10
AD und seperater DNS Server - Wie?
Wir haben mehrer Domain Controller (vier in der Hauptstelle und jeweils einen in 5 weiteren Außenstellen).
Alle DC's haben DNS installiert.
Die beiden DC's in der Hauptstelle werden als primary und secundary DNS benutzt.
Gelegentlich werden keine DNS Anfragen mehr bearbeitet, weil die DC's ausgelastet sind.
Jetzt sollen zwei DNS Server seperat aufgesetzt und eine neue Struktur aisgebaut werden.
Diese beiden DNS Server sollen nach der erfolgreichen Inetgration alleine bestehen bleiben.
Leider schlagen sämtliche Anfragen auf die Dienste des DC's (Kerberos ectl.) fehl, wenn nur die beiden neuen DNS Server von den Clients benutzt werden.
Die _tcp._ldap und _tcp._kerberos Einträge sind erstellt worden, trotzdem werden keine Domainkontroller gefunden.
Was mir aufgefallen ist, ist dass die Domain _msdcs, ForestDNSZone und DomainDNSZone Einträge fehlen.
Wie kann ich die beiden seperaten DNS Server für die komplette Namensauflösung einsetzen?
Reicht es, wen ich die fehlenden Einträge manuell hinzufüge?
Wie bekomme ich die _gc und _kpasswd Einträge hinzugefügt?
Vielen Dank
Sammler1972
EDIT:
Ich blicke selber nicht ganz durch die DNS Struktur.... was daran liegt, dass ich sie selber nicht aufgesetzt habe.
Jede Unterdomain hat eine seperate Zone, also verfügt jeder der beiden DNS Server in der hauptstelle über 6 Zonen, alle Zonen sind AD inetgriert.
Auf jeden DC in der Außenstelle existiert eine Zone des Standortes, sowie eine Zone der Haptstelle (zwei Zonen).
Alle AD integrierte Zonen werden repliziert.
Also habe ich insgesammt 7 DNS Server wovon nur zwei alle Zonen beinhalten.
Das ganze soll auf zwei DNS Server schrumpfen (zwei DNS Server in der Hauptstelle).
Diese beiden DNS Server sind wie folgt konfiguriert:
1. DNS:
Kein DC, eine Zone mit darunter erstellte Domänen.
Passende reverse Lookupzonen
2. DNS:
Kein DC, eine Sekundäre Zone, die sich mit dem ersten DNS Server repliziert.
sekundäre reverse Lookupzonen
Beide DNS Server sollen unabhängig vom Domain Controller laufen, wenn man also die DC's neu startet soll die DNS Anfrage weiterhin möglich sein.
Da auf den bisherigen DNS Servern jede Menge Müll rumliegt (Rechner die schon lange nicht mehr existieren ect.) und das Aussortieren zu viel Zeit in anspruch nimmt (ca. 1500 Einträge), kommt leider eine Replikation mit den alten Servern nicht in Frage.
Ich hatte jetzt die Idee, einfach die Einträge der NETLOGON.dns in meine Zonendatei zu kopieren. Die Enträge sind dann zwar vorhanden, ein DC wird allerdings trotzdem nicht gefunden.
Ich hoffe, das war jetzt etwas verständlicher.
Was mir aufgefallen ist, ist dass die Domain _msdcs, ForestDNSZone und DomainDNSZone Einträge fehlen.
Wie kann ich die beiden seperaten DNS Server für die komplette Namensauflösung einsetzen?
Reicht es, wen ich die fehlenden Einträge manuell hinzufüge?
Wie bekomme ich die _gc und _kpasswd Einträge hinzugefügt?
Vielen Dank
Sammler1972
EDIT:
Ich blicke selber nicht ganz durch die DNS Struktur.... was daran liegt, dass ich sie selber nicht aufgesetzt habe.
Jede Unterdomain hat eine seperate Zone, also verfügt jeder der beiden DNS Server in der hauptstelle über 6 Zonen, alle Zonen sind AD inetgriert.
Auf jeden DC in der Außenstelle existiert eine Zone des Standortes, sowie eine Zone der Haptstelle (zwei Zonen).
Alle AD integrierte Zonen werden repliziert.
Also habe ich insgesammt 7 DNS Server wovon nur zwei alle Zonen beinhalten.
