Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD und seperater DNS Server - Wie?

Frage Microsoft Windows Netzwerk

Mitglied: Sammler1972

Sammler1972 (Level 1) - Jetzt verbinden

10.11.2009, aktualisiert 15:43 Uhr, 4260 Aufrufe, 10 Kommentare

Wir haben mehrer Domain Controller (vier in der Hauptstelle und jeweils einen in 5 weiteren Außenstellen).
Alle DC's haben DNS installiert.
Die beiden DC's in der Hauptstelle werden als primary und secundary DNS benutzt.
Gelegentlich werden keine DNS Anfragen mehr bearbeitet, weil die DC's ausgelastet sind.

Jetzt sollen zwei DNS Server seperat aufgesetzt und eine neue Struktur aisgebaut werden.
Diese beiden DNS Server sollen nach der erfolgreichen Inetgration alleine bestehen bleiben.

Leider schlagen sämtliche Anfragen auf die Dienste des DC's (Kerberos ectl.) fehl, wenn nur die beiden neuen DNS Server von den Clients benutzt werden.

Die _tcp._ldap und _tcp._kerberos Einträge sind erstellt worden, trotzdem werden keine Domainkontroller gefunden.

Was mir aufgefallen ist, ist dass die Domain _msdcs, ForestDNSZone und DomainDNSZone Einträge fehlen.

Wie kann ich die beiden seperaten DNS Server für die komplette Namensauflösung einsetzen?
Reicht es, wen ich die fehlenden Einträge manuell hinzufüge?
Wie bekomme ich die _gc und _kpasswd Einträge hinzugefügt?

Vielen Dank
Sammler1972

EDIT:
Ich blicke selber nicht ganz durch die DNS Struktur.... was daran liegt, dass ich sie selber nicht aufgesetzt habe.

Jede Unterdomain hat eine seperate Zone, also verfügt jeder der beiden DNS Server in der hauptstelle über 6 Zonen, alle Zonen sind AD inetgriert.
Auf jeden DC in der Außenstelle existiert eine Zone des Standortes, sowie eine Zone der Haptstelle (zwei Zonen).

Alle AD integrierte Zonen werden repliziert.

Also habe ich insgesammt 7 DNS Server wovon nur zwei alle Zonen beinhalten.
Das ganze soll auf zwei DNS Server schrumpfen (zwei DNS Server in der Hauptstelle).

Diese beiden DNS Server sind wie folgt konfiguriert:

1. DNS:
Kein DC, eine Zone mit darunter erstellte Domänen.
Passende reverse Lookupzonen

2. DNS:
Kein DC, eine Sekundäre Zone, die sich mit dem ersten DNS Server repliziert.
sekundäre reverse Lookupzonen

Beide DNS Server sollen unabhängig vom Domain Controller laufen, wenn man also die DC's neu startet soll die DNS Anfrage weiterhin möglich sein.

Da auf den bisherigen DNS Servern jede Menge Müll rumliegt (Rechner die schon lange nicht mehr existieren ect.) und das Aussortieren zu viel Zeit in anspruch nimmt (ca. 1500 Einträge), kommt leider eine Replikation mit den alten Servern nicht in Frage.

Ich hatte jetzt die Idee, einfach die Einträge der NETLOGON.dns in meine Zonendatei zu kopieren. Die Enträge sind dann zwar vorhanden, ein DC wird allerdings trotzdem nicht gefunden.

Ich hoffe, das war jetzt etwas verständlicher.
Mitglied: Komabaer
10.11.2009 um 15:04 Uhr
Hallo Sammler1972,

kannst du noch ein paar mehr Informationen verraten?
Welche BS werden verwendet?
Wie habt ihr die DNS Server konfiguriert?

Du musst aufpassen das die Replikation der alten DNS-Server zu den neuen stattfindet sonst finden die Clients die Dienste bzw. die Server nicht.
Auch solltest du in der Anfangszeit einen alten DNS-Server aktiv lassen und ihn bei der Weiterleitung von DNS-Fragen bei den neuen Servern hinterlegen.
Bitte warten ..
Mitglied: 60730
10.11.2009 um 15:14 Uhr
Moin,

Wir haben mehrer Domain Controller (vier in der Hauptstelle
Die ebiden DC's in der Hauptstelle werden als primary und secundary DNS benutzt.

Kannst du das bitte mal editieren und verständlich (gerne ohne Schnelltippfehler) umschreiben?

Denn bei mir kommt bisher 4 DCs davon alle beide DNS an...

Und noch einiges andere umgereimte...


btw: Ich tippe - wenn die DC Hardware nicht aus dem letzten Jahrtausend ist - darauf, dass Ihr das DNS falsch eingerichtet habt - denn halbwegs aktuelle Serverhardware hat mit dem bisschen DNS kein Problem....(wenn DNS richtig eingerichtet wurde)

Gruß
Bitte warten ..
Mitglied: Sammler1972
10.11.2009 um 15:52 Uhr
Text editiert.

Danke ;)

Bin etwas durch den Wind, verzweifel gerade ein wenig.
Bitte warten ..
Mitglied: Komabaer
10.11.2009 um 16:53 Uhr
Du wirst nicht drumherum kommen alle 7 Zonen auf den neuen DNS-Server zu implementieren sonst finden die jeweiligen Clients nicht ihr "Ansprechpartner"

Das mit dem NETLOGON.dns war eine gute Idee, scheint aber leider nicht zu funktionieren.
Was du noch nicht geschrieben hast ist ob die DNS-Server als Mitglied in die Domäne aufgenommen worden sind. (Ich gehe aber man stark davon aus)

Du musst auch den alten DNS-Server nicht zwingend mit dem neuen replizieren. Du musst nur darauf achten das die wichtigen Einträge wie z.b. die beiden DC auch in der Foorward- sowie in der Reverse-Lookupzone enthalten sind und das die Weiterleitung für Anfragen die nicht aufgelöst werden können noch auf die alten DNS-Server zeigen weil es sein kannst das bei sovielen Einträgen gerne mal einer verloren geht.

