Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active-Directory-integrierte Zone in Kombination mit einer primären Zone?

Frage Microsoft Windows Netzwerk

Mitglied: servacc

servacc (Level 1) - Jetzt verbinden

09.06.2011 um 11:55 Uhr, 6667 Aufrufe, 8 Kommentare

Ist es sinnvoll auf einem DC eine AD-integrierte Zone zu erstellen und an einem anderen Standort (auf einem Mitgliedsserver) die gleiche Zone mit dem Typ "primär" zu betreiben?

Ich habe bei einem Kunden beim Prüfen des vorhandenen Netzwerks folgende Konstellation entdeckt:

Am Haupt-Standort läuft ein Windows SBS 2011 als Domaincontroller mit DNS-Rolle. Auf diesem DNS-Server wurde eine in AD-integrierte Forward-Lookup-Zone für die interne Domäne ("Kunde.local") des Kunden angelegt.

Ein zweiter Standort ist per VPN-Tunnel angebunden. An diesem zweiten Standort steht ein Windows Server 2008R2 Fileserver, welcher als Mitgliedsserver der Domäne konfiguriert ist. Auf diesem Mitgliedsserver ist ebenfalls die DNS-Rolle installiert, allerdings wurde für die gleiche Forward-Lookup-Zone (also Kunde.local) hier als Typ "Primär" gewählt.

Das erscheint mir auf den ersten Blick etwas seltsam, da so ja im Prinzip zwei primäre DNS-Server für die gleiche Zone exisitieren. Gibt es für diese Kombination sinnvolle Gründe bzw. ist dies so sogar entgegen meiner Einschätzung eine gängige Konfigurationsvariante oder sollte am zweiten Standort nicht stattdessen eine sekundäre Zone angelegt werden um Konflikte zu vermeiden?

Und was spricht dagegen den Server am zweiten Standort zum Domaincontroller zu machen um so auch dort von der Active-Directory-integrierten Zone profitieren zu können (und gleichzeitig für die Anmeldung an der Domäne nicht auf den funktionierenden VPN-Tunnel angewiesen zu sein)? Das ist mein erster Kontakt mit dem Small Business Server - gibt es hier evtl. Beschränkungen oder Probleme, weshalb man nicht zu dieser Lösung greifen konnte?

Falls es von Bedeutung ist, hier noch die genaue Konfiguration der zwei DNS-Server:

Hauptstandort:

- nur sichere dynamische Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- Zonenübertragung ist zugelassen auf die unter Nameserver aufgeführten Server
- Typ: AD-integriert
- Replikation: alle DNS-Server der Domäne

zweiter Standort:

- keine dynamischen Updates
- unter dem Reiter Nameserver sind beide Server (Hauptstandort + zweiter Standort) eingetragen
- keine Zonenübertragung
- Typ: primär
- Replikation nicht möglich, da nicht AD-integriert
Mitglied: meinereiner
09.06.2011 um 12:23 Uhr
Das erscheint dir nicht nur etwas seltsam, es ist seltsam.

Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro steht. Rein technisch sicher möglich.
Andere Möglichkeit: Auf dem DNS in der Zweigstelle nur eine bedingte Weiterleitung einrichten.
Oder gleich die DNS Auflösung übers WAN.
Bitte warten ..
Mitglied: Patriot
09.06.2011 um 12:44 Uhr
Zweigstelle zu RODC (Read only Domain Controller) machen. problem gelöst zusätlich Traffic verhindert, Sicherheit bleibt gewährt
oder DNS Server lassen und ne sekundäre Zone erstellen , keine primäre..
Bitte warten ..
Mitglied: servacc
09.06.2011 um 12:51 Uhr
Ob die Entscheidung gegen einen DC in der Zweigstelle aus Sicherheitsgründen getroffen wurde muss ich noch mit der Geschäftsführung abklären. Rein vom Serverstandort sehe ich in der Zweigstelle jetzt kein höheres Risiko als am Hauptstandort. Gegebenenfalls wäre ja auch ein RODC noch eine sinnvolle Variante, nachdem dank des vorhandenen Windows 2008R2 Fileservers nicht einmal Hardwarekosten anfallen würden.