Das ganze soll auf zwei DNS Server schrumpfen (zwei DNS Server in der Hauptstelle).
Diese beiden DNS Server sind wie folgt konfiguriert:
1. DNS:
Kein DC, eine Zone mit darunter erstellte Domänen.
Passende reverse Lookupzonen
2. DNS:
Kein DC, eine Sekundäre Zone, die sich mit dem ersten DNS Server repliziert.
sekundäre reverse Lookupzonen
Beide DNS Server sollen unabhängig vom Domain Controller laufen, wenn man also die DC's neu startet soll die DNS Anfrage weiterhin möglich sein.
Da auf den bisherigen DNS Servern jede Menge Müll rumliegt (Rechner die schon lange nicht mehr existieren ect.) und das Aussortieren zu viel Zeit in anspruch nimmt (ca. 1500 Einträge), kommt leider eine Replikation mit den alten Servern nicht in Frage.
Ich hatte jetzt die Idee, einfach die Einträge der NETLOGON.dns in meine Zonendatei zu kopieren. Die Enträge sind dann zwar vorhanden, ein DC wird allerdings trotzdem nicht gefunden.
Ich hoffe, das war jetzt etwas verständlicher.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129060
Url: https://administrator.de/contentid/129060
Printed on: April 20, 2024 at 01:04 o'clock
10 Comments
Latest comment
Hallo Sammler1972,
kannst du noch ein paar mehr Informationen verraten?
Welche BS werden verwendet?
Wie habt ihr die DNS Server konfiguriert?
Du musst aufpassen das die Replikation der alten DNS-Server zu den neuen stattfindet sonst finden die Clients die Dienste bzw. die Server nicht.
Auch solltest du in der Anfangszeit einen alten DNS-Server aktiv lassen und ihn bei der Weiterleitung von DNS-Fragen bei den neuen Servern hinterlegen.
kannst du noch ein paar mehr Informationen verraten?
Welche BS werden verwendet?
Wie habt ihr die DNS Server konfiguriert?
Du musst aufpassen das die Replikation der alten DNS-Server zu den neuen stattfindet sonst finden die Clients die Dienste bzw. die Server nicht.
Auch solltest du in der Anfangszeit einen alten DNS-Server aktiv lassen und ihn bei der Weiterleitung von DNS-Fragen bei den neuen Servern hinterlegen.
Moin,
Kannst du das bitte mal editieren und verständlich (gerne ohne Schnelltippfehler) umschreiben?
Denn bei mir kommt bisher 4 DCs davon alle beide DNS an...
Und noch einiges andere umgereimte...
btw: Ich tippe - wenn die DC Hardware nicht aus dem letzten Jahrtausend ist - darauf, dass Ihr das DNS falsch eingerichtet habt - denn halbwegs aktuelle Serverhardware hat mit dem bisschen DNS kein Problem....(wenn DNS richtig eingerichtet wurde)
Gruß
Wir haben mehrer Domain Controller (vier in der Hauptstelle
Die ebiden DC's in der Hauptstelle werden als primary und secundary DNS benutzt.
Die ebiden DC's in der Hauptstelle werden als primary und secundary DNS benutzt.
Kannst du das bitte mal editieren und verständlich (gerne ohne Schnelltippfehler) umschreiben?
Denn bei mir kommt bisher 4 DCs davon alle beide DNS an...
Und noch einiges andere umgereimte...
btw: Ich tippe - wenn die DC Hardware nicht aus dem letzten Jahrtausend ist - darauf, dass Ihr das DNS falsch eingerichtet habt - denn halbwegs aktuelle Serverhardware hat mit dem bisschen DNS kein Problem....(wenn DNS richtig eingerichtet wurde)
Gruß
Text editiert.
Danke ;)
Bin etwas durch den Wind, verzweifel gerade ein wenig.
Danke ;)
Bin etwas durch den Wind, verzweifel gerade ein wenig.
Du wirst nicht drumherum kommen alle 7 Zonen auf den neuen DNS-Server zu implementieren sonst finden die jeweiligen Clients nicht ihr "Ansprechpartner"
Das mit dem NETLOGON.dns war eine gute Idee, scheint aber leider nicht zu funktionieren.
