Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active-Directory-integrierte Zone in Kombination mit einer primären Zone?

Frage Microsoft Windows Netzwerk

Mitglied: servacc

servacc (Level 1) - Jetzt verbinden

09.06.2011 um 11:55 Uhr, 6825 Aufrufe, 8 Kommentare

Ist es sinnvoll auf einem DC eine AD-integrierte Zone zu erstellen und an einem anderen Standort (auf einem Mitgliedsserver) die gleiche Zone mit dem Typ "primär" zu betreiben?

Ich habe bei einem Kunden beim Prüfen des vorhandenen Netzwerks folgende Konstellation entdeckt:

Am Haupt-Standort läuft ein Windows SBS 2011 als Domaincontroller mit DNS-Rolle. Auf diesem DNS-Server wurde eine in AD-integrierte Forward-Lookup-Zone für die interne Domäne ("Kunde.local") des Kunden angelegt.

Ein zweiter Standort ist per VPN-Tunnel angebunden. An diesem zweiten Standort steht ein Windows Server 2008R2 Fileserver, welcher als Mitgliedsserver der Domäne konfiguriert ist. Auf diesem Mitgliedsserver ist ebenfalls die DNS-Rolle installiert, allerdings wurde für die gleiche Forward-Lookup-Zone (also Kunde.local) hier als Typ "Primär" gewählt.

Das erscheint mir auf den ersten Blick etwas seltsam, da so ja im Prinzip zwei primäre DNS-Server für die gleiche Zone exisitieren. Gibt es für diese Kombination sinnvolle Gründe bzw. ist dies so sogar entgegen meiner Einschätzung eine gängige Konfigurationsvariante oder sollte am zweiten Standort nicht stattdessen eine sekundäre Zone angelegt werden um Konflikte zu vermeiden?

Und was spricht dagegen den Server am zweiten Standort zum Domaincontroller zu machen um so auch dort von der Active-Directory-integrierten Zone profitieren zu können (und gleichzeitig für die Anmeldung an der Domäne nicht auf den funktionierenden VPN-Tunnel angewiesen zu sein)? Das ist mein erster Kontakt mit dem Small Business Server - gibt es hier evtl. Beschränkungen oder Probleme, weshalb man nicht zu dieser Lösung greifen konnte?

Falls es von Bedeutung ist, hier noch die genaue Konfiguration der zwei DNS-Server:

Hauptstandort:

- nur sichere dynamische Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- Zonenübertragung ist zugelassen auf die unter Nameserver aufgeführten Server
- Typ: AD-integriert
- Replikation: alle DNS-Server der Domäne

zweiter Standort:

- keine dynamischen Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- keine Zonenübertragung
- Typ: primär
- Replikation nicht möglich, da nicht AD-integriert
Mitglied: meinereiner
09.06.2011 um 12:23 Uhr
Das erscheint dir nicht nur etwas seltsam, es ist seltsam.

Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro steht. Rein technisch sicher möglich.
Andere Möglichkeit: Auf dem DNS in der Zweigstelle nur eine bedingte Weiterleitung einrichten.
Oder gleich die DNS Auflösung übers WAN.
Bitte warten ..
Mitglied: Patriot
09.06.2011 um 12:44 Uhr
Zweigstelle zu RODC (Read only Domain Controller) machen. problem gelöst zusätlich Traffic verhindert, Sicherheit bleibt gewährt
oder DNS Server lassen und ne sekundäre Zone erstellen , keine primäre..
Bitte warten ..
Mitglied: servacc
09.06.2011 um 12:51 Uhr
Ob die Entscheidung gegen einen DC in der Zweigstelle aus Sicherheitsgründen getroffen wurde muss ich noch mit der Geschäftsführung abklären. Rein vom Serverstandort sehe ich in der Zweigstelle jetzt kein höheres Risiko als am Hauptstandort. Gegebenenfalls wäre ja auch ein RODC noch eine sinnvolle Variante, nachdem dank des vorhandenen Windows 2008R2 Fileservers nicht einmal Hardwarekosten anfallen würden.

So wie es jetzt gelöst ist, können sich die Mitarbeiter der Zweigstelle bei einem Ausfall des VPN-Tunnels (welcher in der Zweigstelle über eine einfache DSL-Leitung realisiert ist) gar nicht mehr an der Domäne anmelden und somit dann auch nicht mehr auf ihre Dokumente am Fileserver zugreifen. Das scheint mir nicht gerade optimal, auch wenn die Zweigstelle nur aus wenigen Mitarbeitern besteht.

