8
Active-Directory-integrierte Zone in Kombination mit einer primären Zone?
Ist es sinnvoll auf einem DC eine AD-integrierte Zone zu erstellen und an einem anderen Standort (auf einem Mitgliedsserver) die gleiche Zone mit dem Typ "primär" zu betreiben?
Ich habe bei einem Kunden beim Prüfen des vorhandenen Netzwerks folgende Konstellation entdeckt:
Am Haupt-Standort läuft ein Windows SBS 2011 als Domaincontroller mit DNS-Rolle. Auf diesem DNS-Server wurde eine in AD-integrierte Forward-Lookup-Zone für die interne Domäne ("Kunde.local") des Kunden angelegt.
Ein zweiter Standort ist per VPN-Tunnel angebunden. An diesem zweiten Standort steht ein Windows Server 2008R2 Fileserver, welcher als Mitgliedsserver der Domäne konfiguriert ist. Auf diesem Mitgliedsserver ist ebenfalls die DNS-Rolle installiert, allerdings wurde für die gleiche Forward-Lookup-Zone (also Kunde.local) hier als Typ "Primär" gewählt.
Das erscheint mir auf den ersten Blick etwas seltsam, da so ja im Prinzip zwei primäre DNS-Server für die gleiche Zone exisitieren. Gibt es für diese Kombination sinnvolle Gründe bzw. ist dies so sogar entgegen meiner Einschätzung eine gängige Konfigurationsvariante oder sollte am zweiten Standort nicht stattdessen eine sekundäre Zone angelegt werden um Konflikte zu vermeiden?
Und was spricht dagegen den Server am zweiten Standort zum Domaincontroller zu machen um so auch dort von der Active-Directory-integrierten Zone profitieren zu können (und gleichzeitig für die Anmeldung an der Domäne nicht auf den funktionierenden VPN-Tunnel angewiesen zu sein)? Das ist mein erster Kontakt mit dem Small Business Server - gibt es hier evtl. Beschränkungen oder Probleme, weshalb man nicht zu dieser Lösung greifen konnte?
Falls es von Bedeutung ist, hier noch die genaue Konfiguration der zwei DNS-Server:
Hauptstandort:
- nur sichere dynamische Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- Zonenübertragung ist zugelassen auf die unter Nameserver aufgeführten Server
- Typ: AD-integriert
- Replikation: alle DNS-Server der Domäne
zweiter Standort:
- keine dynamischen Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- keine Zonenübertragung
- Typ: primär
- Replikation nicht möglich, da nicht AD-integriert
Am Haupt-Standort läuft ein Windows SBS 2011 als Domaincontroller mit DNS-Rolle. Auf diesem DNS-Server wurde eine in AD-integrierte Forward-Lookup-Zone für die interne Domäne ("Kunde.local") des Kunden angelegt.
Ein zweiter Standort ist per VPN-Tunnel angebunden. An diesem zweiten Standort steht ein Windows Server 2008R2 Fileserver, welcher als Mitgliedsserver der Domäne konfiguriert ist. Auf diesem Mitgliedsserver ist ebenfalls die DNS-Rolle installiert, allerdings wurde für die gleiche Forward-Lookup-Zone (also Kunde.local) hier als Typ "Primär" gewählt.
Das erscheint mir auf den ersten Blick etwas seltsam, da so ja im Prinzip zwei primäre DNS-Server für die gleiche Zone exisitieren. Gibt es für diese Kombination sinnvolle Gründe bzw. ist dies so sogar entgegen meiner Einschätzung eine gängige Konfigurationsvariante oder sollte am zweiten Standort nicht stattdessen eine sekundäre Zone angelegt werden um Konflikte zu vermeiden?
Und was spricht dagegen den Server am zweiten Standort zum Domaincontroller zu machen um so auch dort von der Active-Directory-integrierten Zone profitieren zu können (und gleichzeitig für die Anmeldung an der Domäne nicht auf den funktionierenden VPN-Tunnel angewiesen zu sein)? Das ist mein erster Kontakt mit dem Small Business Server - gibt es hier evtl. Beschränkungen oder Probleme, weshalb man nicht zu dieser Lösung greifen konnte?
Falls es von Bedeutung ist, hier noch die genaue Konfiguration der zwei DNS-Server:
Hauptstandort:
- nur sichere dynamische Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- Zonenübertragung ist zugelassen auf die unter Nameserver aufgeführten Server
- Typ: AD-integriert
- Replikation: alle DNS-Server der Domäne
zweiter Standort:
- keine dynamischen Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- keine Zonenübertragung
- Typ: primär
- Replikation nicht möglich, da nicht AD-integriert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 167774
Url: https://administrator.de/contentid/167774
Printed on: April 24, 2024 at 07:04 o'clock
8 Comments
Latest comment
Das erscheint dir nicht nur etwas seltsam, es ist seltsam. 
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro steht. Rein technisch sicher möglich.
Andere Möglichkeit: Auf dem DNS in der Zweigstelle nur eine bedingte Weiterleitung einrichten.
Oder gleich die DNS Auflösung übers WAN.
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro steht. Rein technisch sicher möglich.
Andere Möglichkeit: Auf dem DNS in der Zweigstelle nur eine bedingte Weiterleitung einrichten.
Oder gleich die DNS Auflösung übers WAN.
Zweigstelle zu RODC (Read only Domain Controller) machen. problem gelöst zusätlich Traffic verhindert, Sicherheit bleibt gewährt 
oder DNS Server lassen und ne sekundäre Zone erstellen , keine primäre..
oder DNS Server lassen und ne sekundäre Zone erstellen , keine primäre..