Was du noch nicht geschrieben hast ist ob die DNS-Server als Mitglied in die Domäne aufgenommen worden sind. (Ich gehe aber man stark davon aus)
Du musst auch den alten DNS-Server nicht zwingend mit dem neuen replizieren. Du musst nur darauf achten das die wichtigen Einträge wie z.b. die beiden DC auch in der Foorward- sowie in der Reverse-Lookupzone enthalten sind und das die Weiterleitung für Anfragen die nicht aufgelöst werden können noch auf die alten DNS-Server zeigen weil es sein kannst das bei sovielen Einträgen gerne mal einer verloren geht.
Übrigens musst du auch aufpassen das die neuen DNS-Server nicht auch AD-integriert sind. Weil wenn dann die DC neu starten werden auch DNS Abfragen nicht mehr beantwortet da die Datenbank nicht zur Verfügung steht. Deshalb ist es meistens sinnvoll den DNS-Dienst auf Primäre Zone umzustellen. Dann jedoch funktioniert die Replikation nicht mehr so einfach weil die Daten auf dem jeweiligen Computer gespeichert werden.
Dann müsstest du auf deinen 2. Server eine Sekundäre Zone einrichten.
Wie du siehst ist DNS kein einfaches Thema
Das mit dem NETLOGON.dns war eine gute Idee, scheint aber leider nicht zu funktionieren.
Was du noch nicht geschrieben hast ist ob die DNS-Server als Mitglied in die Domäne aufgenommen worden sind. (Ich gehe aber man stark davon aus)
Du musst auch den alten DNS-Server nicht zwingend mit dem neuen replizieren. Du musst nur darauf achten das die wichtigen Einträge wie z.b. die beiden DC auch in der Foorward- sowie in der Reverse-Lookupzone enthalten sind und das die Weiterleitung für Anfragen die nicht aufgelöst werden können noch auf die alten DNS-Server zeigen weil es sein kannst das bei sovielen Einträgen gerne mal einer verloren geht.
Übrigens musst du auch aufpassen das die neuen DNS-Server nicht auch AD-integriert sind. Weil wenn dann die DC neu starten werden auch DNS Abfragen nicht mehr beantwortet da die Datenbank nicht zur Verfügung steht. Deshalb ist es meistens sinnvoll den DNS-Dienst auf Primäre Zone umzustellen. Dann jedoch funktioniert die Replikation nicht mehr so einfach weil die Daten auf dem jeweiligen Computer gespeichert werden.
Dann müsstest du auf deinen 2. Server eine Sekundäre Zone einrichten.
Wie du siehst ist DNS kein einfaches Thema
So, jetzt habe ich die einzelnen Zonen (alle 7) eingetragen.
Zumindest habe ich jetzt Zugriff auf meine eigene Domäne (Hauptdomain am Haupstandort).
Leider habe ich immer noch keinen Zugriff auf die einzelnen Domänen der Außenstellen.
@Komabaer
Ja die Server sind Mitglieder in der Domäne und nein DNS ist auf den beiden neuen nicht AD integriert (geht auch gar nicht, solange sie keine DC's sind).
Und ja, ich arbeite mit primären und sekundären Zonen.
Reverse- und Forward-Lookupzonen beinhalten alle wichtigen Server.
Was das automatisch Eintargen von Clients betrifft, so benutze ich ein Script mit dem Eintrag "ipconfig /registerdns"
Gruß
Sammler1972
Zumindest habe ich jetzt Zugriff auf meine eigene Domäne (Hauptdomain am Haupstandort).
Leider habe ich immer noch keinen Zugriff auf die einzelnen Domänen der Außenstellen.
@Komabaer
Ja die Server sind Mitglieder in der Domäne und nein DNS ist auf den beiden neuen nicht AD integriert (geht auch gar nicht, solange sie keine DC's sind).
Und ja, ich arbeite mit primären und sekundären Zonen.
Reverse- und Forward-Lookupzonen beinhalten alle wichtigen Server.
Was das automatisch Eintargen von Clients betrifft, so benutze ich ein Script mit dem Eintrag "ipconfig /registerdns"
Gruß
Sammler1972
Hmm okay dann müssen wir das Thema mehr aufrollen.
Wenn du dich mit einem Client verbindest und nslookup ausführst für eine andere Zone ausführt als die in der der Client vorhanden ist, welche Antwort bekommst du dann?
