Serverstrategi - behöver råd...

Tråden skapades och har fått 13 svar. Det senaste inlägget skrevs .
1

Hej, jag tänkte rådfråga er om det här är en bra idé eller om den är osäker/oseriös.

Jag jobbar på ett mindre företag som har behov av en snabb filserver. Jag kommer koppla en stor raid-grupp till servern som kör Mac OS X Server 10.4 på en Power Mac G5.

Datorn har två nätverkskort. På det ena kopplar jag till/från bredbandsmodemet. Det andra kopplar jag till vår switch.

Jag kör DHCP och NAT på servern, delar ut IP adresser till switchen.

På servern kör jag också AFP som bara är tillgängligt för användare på det lokala subnätet.

Genom att ha servern kopplad mot nätet kan jag registrera den i utomstående DNS:er med ett fast IP från bredbandsleverantören.

I Open Directory står servern som OD master med det FQDN som i min egen DNS och andra NS pekas mot serverns IP. (Jag kollar såklart detta m nslookup osv enligt tidigare poster om hur man sätter upp OD master).

Jag kör också Firewall som blockerar inkommande trafik på suspekta portar utanför det lokala subnetet.

Låter det här som en okej setup?

(Jag har tidigare försökt köra utan annan DNS server än serverns egen men det har inte fungerat bra m DNS och Kerberos, därför tänkte jag att servern också skulle agera DHCP (och Firewall).)

Teoretiskt låter det som en utmärkt setup så inget att invända i sak. Personligen är jag nog lite fegare och vill inte gärna ha min filserver direkt exponerad mot nätet. Därför kör jag hellre firewall i en extern burk.

Jag vet ju inte exakt vilka problem du haft med att låta din server agera DNS i det interna nätet. Ett tips är att inte konfigurerar DNS:en med Apples egna verktyg för det fungerar riktigt dåligt.

Vi kör själva en kombination av namn som bara finns internt och sådana som ligger i publika DNS:er och det fungerar utmärkt.

Jag tycker det låter jättebra - det är väl så Apple vill att man kör?

Okej, bra. Men säg att företaget har domänen foretag.se externt. Och att jag vill ha intern.foretaget.se på denna server. Vi har inget fast IP från vår ISP.

Vilket ip ska jag då länka till OD mastern? Det interna antar jag? Men det kan jag ju inte regga i någon DNS, om jag inte har en ytterligare burk som agerar DNS åt min server?

Jag hoppas att det blir löst av att all trafik passerar genom min server som ju också kör DNS och pekar på sig själv...?

Har jag förstått allt rätt?

Ursprungligen av svantet:

Okej, bra. Men säg att företaget har domänen foretag.se externt. Och att jag vill ha intern.foretaget.se på denna server. Vi har inget fast IP från vår ISP.

Vilket ip ska jag då länka till OD mastern? Det interna antar jag? Men det kan jag ju inte regga i någon DNS, om jag inte har en ytterligare burk som agerar DNS åt min server?

Ge servern ett fast ip på det interna nätet. Se till att din server är DNS för datorerna på det interna nätet. Lägg in intern.foretaget.se i din servers DNS. Ställ in DNS:en så att den i sin tur frågar er ISP:s DNS vid uppslagning av externa domäner inklusive foretaget.se. Sen borde det rocka.

Ursprungligen av Hendrix:

Ge servern ett fast ip på det interna nätet. Se till att din server är DNS för datorerna på det interna nätet. Lägg in intern.foretaget.se i din servers DNS. Ställ in DNS:en så att den i sin tur frågar er ISP:s DNS vid uppslagning av externa domäner inklusive foretaget.se. Sen borde det rocka.

Det är exakt så här jag lagt upp det nu. Och det verkar funka bra efter en del pyssel.

Håller iofs med om att det blir jobbigt om servern nitar, då faller allting... Vore smart att ha en liten firewall/dhcp box, sådana finns det ju billiga. Med en sådan kan ju servern crasha och alla har ändå tillgång till nätet utan problem.

Men jag kan inte riktigt klura ut hur jag ska kunna regga en intern DNS om jag inte låter all trafik passera genom servern? Hur kan jag i en liten firewall/dhcp-box låta min server (som själv får sitt IP från ovanstående box) agera DNS i en sådan setup?

Jag antar att det du talar om här, ntity, men jag är rädd att det är lite för komplicerat för mig, kan du förklara det lite enklare och länka till nån hårdvara, tex?

Ursprungligen av ntity:

Disk och server går ju att kombinera om en NAS låda är för dyr, men brandväggen och router funktionen skulle jag som sagt dela på. Går att få mycket smidiga lösningar med exempelvis dnsmasq som fixar split horizon DNS så du kan köra internal.företag.tld för intärna saker samt ha externa pekare för den delen med (kan även filtrera DNS så reklam/spam sidor resolvas som ej existerande och DDNS för klienter som får IP av DHCP serven i dnsmasq)

Ursprungligen av svantet:

Håller iofs med om att det blir jobbigt om servern nitar, då faller allting... Vore smart att ha en liten firewall/dhcp box, sådana finns det ju billiga. Med en sådan kan ju servern crasha och alla har ändå tillgång till nätet utan problem.