Ob die Entscheidung gegen einen DC in der Zweigstelle aus Sicherheitsgründen getroffen wurde muss ich noch mit der Geschäftsführung abklären. Rein vom Serverstandort sehe ich in der Zweigstelle jetzt kein höheres Risiko als am Hauptstandort. Gegebenenfalls wäre ja auch ein RODC noch eine sinnvolle Variante, nachdem dank des vorhandenen Windows 2008R2 Fileservers nicht einmal Hardwarekosten anfallen würden.
So wie es jetzt gelöst ist, können sich die Mitarbeiter der Zweigstelle bei einem Ausfall des VPN-Tunnels (welcher in der Zweigstelle über eine einfache DSL-Leitung realisiert ist) gar nicht mehr an der Domäne anmelden und somit dann auch nicht mehr auf ihre Dokumente am Fileserver zugreifen. Das scheint mir nicht gerade optimal, auch wenn die Zweigstelle nur aus wenigen Mitarbeitern besteht.
Was spricht Deiner Meinung nach für eine bedingte Weiterleitung oder DNS-Auflösung übers WAN? Warum nicht wenigstens eine sekundäre Zone, um die DSL-Leitung zu entlasten (sofern sich die Geschäftsführung gegen die DC/RODC-Variante entscheidet)? Siehst Du darin Vorteile oder wolltest Du nur die weiteren Alternativen zur sekundären Zone nennen?
So wie es jetzt gelöst ist, können sich die Mitarbeiter der Zweigstelle bei einem Ausfall des VPN-Tunnels (welcher in der Zweigstelle über eine einfache DSL-Leitung realisiert ist) gar nicht mehr an der Domäne anmelden und somit dann auch nicht mehr auf ihre Dokumente am Fileserver zugreifen. Das scheint mir nicht gerade optimal, auch wenn die Zweigstelle nur aus wenigen Mitarbeitern besteht.
Was spricht Deiner Meinung nach für eine bedingte Weiterleitung oder DNS-Auflösung übers WAN? Warum nicht wenigstens eine sekundäre Zone, um die DSL-Leitung zu entlasten (sofern sich die Geschäftsführung gegen die DC/RODC-Variante entscheidet)? Siehst Du darin Vorteile oder wolltest Du nur die weiteren Alternativen zur sekundären Zone nennen?
@servacc war die Frage auf mich bezogen?
Nein, das hat sich mit Deiner Antwort überschnitten. Du scheinst ja auch meine zwei Ansätze (RODC oder sekundäre Zone) als sinnvollste Lösungen anzusehen.
Das einzige was noch für die primäre Zone sprechen würde ist folgender Auszug aus dem Technet:
If your DNS design includes primary and secondary zones and you run a large number of secondary servers for a zone, the primary DNS server can become overloaded when the secondary servers poll to ensure that their zone data is current. You can solve this problem in one of three ways:
• Use some of the secondary DNS servers as primary servers for the zone. Other secondary servers can poll and request zone updates from these primary servers.
(Rest gekürzt da nicht zutreffend)
Hier spricht Microsoft also auch von mehreren primären Servern für eine Zone (wenn auch unter ganz anderen Voraussetzungen). Trotzdem wundert mich das ein wenig, da ich bisher aus allen Büchern und Schulungen ein striktes "Nein" zu mehreren primären Servern kenne. Wenn ich mich richtig erinnere wird das auch in MCITP-Prüfungsvorbereitungsbüchern als absolutes No-Go beschrieben.
Eine bedingte Weiterleitung ist einfacher einzurichten und weniger Fehlerträchtig.
Eine Entlastung der WAN Strecke hast du übers Caching des DNS Serevrs und ohne WAN geht eh nichts.
Eine sekundäre Zone geht natürlich auch und da will ich nicht gegen Reden. Wird sich beides nicht viel nehmen und ist eher eine Entscheidung aus dem Bauch raus.
Nachtrag: Bevorzugt würde ich am zweiten Standort einen DC haben wollen.
Eine Entlastung der WAN Strecke hast du übers Caching des DNS Serevrs und ohne WAN geht eh nichts.
Eine sekundäre Zone geht natürlich auch und da will ich nicht gegen Reden. Wird sich beides nicht viel nehmen und ist eher eine Entscheidung aus dem Bauch raus.
Nachtrag: Bevorzugt würde ich am zweiten Standort einen DC haben wollen.
Zitat von @meinereiner:
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro
steht. Rein technisch sicher möglich.
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro
steht. Rein technisch sicher möglich.
Inzwischen habe ich erfahren, dass der Server in der Zweigstelle nur deshalb nicht als DC eingerichtet wurde, weil dies in Kombination mit einem Windows SBS 2011 Server angeblich nicht möglich ist.
Nach ersten Recherchen ist diese Information aber falsch. Für SBS 2003 habe ich z.B. ein Video gefunden, bei dem Microsoft selbst davon spricht, dass man problemlos einen weiteren DC ins Netz bringen kann - nur eben keinen zweiten SBS-Server. Bisher konnte ich auch nichts darüber finden, dass sich dies bei der 2011er Version von SBS geändert hat.
Von daher spricht eigentlich nichts dageben, den Server der Zweigstelle zum DC zu machen um so auch gleich das DNS-Problem aus der Welt zu schaffen. Oder gibt es von Euch Einwände gegen einen weiteren DC in einer SBS-Domäne?
Der SBS will die Betriebsmasterfunktionen haben. Das verwechseln wohl einige. Einen DC ohne diese kann man aber mit in die Domäne nehmen.
Nein, keiner, leg los.
Nein, keiner, leg los.