Ich nehme an die Clients bekommen ihre IP-Adresse per DHCP und du hast im DHCP auch die neuen Server eingetragen?
Ich habe auch eben erst realisiert das du von 7 auf 2 DNS reduzieren willst. Dann solltest du prüfen das die DNS Suffixe richtig eingetragen sind.
Eventuell steht ja in der Host Datei von den Clients die alten DNS-Server. Überprüfe das einmal bitte.
Wenn du dich mit einem Client verbindest und nslookup ausführst für eine andere Zone ausführt als die in der der Client vorhanden ist, welche Antwort bekommst du dann?
Ich nehme an die Clients bekommen ihre IP-Adresse per DHCP und du hast im DHCP auch die neuen Server eingetragen?
Ich habe auch eben erst realisiert das du von 7 auf 2 DNS reduzieren willst. Dann solltest du prüfen das die DNS Suffixe richtig eingetragen sind.
Eventuell steht ja in der Host Datei von den Clients die alten DNS-Server. Überprüfe das einmal bitte.
Hallo Komabaer,
leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.
Suffixe eintragen? Du meinst in den erweiterten IP Einstellungen unter DNS?
Auf dem Server oder dem Client?
Ich habe zwar schon jede Menge DNS Server aufgesetzt (Linux und oder Windows), aber noch nie in der Form.... ^^
Gruß
Sammler1972
leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.
c:\nslookup dc1.hannover.zentrale.local
Server: dns1.zentrale.local
Address: 192.168.50.169
Name: dc1.hannover.zentrale.local
Address: 192.168.2.100Suffixe eintragen? Du meinst in den erweiterten IP Einstellungen unter DNS?
Auf dem Server oder dem Client?
Ich habe zwar schon jede Menge DNS Server aufgesetzt (Linux und oder Windows), aber noch nie in der Form.... ^^
Gruß
Sammler1972
Zitat von @Sammler1972:
Hallo Komabaer,
leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.
Hallo Komabaer,
leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.
Das heisst du änderst die Einstellungen für den DNS-Server manuell in den Netzwerkeigenschaften?
>
> c:\nslookup dc1.hannover.zentrale.local
>
> Server: dns1.zentrale.local
> Address: 192.168.50.169
>
> Name: dc1.hannover.zentrale.local
> Address: 192.168.2.100
>
> Ist das die richtige IP-Adresse von einem der neuen DNS-Server?
Suffixe eintragen? Du meinst in den erweiterten IP Einstellungen
unter DNS?
Auf dem Server oder dem Client?
unter DNS?
Auf dem Server oder dem Client?
Ja ich meine die in den erweiterten Einstellungen.
Sollte dort keines eingetragen sein, lass die Einstellung bitte auf
"Primäre und verbindungsspezifische DNS-Suffixe anhängen" und auf "Übergeordnete Suffixe des primären DNS-Suffix anhängen"
Ich habe zwar schon jede Menge DNS Server aufgesetzt (Linux und oder
Windows), aber noch nie in der Form.... ^^
Windows), aber noch nie in der Form.... ^^
Was ist denn hier anders ausser die 7 Zonen? o.o
Gruß
Komabaer
Nun ja, das andere war/ist, dass der DNS vor der AD installation vorhanden war und in der Regel alle Einträge automatisch generiert wurden (außer bei Linux, da kann man aber die Einträge relativ einfach mit vi in die conf-Files eintragen).
Ich bin noch dabei und habe noch keine Lösung ;)
Ich bin noch dabei und habe noch keine Lösung ;)
Wie jetzt nach 7 Tagen noch keine Lösung? Das geht ja mal gar nicht! 
DNS ist kein einfaches Thema, deshalb muss man sich damit gut auseinandersetzen.
Am besten ist immer lesen, lesen und nochmals lesen. Nur so versteht man die Zusammenhänge.
Wenn ich noch etwas tun kann sag bescheid. ^^
DNS ist kein einfaches Thema, deshalb muss man sich damit gut auseinandersetzen.
Am besten ist immer lesen, lesen und nochmals lesen. Nur so versteht man die Zusammenhänge.
Wenn ich noch etwas tun kann sag bescheid. ^^
