Jump to content

Fragen bezügl. DNS und GC


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin neu hier im Forum, wie man sicherlich an meiner Postanzahl erkennen kann ;-)

 

Ich habe folgenden Hinweiß von dem Crack Daim gelesen.

 

Elementar für das AD ist das DNS! DNS muss ordnungsgemäß funktionieren. DNS sollte auf jedem DC installiert werden und die Forward Lookup Zone sollte AD-integriert gespeichert sein. Das erleichtert dir einiges an Arbeit. In den TCP/IP-Einstellungen der DCs sollte jeweils ein anderer DC als primärer DNS-Server eingetragen sein und der DC selbst als zweiter. DHCP darf natürlich nicht der Router sein, sondern ein Windows Server! Den Clients verteilst du dann die bestehenden DCs als DNS-Server. Auch der globale Katalog sollte auf jedem DC aktiviert werden.

 

Nun meine Fragen dazu:

 

Wieso soll man in den TCP/IP-Einstellungen der DCs jeweils den anderen DC als primären DNS-Server eintragen und den eigenen DC als zweiten?!

 

Ich dachte bisher

 

1. Windows wählt zufällig und immer unterschiedlich die DNS-Einträge aus den TCP/IP-Einstellungen bei Anfragen aus und es kann daher zu Problemen kommen..

 

2. Trägt man nicht die IP des Forest bzw. den Haupt-DC als DNS-Weiterleitung in den DNS-Server ein und bei den TCP/IP-Einstellungen nur die Localhost IP? Ich dachte das wäre die richtige Vorgehensweise..

 

 

Warum sollte man den GC auf jedem DC installieren/aktivieren?

Ich dachte der GC ist wie der Name schon sagt nur einmal im Forest vorhanden..

 

Ich bin hier bei dem Aufbau von einer Hauptdomäne (Forest) mit einer weiteren Subdomäne.

Also auch zwei DC im Netzwerk..

 

 

Danke im Voraus!

 

MfG

 

FiSiTrainee

Link zu diesem Kommentar
Hallo,

[...]

Nun meine Fragen dazu:

 

Wieso soll man in den TCP/IP-Einstellungen der DCs jeweils den anderen DC als primären DNS-Server eintragen und den eigenen DC als zweiten?!

 

Ich dachte bisher

 

1. Windows wählt zufällig und immer unterschiedlich die DNS-Einträge aus den TCP/IP-Einstellungen bei Anfragen aus und es kann daher zu Problemen kommen..

 

Nein. Windows fängt beim ersten DNS Server an und nimmt den nächsten, falls dieser nicht erreichbar ist. Wenn man einen Server startet ist der eigene (weil hoffentlich AD-integriert) DNS Server unter Umständen noch nicht funktionsfähig und das bootet dauert länger. Wenn der Server einen weiteren abfragen kann ist das Problemloser.

 

2. Trägt man nicht die IP des Forest bzw. den Haupt-DC als DNS-Weiterleitung in den DNS-Server ein und bei den TCP/IP-Einstellungen nur die Localhost IP? Ich dachte das wäre die richtige Vorgehensweise..

 

Kommt drauf an, wie man sein DNS aufbaut.

Das Problem dabei ist, wenn der "Haupt-DC" nicht erreichbar ist gibt es bei einer Weiterleitung auf Localhost keine Weiterleitung nach außen.

 

Warum sollte man den GC auf jedem DC installieren/aktivieren?

Ich dachte der GC ist wie der Name schon sagt nur einmal im Forest vorhanden..

 

Was meinst du was GC heißt? Global Catalog heißt ja nicht, dass es nur einen gibt, sondern nur, das dieser global zählt.

 

Ich bin hier bei dem Aufbau von einer Hauptdomäne (Forest) mit einer weiteren Subdomäne.

Also auch zwei DC im Netzwerk..

 

Danke im Voraus!

 

MfG

 

FiSiTrainee

Link zu diesem Kommentar

Moin,

 

zu DNS:

faq-o-matic.net » Was muss ich beim DNS für Active Directory beachten? (Reloaded)

 

Zum Global Catalog: Du sitzt da einem Missverständnis auf. Der GC ist keine Single-Master-Funktion, sondern eine Funktion, die für viele Dienste notwendig ist und die man auf allen DCs aktivieren sollte.

 

Zum Subdomänen-Thema siehe auch:

faq-o-matic.net » Welches Domänenmodell ist das Beste für Active Directory?

