Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Erstellung von Domänen

Frage Microsoft Windows Server

Mitglied: gnoovy

gnoovy (Level 1) - Jetzt verbinden

01.08.2009, aktualisiert 11:22 Uhr, 4140 Aufrufe, 11 Kommentare

Fragestellung ob Vorgehensweise bei Domänenerstellung so korrekt oder ob es andere / bessere Wege gibt. Ist sehr wichtig für baldiges Projekt

hi zusammen,

habe eine Domäne winnet.local mit untergeordneter Domäne de.winnet.local und eine neue Domäne in separater Struktur contoso.local erstellt. Meine Frage ist nun ob so korrekt oder ob ihr was anders / besser machen würdet.


Folgende Domänencontroller sind den Domänen und somit 3 Subnetzen zugeordnet
winnet.local:
dc1.winnet.local
IP: 192.168.100.33 / 255.255.255.224

de.winnet.local
dc2.de.winnet.local
IP: 192.168.100.65 / 255.255.255.224

contoso.local
dc3.contoso.local
IP: 192.168.100.97 / 255.255.255.224

von winnet.local habe ich im dns eine Delegierung in der Forward-Lookup-Zone auf de.winnet.local erstellt. Von de.winnet.local eine normale Weiterleitung zu winnet.local. Zwischen winnet.local und contoso.local habe ich jeweils Weiterleitungen im dns eingerichtet.
Die Reverse-Lookup-Zone habe ich unter winnet.local erstellt und als Replizierung den Punkt "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur "winnet.local"" gewählt, damit diese auf die anderen Domänen repliziert wird. Die anderen Server der anderen Domänen haben die Reverse-Lookup-Zonen auch erhalten und sich dort eingetragen.

Erstellung der Domänen mit dcpromo über Start-Ausführen-dcpromo.

Router:
Da für jede Domäne ein eigenes Subnetz eingerichtet wurde habe ich zur Kommunikation zwischen den Subnetzen einen Router auf einer separaten Maschine mittels Routing und Ras konfiguriert. Bei Installation habe ich "Lan-Routing" und "NAT" unter benutzerdefinierten Einstellungen gewählt, da mein Router neben den Netzwerkkarten mit einer IP-Adresse und Subnetz-Mask der jeweiligen Subnetze auch eine Netzwerkkarte besitzt welches in ein Netz mit Internet-Router besitzt. Dadurch können die Server / Clients aller Subnetze ebenfalls ins Internet.
Den Router habe ich in die Domäne winnet.local integriert
Mitglied: Yusuf-Dikmenoglu
01.08.2009 um 14:45 Uhr
Warum stellst du deine Frage zusätzlich noch in diesem Bord, wenn du es schon woanders gestellt hast.

[Erstellung von Domänen - MCSEboard.de MCSE Forum]
http://www.mcseboard.de/windows-forum-allgemein-28/erstellung-domaenen- ...


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: gnoovy
01.08.2009 um 15:19 Uhr
hi daim oder yusuf

naja sind doch unterschiedliche boards oder? Denke nicht, dass alle User eines Forums auch automatisch in den restlichen Foren gleicher Art anzutreffen sind. Demnach erhöhen sich doch die Chancen einer Antwort wenn man Hilfe in mehreren Foren sucht. Oder sehe ich das falsch?
Bitte warten ..
Mitglied: RedRabbit
01.08.2009 um 19:02 Uhr
liest sich soweit ganz gut, wenn du jedoch alle Domänen unter deiner Herrschaft hast würde ich persönlich mit Stubzonen arbeiten statt mit Weiterleitungen, dann brauch man sich um die ganzen DNS-Server-IPs nicht mehr grossartig kümmern und kann auch ein paar dazustellen oder auch beliebig ändern, das Eintragen der Änderungen erfolgt dann über die normale AD-Replikation. Da wenn ich das ganze richtig gelesen habe, der ganze DNS-Kram AD-integriert ist, hast du mit der Replizierung keine grossartigen Probleme. Weiterleitungen würde ich dann nur in fremde Netze benutzen. Das erspart einem später bei der Änderung der Struktur Arbeit und macht die ganze Sache im alltäglichen Gebrauch etwas einfacher, wenn man nicht so drauf steht ständig auf sein DNS zu achten. Ob man ne Reverse-Lookup so zwingend braucht sei mal dahingestellt, in 90% der Fälle kommt man ohne sie aus, ich wüsste jedenfalls nicht, wo es so oft vorkommt, daß man IP in Namen übersetzen soll, der übliche Weg is ja nur das umgekehrte. Aber schaden tut sie auch nix.

