Verständnis Fragen zum DNS Nameserver in Linux

bwoa ... so wirst du keine Antwort bekommen

Hätt ein paar Vorschläge:
1. Verringere die Informationen auf das Notwendige. Führ zB die Subnets an die betroffen sind - und nicht die einzelnen Rechner.
2. stelle spezifische Fragen - nicht "Was meint Ihr?"
3. (und vielleicht das wichtigste) Lies Handbücher, Man-Pages, such im Internet und wenns nix bringt - verwend das Forum... nicht vorher.

Ganz ehrlich... ich hab den Beitrag nur überflogen und hab keinen Tau was du wissen möchtest.
Also - starten wir einen zweiten Versuch?

LG
Florian Lagg (http://www.lagg.at)

Kleiner Poet
Wer so komplexe Netzwerke designt ist selber schuld
Aber da das ganze hypothetisch ist werd ich mal das Szenario vereinfachen:

1. Warum 2 verschiedene DNS-Server wenn ALLE Hosts die selben DNS-Namen sehen sollen
zwei DNS-Server als Ausfallssicherheit sind gut (und zB für DE/AT-Domains meineswissens vorgeschrieben). Dann ist aber einer Primary, der zweite Secondary DNS (Backup)

2. Verschiedene Subnetze die durch Router/Firewalls verbunden sind sind für die Erklärung von DNS irrelevant. DNS ist ein Dienst im Internet-Protokoll (IP)... Sobald ich an einer Firewall den Port 53 TCP und UDP durchlasse oder auf den DNS-Server NATte funktioniert das Ding.
Wenn ein Standort sehr viele DNS-Anfragen macht (und ich nicht alle Anfragen an den primary DNS im Hauptstandort weiterleiten möchte) krigt der Standort einen Secondary-DNS.

3. die Subdomain BU.intern.... kannst du auf dem selben DNS halten wie die intern...

Mehr sollte keiner in nem Firmennetzwerk benötigen denk ich mal...

Für ne kleine Firma reicht:

• ein internes Subnet pro Standort
• Firmenübergreifendes VPN (Damit kann ich im VPN auf jeden Rechner auf (fast) alle Dienste zugreifen), zB mit http://www.tinc-vpn.org (sehr einfach). tinc hat noch den Vorteil dass es voll mesh-fähig ist, d.h. auch die Standorte (ohne Verbindung zur Zentrale) bauen direkte, verschlüsselte Verbindungen zueinander auf
• ein DNS-Server in der Zentrale
• optional (aber sehr zu empfehlen) ein Backup-DNS-Server an einem Standort, Notfalls auch in der Zentrale
• Wenn nicht anders benötigt kann man jedem Client noch per DHCP die DNS-Server mitgeben. Wenn du allerdings fixe IP's brauchst musst du's händisch eintragen.

Mischen ist natürlich erlaubt (Statische IP's für Server + Router, DHCP für Clients - nur keine Adressen doppelt vergeben )

Mehr Komplexität ist hier IMHO überflüssig. Gegenteilige Meinungen sind willkommen

Ach ja - wenn du dich unter Linux nicht mit jedem Configfile rumschlagen willst - check mal http://www.webmin.com/

Gut N8
Florian Lagg (http://www.lagg.at)

Vom Verständnis richtig:
Naja, sagen wir's mal so: zumindest glaube ich du erreichst dein Ziel damit nicht...

Nehmen wir mal Deine Buchhaltung (aus der Graphik oben).
Wenn ich das richtig sehe soll der DNS der Buchhaltung (R.10) zwei Zonen kennen (Reverse-DNS lass ich jetzt mal weg). diese sind "BU.intern.asp.de." und "."
Die Zone "." löst alles auf was andere Zonen nicht auflösen - d.h. wenn ich den Nameserver nach google.com. frage (zB per nslookup oder dig) ist die Zone "." dafür zuständig dass dieser Nameserver wiederum beim nächsten Nameserver nachfragt (in diesem Fall den von deinem ISP)

Zurück zum Thema:
Jeder einzelne Rechner der Buchhaltung - nehm ich mal an - hat den Rechner 10 als DNS eingetragen.
D.h. Namensauflösung von zB 1.BU.intern.asp.de. funktioniert, auch google.com kannst du damit auflösen...
Aber was ist mit *.intern.asp.de.? Keine Zone vorhanden - somit keine Auflösung.

Noch was:
Du kannst am Rechner 2 oder mehr DNS-Server angeben... der Ausfallssicherheit wegen...
Wenn der erste DNS nicht erreichbar ist wird der 2. angefragt, usw.
Wenn der 1. aber erreichbar ist wird dieser befragt - wenn dieser antwortet dass die Zone intern.... (ohne BU.) nicht vorhanden ist wird der 2. gar nicht mehr gefragt.

Das selbe problem tritt natürlich vom restlichen Netzwerk auf wenn die BU.intern... abgefragt werden soll.

Also nochmal:

• Rechner 14: DNS primary, Zonen "BU...." und "intern...." und "." (+ diverse Reverse-Zonen)
• Rechner 10: DNS secondary, von den selben Zonen als Ausfallssicherheit
• auf allen Rechnern die 2 DNS-Server eintragen oder über DHCP mitgeben
• auf allen Firewalls in der Struktur oben Port 53 TCP und UDP in Richtung DNS-Server freigeben (ausser natürlich der letzen vor dem Internet)

Ergebnis:

• Jeder Rechner kann jeden anderen im DNS auflösen
• Wenn ein DNS-Server eingeht läuft der 2. weiter (Betrieb steht nicht, allerdings muss beim Ausfall des Master-Servers der Slave konvertiert werden (beim Bind: Webmin - Zone auswählen - Zoneneinstellungen - in Master konvertieren, es darf aber immer nur einer Master sein)

So, jetzt denk ich ist alles klar.
Infos kriegst du noch unter
http://www.isc.org/index.pl?/sw/bind/ (Homepage bind) und
http://en.wikipedia.org/wiki/Dns

Setzt dir doch einfach mal in VMWARE (falls du keine physische Kiste übrig hast) einen Linux-Rechner auf und teste mal... - ist eigentlich nicht schwer.

Grüße
Florian Lagg (http://www.lagg.at)