Übrigens musst du auch aufpassen das die neuen DNS-Server nicht auch AD-integriert sind. Weil wenn dann die DC neu starten werden auch DNS Abfragen nicht mehr beantwortet da die Datenbank nicht zur Verfügung steht. Deshalb ist es meistens sinnvoll den DNS-Dienst auf Primäre Zone umzustellen. Dann jedoch funktioniert die Replikation nicht mehr so einfach weil die Daten auf dem jeweiligen Computer gespeichert werden.

Dann müsstest du auf deinen 2. Server eine Sekundäre Zone einrichten.

Wie du siehst ist DNS kein einfaches Thema
Bitte warten ..
Mitglied: Sammler1972
11.11.2009 um 08:19 Uhr
So, jetzt habe ich die einzelnen Zonen (alle 7) eingetragen.

Zumindest habe ich jetzt Zugriff auf meine eigene Domäne (Hauptdomain am Haupstandort).

Leider habe ich immer noch keinen Zugriff auf die einzelnen Domänen der Außenstellen.

@Komabaer
Ja die Server sind Mitglieder in der Domäne und nein DNS ist auf den beiden neuen nicht AD integriert (geht auch gar nicht, solange sie keine DC's sind).
Und ja, ich arbeite mit primären und sekundären Zonen.
Reverse- und Forward-Lookupzonen beinhalten alle wichtigen Server.

Was das automatisch Eintargen von Clients betrifft, so benutze ich ein Script mit dem Eintrag "ipconfig /registerdns"

Gruß
Sammler1972
Bitte warten ..
Mitglied: Komabaer
11.11.2009 um 09:03 Uhr
Hmm okay dann müssen wir das Thema mehr aufrollen.

Wenn du dich mit einem Client verbindest und nslookup ausführst für eine andere Zone ausführt als die in der der Client vorhanden ist, welche Antwort bekommst du dann?

Ich nehme an die Clients bekommen ihre IP-Adresse per DHCP und du hast im DHCP auch die neuen Server eingetragen?

Ich habe auch eben erst realisiert das du von 7 auf 2 DNS reduzieren willst. Dann solltest du prüfen das die DNS Suffixe richtig eingetragen sind.

Eventuell steht ja in der Host Datei von den Clients die alten DNS-Server. Überprüfe das einmal bitte.
Bitte warten ..
Mitglied: Sammler1972
11.11.2009 um 09:34 Uhr
Hallo Komabaer,

leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.

01.
 
02.
c:\nslookup dc1.hannover.zentrale.local 
03.
 
04.
Server:  dns1.zentrale.local 
05.
Address:  192.168.50.169 
06.
 
07.
Name:    dc1.hannover.zentrale.local 
08.
Address:  192.168.2.100 
09.
 
Suffixe eintragen? Du meinst in den erweiterten IP Einstellungen unter DNS?
Auf dem Server oder dem Client?

Ich habe zwar schon jede Menge DNS Server aufgesetzt (Linux und oder Windows), aber noch nie in der Form.... ^^

Gruß
Sammler1972
Bitte warten ..
Mitglied: Komabaer
11.11.2009 um 15:38 Uhr
Zitat von Sammler1972:
Hallo Komabaer,

leider kein DHCP... Deswegen auch das Script (ipconfig /registerdns)
hosts Datei ist bis auf den Loopbackeintrag leer.

Das heisst du änderst die Einstellungen für den DNS-Server manuell in den Netzwerkeigenschaften?

01.
>  
02.
> c:\nslookup dc1.hannover.zentrale.local 
03.
>  
04.
> Server:  dns1.zentrale.local 
05.
> Address:  192.168.50.169 
06.
>  
07.
> Name:    dc1.hannover.zentrale.local 
08.
> Address:  192.168.2.100 
09.
>  
10.
> 

Ist das die richtige IP-Adresse von einem der neuen DNS-Server?

Suffixe eintragen? Du meinst in den erweiterten IP Einstellungen
unter DNS?
Auf dem Server oder dem Client?

Ja ich meine die in den erweiterten Einstellungen.
Sollte dort keines eingetragen sein, lass die Einstellung bitte auf
"Primäre und verbindungsspezifische DNS-Suffixe anhängen" und auf "Übergeordnete Suffixe des primären DNS-Suffix anhängen"

Ich habe zwar schon jede Menge DNS Server aufgesetzt (Linux und oder
Windows), aber noch nie in der Form.... ^^

Was ist denn hier anders ausser die 7 Zonen? o.o

Gruß

Komabaer
Bitte warten ..
Mitglied: Sammler1972
18.11.2009 um 09:34 Uhr
Nun ja, das andere war/ist, dass der DNS vor der AD installation vorhanden war und in der Regel alle Einträge automatisch generiert wurden (außer bei Linux, da kann man aber die Einträge relativ einfach mit vi in die conf-Files eintragen).

Ich bin noch dabei und habe noch keine Lösung ;)
Bitte warten ..
Mitglied: Komabaer
18.11.2009 um 14:09 Uhr
Wie jetzt nach 7 Tagen noch keine Lösung? Das geht ja mal gar nicht!

DNS ist kein einfaches Thema, deshalb muss man sich damit gut auseinandersetzen.
Am besten ist immer lesen, lesen und nochmals lesen. Nur so versteht man die Zusammenhänge.

Wenn ich noch etwas tun kann sag bescheid. ^^
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (19)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (15)

Link von Penny.Cilin zum Thema Viren und Trojaner ...