Eigene Grundregel, bin bisher gut mit zurecht gekommen: selbst verwaltete DNS-Zonen: Verknüpfung mittels Stubzonen; fremde Zonen: Weiterleitungen.
Bitte warten ..
Mitglied: VW
01.08.2009 um 22:02 Uhr
Moin,

Hier mal ein paar Fragen dazu:
  1. In welcher Beziehung stehen die Domänen denn Firmen-Rechtlich zueinander?
  2. Warum hast du zwei Gesamtstrukturen erstellt?
  3. Warum verwendest du so öaußergewöhnlich kleine Subnetze mit unübersichtlichen IP-Bereichen? Hast du nur das 192.168.100.0/24 Subnetz zur verfügung? Ich würde nach Möglichkeit mit /24er Subnetzmasken arbeiten.
  4. Replizierst du die Reverst-Lookup Zone auch irgendwie auf die Domäne contoso.local, die ja laut deinem Einleitungssatz in einer anderen Gesamtstruktur steckt?
  5. Wohin machst du NAT? Hoffentlich nur Richtung Internet!

Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: gnoovy
02.08.2009 um 22:41 Uhr
Hi RedRabbit,

wow vielen Dank für die Antwort. Eine kleine Problematik ist mir noch aufgefallen und hatte sie folgendermaßen gelöst:
Hatte gemerkt, dass es manchmal Probs bei Replizierung zwischen de.winnet.local und contoso.local gab. de.winnet.local konnte per nslookup keine dns-Anfragen an contoso.local schicken. Erst als ich unter de.winnet.local eine DNS-Weiterleitung an contoso.local eingerichtet hatte, hat alles wunderbar funktioniert und es kamen auch keine Fehler mehr. Ist das normal, dass man hier eine extra Weiterleitung machen muss? Vor allem weil ich unter winnet.local und contoso.local jeweils Weiterleitungen konfiguriert habe und de.winnet.local ist ja die untergeordnete Domäne von winnet.local??

Kannst du mir zusätzlich evtl eine Anleitung schicken wie das mit den Stubzonen dann genau funktioniert?
So dritte und letzte Frage:
Habe ja oben noch einen Router erwähnt. Ist das normal, dass wenn man nur lan-routing konfiguriert er und die anderen Rechner aus den einzelnen Subnetzen nicht ins Internet können? Das Subnetz, in welchem der Fritz!Box-Router steht, lautet 192.168.178.0/24. Konnte den Router mit IP 192.168.178.254 nicht pingen, nichts. Erst als ich zusätzlich NAT eingerichtet hatte, hatte ping und Internet, etc. problemlos geklappt. Auf meinem Router habe ich die Netzwerkkarte für dieses Subnetz mit IP: 192168.178.199 und als Gateway / DNS die 192.168.178.254 eingetragen.
Bitte warten ..
Mitglied: gnoovy
02.08.2009 um 22:57 Uhr
Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung konfiguriert und dient in erster Linie der Wissenserweiterung falls mal eine solche Konstellation auf mich zukommen sollte und für mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige. Neben meinem Beruf ist dieses Thema auch meine große Leidenschaft und ich möchte soviel wie möglich darüber wissen und testen.