Men jag kan inte riktigt klura ut hur jag ska kunna regga en intern DNS om jag inte låter all trafik passera genom servern? Hur kan jag i en liten firewall/dhcp-box låta min server (som själv får sitt IP från ovanstående box) agera DNS i en sådan setup?

Servern får inte sitt IP via DHCP. Du ger servern ett fast IP på det interna nätet. Ställ in Firewall/DHCP-burken att dela ut delar av det interna adressintervallet. Sedan ger du servern ett fast IP utanför detta. Firewall/DHCP-burken delar sedan ut serverns interna fasta IP som primär DNS och er ISP som sekundär.

OBS! Vi har haft vissa problem med Windows-burkar som hoppat över på den sekundära DNS:en och därmed tappat kontakten med de interna adresserna, men i teorin borde det funka. Om det händer får man ta bort den sekundära servern och leva med risken att DNS stannar om servern går ner.

  • Medlem
  • Stockholm
  • 2007-11-22 01:22
Ursprungligen av svantet:

Det är exakt så här jag lagt upp det nu. Och det verkar funka bra efter en del pyssel.

Håller iofs med om att det blir jobbigt om servern nitar, då faller allting... Vore smart att ha en liten firewall/dhcp box, sådana finns det ju billiga. Med en sådan kan ju servern crasha och alla har ändå tillgång till nätet utan problem.

Men jag kan inte riktigt klura ut hur jag ska kunna regga en intern DNS om jag inte låter all trafik passera genom servern? Hur kan jag i en liten firewall/dhcp-box låta min server (som själv får sitt IP från ovanstående box) agera DNS i en sådan setup?

Jag antar att det du talar om här, ntity, men jag är rädd att det är lite för komplicerat för mig, kan du förklara det lite enklare och länka till nån hårdvara, tex?

Inte svårt alls, vanligaste är att man ställer DNS daemonen på brandväggen att alltid fråga servern om det är adresser som den inte vet (kan även ha andra som sekundär för att inte stanna om servern dött), vilket gör att alla DNS uppslagg som inte är cachade går genom servern. Då får brandväggen rätt uppgifter och servern avlastas en massa onödiga DNS uppslag.

Fördelen (beroende på setup självklart) är att med en lösning som dnsmasq så får du även namn som klient1.internal.företag.tld på alla klienter oavset vad för IP som de har, detta namn följer de runt om du sedan ställer att DHCPn skall dela ut servern som sekundär DNS server så kan du tappa antingen FW maskinen eller Servern och klienterna märker väldigt lite, endast de tjänster som har antingen fw eller server som single point of failiure dör.

  • Medlem
  • Stockholm
  • 2007-11-15 14:08

För hemmabruk skulle jag köra så här, och har kört liknande lösningar.. för ett företag (även ett litet) så är det lite för mycket av alla ägg i en korg för min del.

Tappar du servern tappar du DNS, internet access samt disk och AD funktioner..

Personligen hade jag delat upp det i 3 delar, en router/brandvägg kombination som kan göras gratis beroende på budget, servern som hanterar AD och en NAS låda för disk hanteringen..

Disk och server går ju att kombinera om en NAS låda är för dyr, men brandväggen och router funktionen skulle jag som sagt dela på. Går att få mycket smidiga lösningar med exempelvis dnsmasq som fixar split horizon DNS så du kan köra internal.företag.tld för intärna saker samt ha externa pekare för den delen med (kan även filtrera DNS så reklam/spam sidor resolvas som ej existerande och DDNS för klienter som får IP av DHCP serven i dnsmasq)

Men framför allt så har du fysisk separation på delarna för säkerhet, så även om du lyckas ställa in något galet så innebär det inte automatiskt att en elaking har access till datan som du har på filservern..

Okej, jag fattar (nästan). Nu undrar jag bara vilken hårdvara jag ska skaffa. Några tips?

  • Medlem
  • Stockholm
  • 2007-11-26 15:51

Beror helt på budget och vilken form av support som ni vill ha på lösningen..

Låg budget, alltså några tusenlappar!

  • Medlem
  • Stockholm
  • 2007-11-27 09:53

Då var det ju bara support delen kvar och den brukar ju vara 99% av beslutet, om det är du som skall drifta och supporta eller om de har någon intärn och vill handla en paketerad lösning etc..

Hm. Jag tror jag skulle vilja kunna göra det själv, men samtidigt är det ju asbra om man KAN ta in någon som vet vad det handlar om. Är det ett dåligt svar?

1
Bevaka tråden