

[fenack]

Ich weiß nicht, ob es eine gute Variante ist, aber ich habe es jetzt so umgesetzt:

Server ist mit einem Kabel im Netzwerk verbunden und die Clients der eigenen Domain werden nur auf dem Server selbst laufen.

Daher habe ich die Netzwerkkarte mit der IP Adresse konfiguriert, welche ich für die Testumgebung haben will.

Weiterhin habe ich eine zweite IP Adresse im aktiven Netz vergeben. Dadurch erreiche ich den Server, um die AD zu konfigurieren, oder neue Testserver bereit zu stellen.

Alle Server und Clients werde ich im Testnetz mit festen IP Adressen erstellen. 

Für den Zugriff auf das Testnetz wird bei den entsprechenden Personen über GPO eine Route erstellt.

 

Thema für mich hiermit erledigt