4. Die Reverse-Lookup-Zone hatte ich auch auf contoso.local repliziert.
5. Habe NAT mittels Routing und RAS konfiguriert und unter "NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box, also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so richtig sein, oder?
5.1 Unter Netzwerkkarteneigenschaften habe ich die Option "An das Internet angeschlossene,..." und NAT / Firewall aktivieren gewählt
Bitte warten ..
Mitglied: VW
02.08.2009 um 23:06 Uhr
Zitat von gnoovy:
Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung
konfiguriert und dient in erster Linie der Wissenserweiterung falls
mal eine solche Konstellation auf mich zukommen sollte und für
mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige.
Neben meinem Beruf ist dieses Thema auch meine große
Leidenschaft und ich möchte soviel wie möglich darüber
wissen und testen.
Ohne mich jetzt mit Gesamtstruktur-übergreifenden Berechtigungen und Vertrauensstellungen auszukennen, würde ich sagen, dafür sollte das eine gute Möglichkeit sein. Alternativ könnte man natürlich noch eine gemeinsame Gesamtstruktur mit verschiedenen Domains nehmen.
5. Habe NAT mittels Routing und RAS konfiguriert und unter
"NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box,
also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so
richtig sein, oder?
Klingt gut.
5.1 Unter Netzwerkkarteneigenschaften habe ich die Option "An
das Internet angeschlossene,..." und NAT / Firewall aktivieren
gewählt
Klingt auch gut.
Bitte warten ..
Mitglied: gnoovy
02.08.2009 um 23:22 Uhr
supi... nur warum konnte mein router nicht auch schon vorher in das Subnetz meiner Fritz!-Box routen? Ist doch nichts anderes wie die anderen Subnetze oder?
Bitte warten ..
Mitglied: RedRabbit
02.08.2009 um 23:41 Uhr
Nein die Weiterleitung ist nicht normal...da hatte ich was vergessen zu erwähnen beziehungsweise als selbstverständlich vorausgesetzt^^. Du musst in den Einstellungen der DNS-Zonen die Replizierung an die jeweils anderen Zonen erlauben. Hab den Server jetzt nicht vor mir, aber wenn ich mich richtig erinnere (2 Tage nich vor der Kiste sitzen und schon wieder alles vergessen :D ), musst du in den Eigenschaften deiner Zone im Reiter Zonenübertragung (W2k3 bzw W2k8) nen Haken setzen bei "Zonenübertragung zulassen"(oder so ähnlich) und die jeweils anderen beiden DNS-Zonen eintragen. Ansonsten ist die Replikation nicht erlaubt und findet somit auch nicht statt ;)

Die Replikation selber erfolgt nur im normalen Takt der AD-Replikation. Wenn du da etwas neu konfigurierst kann es schon mal ne Weile dauern bis das auf den anderen Servern angekommen ist. Zonen neu laden beschleunigt das zwar, aber es kann auch damit durchaus 5-10 Minuten dauern bis alles überall angekommen ist.

Ich guck morgen mal ob ich irgendwo nen Tutorial finde zum Thema DNS und Stubzonen.
Bitte warten ..
Mitglied: RedRabbit
03.08.2009 um 00:09 Uhr
Kann es sein, da du in den Domänen ne Subnetzmaske 255.255.255.224 hast, das du die versehentlich auch in der externen Schnittstelle des NAT-Routings auf dem Server eingetragen hast? Die Fritzbox mag solche Subnetzmasken nämlich überhaupt nicht, die besteht immer auf ne /24er Maske. Ansonsten müsste es so eigentlich hinhauen aus der Ferne betrachtet.
Bitte warten ..
Mitglied: VW
03.08.2009 um 00:21 Uhr
Ohne NAT weiß deine Fritzbox nicht, wie sie das Netz erreichen soll, da sie das Subnetz ja nicht selber angeschlossen hat. Da 192.168.* nicht in das Internet weitergeleitet werden darf, verwirft die Fritzbox die Pakete einfach, statt diese auf das eigene Default Gateway (dein ISP) zu routen.

Du müsstest ohne NAT also in der Routing-Tabelle deiner FritzBox das Subnetz 192.168.100.0/24 (somit deckst du alle 3 Netze ab) auf deinen Windows-Router weiterleiten.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Windows 10
gelöst Windows 10 - Domänen Benutzerprofil reparieren (2)

Frage von cuilster zum Thema Windows 10 ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Windows Netzwerk
gelöst 2 Domänen - Welcher Rechner ist in welcher aktiv (3)

Frage von psch1991 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...