 

Gruß, Nils

Link zu diesem Kommentar
Nein. Windows fängt beim ersten DNS Server an und nimmt den nächsten, falls dieser nicht erreichbar ist. Wenn man einen Server startet ist der eigene (weil hoffentlich AD-integriert) DNS Server unter Umständen noch nicht funktionsfähig und das bootet dauert länger. Wenn der Server einen weiteren abfragen kann ist das Problemloser.

 

 

Danke euch beiden für die Antworten und Links.

 

Dann war die Info wohl falsch, welche ich im Internet gelesen hatte bezügl. der DNS-Reiheinfolge in den TCP/IP-Einstellungen..

 

In der Firma, in der ich die Ausbildung zum Fachinformatiker mache, möchte halt, dass ich einen neuen Server mit Windows 2008R2 SP1 aufsetze, zwei Domänen anlege und Exchange 2010 SP1 einrichte.

 

Es soll eine Hauptdomäne (erste Domäne im Forest) und eine Subdomäne geben.

D.h. hauptdomain.local und subdomain.hauptdomain.local

Die möchten das, denn für jede weitere Firma die in Zukunft vielleicht noch hinzukommt, soll es eine weitere Subdomäne unter dem Forest bzw. Firmendach geben..

 

 

Noch eine Frage, sollte man eigentlich die Windows Firewall immer deaktivieren?

 

Die macht glaube ich mehr Probleme, als das diese etwas nützt, oder?!

 

Ich meine ich hatte diesen schönen berühmten Fehler "RPC-Server nicht erreichbar" bei einem dcdiag /s:dcserver

Nachdem ich die Windows-Firewall auf den betreffenden DC deaktiviert hatte, gingen die dcdiag Tests ohne Probleme und Fehler durch.. -.- :mad:

Link zu diesem Kommentar

Noch ein paar weitere Fragen die mir beim Lesen eingefallen sind:

 

1. Warum braucht man heut zu Tage immer noch WINS Server?

 

2. "Achtung: Auf keinen Fall einen externen DNS-Server (z.B. den des Providers) bei einem Client eintragen!"

Warum nicht? Was passiert dann? Mit welchen Problemen ist zu rechnen, warum wird davon abgeraten?

 

3. Muss oder sollte man bei weiteren DC (nicht für die Hauptdomäne/den Forest, sondern bei Subdomänen) auch überall die Reverse Lookupzone einrichten, oder genügt das beim Haupt-DC (Forest/Hauptdomäne)?

Link zu diesem Kommentar

Mal ne Zwischenfrage: Ist das eine Testumgebung oder wird das die Produktive Umgebung der Firma?

 

Bei der Windows Firewall: Kommt drauf an.

Sinnvoll ist es schon diese aktiviert zu lassen und dafür sauber zu konfigurieren.

 

Noch ein paar weitere Fragen die mir beim Lesen eingefallen sind:

 

1. Warum braucht man heut zu Tage immer noch WINS Server?

 

Braucht man nicht.

 

2. "Achtung: Auf keinen Fall einen externen DNS-Server (z.B. den des Providers) bei einem Client eintragen!"

Warum nicht? Was passiert dann? Mit welchen Problemen ist zu rechnen, warum wird davon abgeraten?

 

Wenn z.b. der interne DNS Server down ist wird der des Providers abgefragt und man kennt die Internen Server und Clients nicht mehr.

Es kann dann sein, dass, auch wenn der interne Server wieder da ist, immer noch der Provider DNS genutzt wird.

 

Wieso sollte man einen Provider DNS nutzen? Man sollte min. 2 DNS Server nutzen und das sollte an Ausfallsicherheit erst mal reichen.

 

3. Muss oder sollte man bei weiteren DC (nicht für die Hauptdomäne/den Forest, sondern bei Subdomänen) auch überall die Reverse Lookupzone einrichten, oder genügt das beim Haupt-DC (Forest/Hauptdomäne)?

 

Muss nicht (muss man nicht mal bei der "Hauptdomäne") aber würde ich trotzdem immer machen. Schadet ja auch nicht.

Link zu diesem Kommentar
Mal ne Zwischenfrage: Ist das eine Testumgebung oder wird das die Produktive Umgebung der Firma?

 

Im Moment noch auf drei Hyper-V Maschinen als Testumgebung, wenn dort alles klappt, geht es in die Produktiv-Umgebung (Läuft im Moment auf alten Servern mit Windows 2003 und Exchange 2003..)