Was spricht Deiner Meinung nach für eine bedingte Weiterleitung oder DNS-Auflösung übers WAN? Warum nicht wenigstens eine sekundäre Zone, um die DSL-Leitung zu entlasten (sofern sich die Geschäftsführung gegen die DC/RODC-Variante entscheidet)? Siehst Du darin Vorteile oder wolltest Du nur die weiteren Alternativen zur sekundären Zone nennen?
Bitte warten ..
Mitglied: Patriot
09.06.2011 um 12:58 Uhr
@servacc war die Frage auf mich bezogen?
Bitte warten ..
Mitglied: servacc
09.06.2011 um 13:09 Uhr
Zitat von Patriot:
@servacc war die Frage auf mich bezogen?

Nein, das hat sich mit Deiner Antwort überschnitten. Du scheinst ja auch meine zwei Ansätze (RODC oder sekundäre Zone) als sinnvollste Lösungen anzusehen.

Das einzige was noch für die primäre Zone sprechen würde ist folgender Auszug aus dem Technet:

If your DNS design includes primary and secondary zones and you run a large number of secondary servers for a zone, the primary DNS server can become overloaded when the secondary servers poll to ensure that their zone data is current. You can solve this problem in one of three ways:
• Use some of the secondary DNS servers as primary servers for the zone. Other secondary servers can poll and request zone updates from these primary servers.
(Rest gekürzt da nicht zutreffend)

Hier spricht Microsoft also auch von mehreren primären Servern für eine Zone (wenn auch unter ganz anderen Voraussetzungen). Trotzdem wundert mich das ein wenig, da ich bisher aus allen Büchern und Schulungen ein striktes "Nein" zu mehreren primären Servern kenne. Wenn ich mich richtig erinnere wird das auch in MCITP-Prüfungsvorbereitungsbüchern als absolutes No-Go beschrieben.
Bitte warten ..
Mitglied: meinereiner
09.06.2011 um 13:50 Uhr
Eine bedingte Weiterleitung ist einfacher einzurichten und weniger Fehlerträchtig.
Eine Entlastung der WAN Strecke hast du übers Caching des DNS Serevrs und ohne WAN geht eh nichts.

Eine sekundäre Zone geht natürlich auch und da will ich nicht gegen Reden. Wird sich beides nicht viel nehmen und ist eher eine Entscheidung aus dem Bauch raus.


Nachtrag: Bevorzugt würde ich am zweiten Standort einen DC haben wollen.
Bitte warten ..
Mitglied: servacc
10.06.2011 um 13:18 Uhr
Zitat von meinereiner:
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro
steht. Rein technisch sicher möglich.

Inzwischen habe ich erfahren, dass der Server in der Zweigstelle nur deshalb nicht als DC eingerichtet wurde, weil dies in Kombination mit einem Windows SBS 2011 Server angeblich nicht möglich ist.

Nach ersten Recherchen ist diese Information aber falsch. Für SBS 2003 habe ich z.B. ein Video gefunden, bei dem Microsoft selbst davon spricht, dass man problemlos einen weiteren DC ins Netz bringen kann - nur eben keinen zweiten SBS-Server. Bisher konnte ich auch nichts darüber finden, dass sich dies bei der 2011er Version von SBS geändert hat.

Von daher spricht eigentlich nichts dageben, den Server der Zweigstelle zum DC zu machen um so auch gleich das DNS-Problem aus der Welt zu schaffen. Oder gibt es von Euch Einwände gegen einen weiteren DC in einer SBS-Domäne?
Bitte warten ..
Mitglied: meinereiner
14.06.2011 um 08:34 Uhr
Der SBS will die Betriebsmasterfunktionen haben. Das verwechseln wohl einige. Einen DC ohne diese kann man aber mit in die Domäne nehmen.

Nein, keiner, leg los.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
gelöst Server 2012 R2 Active Directory über den Webbrowser öffnen (4)

Frage von blackhawk17 zum Thema Windows Userverwaltung ...

Windows Server
Exchange 2010 Active Directory und Windows Server 2016 (4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Windows Server
Serie: Active Directory Zertifikatsdienste (Teil 1-8)

Link von pewa2303 zum Thema Windows Server ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(39)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

SAN, NAS, DAS
+100tb Storagelösung (12)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...

LAN, WAN, Wireless
Cisco W-Lan Controller als Applicance oder Software (11)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

DNS
gelöst Komplette TLD Überschreiben bzw eigene Definieren (10)

Frage von Herbrich19 zum Thema DNS ...