irix hat geschrieben:Fuer Greenfield Deployements hab ich auf meinem Windows einen welchen ich dann einfach starten kann.
Kann aber das Problem nicht verstehen da ja ein ESX und Windows Umgebung da ist und da wird doch bestimmt ein DC sein welcher auch DNS bereitstellt oder? Selbst wenn er das nur fuer eine kurze zeit tut kann er doch fix die neue Zone angelegt werden.
Gruss
Joerg
Hallo Jörg,
die Kurzfassung: FirmaA hat DNS, FirmaB mit dem neuen Netz nicht. Die Sophos zeigt auf DNS der FirmaA. FirmaB darf den DNS der FirmaA nicht sehen weil sie getrennt werden soll.
In unserem Betrieb sind zwei Firmen mit jeweils zwei WAN(Internet Ports) und nutzen dieselbe Infrastruktur. Beide Firmen wurden bis jetzt als eine gesehen. Die zwei Fritz-Boxen sind in der Sophos XD 210 Firewall angeschlossen an Port1 und Port2. Es gibt zwei Blech-Server die alles Redundant und im Cluster abgebildet haben. Virtualisiert über HyperV. Es gibt also 2xADDS, 2xDNS (2oder1 habe ich nicht im Kopf)xDHCP, 2xTerminalServer usw. alles Windows2019 Server DataCenter. Die Maschinen sind getrennt mit VLANs. Die Server und Clients der FirmaB sind alle auf 10.200.50.0/24. Der DHCP Server hat im Netz 10.200.50.0/24 den richtigen Getaway übergeben und schon war alle sin Ordnung. Somit hatte Firma A+B jeweils Ihre eigene Internetverbindung.
Die zweite Firma soll in ein paar Monaten in ein anders Gebäude umziehen. Die IT soll leider vorher schon komplette getrennt werden.
Jetzt zum Problem des DNS: Die Config in der Sophos wurde von einer externen Firma damals so eingerichtet dass DNS1=10.200.90.6 und DNS2=10.200.90.7, DNS3=8.8.8.8 ist. DNS1+2 sind die internen Windows DNS Server der FirmaA. Das funktioniert auch wunderbar.
Die zweite Firma soll nun getrennt werden. In der Sophos kann ich keinen DNS4 eintragen. Ich könnte jetzt den Gateway der FirmaB in den DNS3 eintragen, doch das scheint mir nicht richtig zu sein. In der Sophos wurde ein neues Netz 10.100.0.0/24 angelegt. Dieses Netz darf die vorhandenen Server aus dem 10.200.0.0/24 Netz NICHT sehen und somit auch nicht die DNS Server der FirmaA. Genau das ist das Problem. Ich kenne die Sophos nicht so ins Detail, aber ich vermute dass die komplette Konfiguration geändert werden muss da in der Sophos durch die neue Anforderung unter Networking/DNS eben nicht die internen DNS Server eingetragen gehören sondern vermutlich der interne DNS der Sophos welcher von beiden Firmen gesehen werden darf.
Die externe Firma ist nicht mehr greifbar, die kann ich nicht fragen. Ich bemühe mich gerade um Schulungen für die Sophos doch das ist nicht einfach. Aus den Lerninhalten der angebotenen Schulungen ist der Umfang den ich benötige nicht beschrieben. Ich muss mit den Anbietern telefonieren doch die sind alle im Winterschlaf.
Den ESXi und den VCSA hatte ich ursprünglich im 10.200.50.0/24 Netz installiert. Das hat wunderbar funktioniert da zu dem Zeitpunkt natürlich DNS verfügbar war. Dann habe ich das neue Netz 10.100.0.0/24 aufgebaut und den ESXi mit einer festen IP auf 10.100.50.10 umgestellt. Der ESXi scheint damit auch kein Problem zu haben. Der VCSA ist allerdings beleidigt. Ich habe ihn auch heruntergefahren und umbenannt und versucht über die IP zu installieren ohne DNS. Phase1 hat sogar funktioniert. Den ESXi konnte er über dessen IP sehen. Doch bei Phase2 des Setups ist Ende.
Deine Aussage: ein funktionierender DSN ist zwingend erforderlich kann ich damit bestätigen. Mit diesen Problemen habe ich nicht gerechtet und wusste auch nicht dass ein funktionierender DNS notwendig ist. Jetzt muss ich mich darum können herauszufinden wie ich die Sophos um konfiguriert bekomme damit ich den VCSA installiert bekommen.
Vielen lieben Dank an alle.