So wie es jetzt gelöst ist, können sich die Mitarbeiter der Zweigstelle bei einem Ausfall des VPN-Tunnels (welcher in der Zweigstelle über eine einfache DSL-Leitung realisiert ist) gar nicht mehr an der Domäne anmelden und somit dann auch nicht mehr auf ihre Dokumente am Fileserver zugreifen. Das scheint mir nicht gerade optimal, auch wenn die Zweigstelle nur aus wenigen Mitarbeitern besteht.

Was spricht Deiner Meinung nach für eine bedingte Weiterleitung oder DNS-Auflösung übers WAN? Warum nicht wenigstens eine sekundäre Zone, um die DSL-Leitung zu entlasten (sofern sich die Geschäftsführung gegen die DC/RODC-Variante entscheidet)? Siehst Du darin Vorteile oder wolltest Du nur die weiteren Alternativen zur sekundären Zone nennen?
Bitte warten ..
Mitglied: Patriot
09.06.2011 um 12:58 Uhr
@servacc war die Frage auf mich bezogen?
Bitte warten ..
Mitglied: servacc
09.06.2011 um 13:09 Uhr
Zitat von Patriot:
@servacc war die Frage auf mich bezogen?

Nein, das hat sich mit Deiner Antwort überschnitten. Du scheinst ja auch meine zwei Ansätze (RODC oder sekundäre Zone) als sinnvollste Lösungen anzusehen.

Das einzige was noch für die primäre Zone sprechen würde ist folgender Auszug aus dem Technet:

If your DNS design includes primary and secondary zones and you run a large number of secondary servers for a zone, the primary DNS server can become overloaded when the secondary servers poll to ensure that their zone data is current. You can solve this problem in one of three ways:
• Use some of the secondary DNS servers as primary servers for the zone. Other secondary servers can poll and request zone updates from these primary servers.
(Rest gekürzt da nicht zutreffend)

Hier spricht Microsoft also auch von mehreren primären Servern für eine Zone (wenn auch unter ganz anderen Voraussetzungen). Trotzdem wundert mich das ein wenig, da ich bisher aus allen Büchern und Schulungen ein striktes "Nein" zu mehreren primären Servern kenne. Wenn ich mich richtig erinnere wird das auch in MCITP-Prüfungsvorbereitungsbüchern als absolutes No-Go beschrieben.
Bitte warten ..
Mitglied: meinereiner
09.06.2011 um 13:50 Uhr
Eine bedingte Weiterleitung ist einfacher einzurichten und weniger Fehlerträchtig.
Eine Entlastung der WAN Strecke hast du übers Caching des DNS Serevrs und ohne WAN geht eh nichts.

Eine sekundäre Zone geht natürlich auch und da will ich nicht gegen Reden. Wird sich beides nicht viel nehmen und ist eher eine Entscheidung aus dem Bauch raus.


Nachtrag: Bevorzugt würde ich am zweiten Standort einen DC haben wollen.
Bitte warten ..
Mitglied: servacc
10.06.2011 um 13:18 Uhr
Zitat von meinereiner:
Zweiter DC könnte z.b. aus Sicherheitsgründen schlecht sein, wenn der Server z.B. freu zugänglich im Büro
steht. Rein technisch sicher möglich.

Inzwischen habe ich erfahren, dass der Server in der Zweigstelle nur deshalb nicht als DC eingerichtet wurde, weil dies in Kombination mit einem Windows SBS 2011 Server angeblich nicht möglich ist.

Nach ersten Recherchen ist diese Information aber falsch. Für SBS 2003 habe ich z.B. ein Video gefunden, bei dem Microsoft selbst davon spricht, dass man problemlos einen weiteren DC ins Netz bringen kann - nur eben keinen zweiten SBS-Server. Bisher konnte ich auch nichts darüber finden, dass sich dies bei der 2011er Version von SBS geändert hat.

Von daher spricht eigentlich nichts dageben, den Server der Zweigstelle zum DC zu machen um so auch gleich das DNS-Problem aus der Welt zu schaffen. Oder gibt es von Euch Einwände gegen einen weiteren DC in einer SBS-Domäne?
Bitte warten ..
Mitglied: meinereiner
14.06.2011 um 08:34 Uhr
Der SBS will die Betriebsmasterfunktionen haben. Das verwechseln wohl einige. Einen DC ohne diese kann man aber mit in die Domäne nehmen.

Nein, keiner, leg los.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...