 

Bei der Windows Firewall: Kommt drauf an.

Sinnvoll ist es schon diese aktiviert zu lassen und dafür sauber zu konfigurieren.

 

Warum macht das Windows Server nicht automatisch?

Ich meine alles andere trägt Windows doch auch selbstständig als Ausnahmeregeln in die Firewall ein..

 

Ich erwarte, das alles funktioniert, wenn ich Rollen standardmäßig installiere und nicht dass irgendwas wie der RPC-Server dann nicht mehr erreichbar ist, was man nur herausfindet wenn ein Fehler auftritt oder man dcdiag ausführt.. :mad:

 

 

Muss nicht (muss man nicht mal bei der "Hauptdomäne") aber würde ich trotzdem immer machen. Schadet ja auch nicht.

 

D.h. es gibt keine Probleme, wenn ich bei jedem DC auch immer die gleiche Reverse-Lookup-Zone einrichte..? Dann ok!

Link zu diesem Kommentar
......Warum braucht man heut zu Tage immer noch WINS Server? [/quote

 

Ich benötige WINS für Drucker, die kein DNS können.

 

2. "Achtung: Auf keinen Fall einen externen DNS-Server (z.B. den des Providers) bei einem Client eintragen!"

Warum nicht? Was passiert dann? Mit welchen Problemen ist zu rechnen, warum wird davon abgeraten?

 

Der externe DNS kennt die Rechner des lokalen Netzwerkes nicht - er weiß nicht einmal etwas von dem lokalen Netzwerk - er kann also auch keine Auflösung der Namen in Adressen der Rechner des LAN vornehmen. Eine Anfrage nach draussen führt also zu keinem Ergebnis und zu einer Verzögerung.

bearbeitet von lefg
Link zu diesem Kommentar

Moin,

 

Die möchten das, denn für jede weitere Firma die in Zukunft vielleicht noch hinzukommt, soll es eine weitere Subdomäne unter dem Forest bzw. Firmendach geben..

 

kann man machen, ist aber nicht mehr Stand der Technik. Siehe den von mir verlinkten Artikel.

 

Noch eine Frage, sollte man eigentlich die Windows Firewall immer deaktivieren?

 

Nein. Die lässt man an und konfiguriert sie richtig.

 

Die macht glaube ich mehr Probleme, als das diese etwas nützt, oder?!

 

Oder. Sprich: Nein, tut sie nicht, wenn man es richtig macht.

 

Nachdem ich die Windows-Firewall auf den betreffenden DC deaktiviert hatte, gingen die dcdiag Tests ohne Probleme und Fehler durch.. -.- :mad:

 

Hatte ich noch nie. Muss wohl was falsch laufen bei dir. Spricht aber nicht gegen die Firewall als solche, sondern nur dafür, dass sie halt falsch konfiguriert war.

 

1. Warum braucht man heut zu Tage immer noch WINS Server?

 

faq-o-matic.net » Brauche ich noch WINS, wenn ich ein AD betreibe?

 

2. "Achtung: Auf keinen Fall einen externen DNS-Server (z.B. den des Providers) bei einem Client eintragen!"

Warum nicht? Was passiert dann? Mit welchen Problemen ist zu rechnen, warum wird davon abgeraten?

 

Woher soll der Provider deine internen Server kennen?

Wie man es richtig macht, steht ja in meinem Artikel dabei.

 

Warum macht das Windows Server nicht automatisch?

 

Das, was du meinst, funktioniert normalerweise von selbst. Warum es bei dir nicht geht, kann man aus der Ferne nicht sagen.

 

Ich erwarte, das alles funktioniert, wenn ich Rollen standardmäßig installiere und nicht dass irgendwas wie der RPC-Server dann nicht mehr erreichbar ist, was man nur herausfindet wenn ein Fehler auftritt oder man dcdiag ausführt.. :mad:

 

Mal immer ruhig Blut. Die Aufgabe eines FISI ist nicht, irgendetwas zu erwarten, sondern bei Problemen in Ruhe nach einer sinnvollen Lösung zu suchen.

 

D.h. es gibt keine Probleme, wenn ich bei jedem DC auch immer die gleiche Reverse-Lookup-Zone einrichte..? Dann ok!

 

Äh ... nein, ganz so nicht. DIe RLZ müssen natürlich aufeinander abgestimmt sein. Du könntest sie z.B. einmal anlegen und im Forest replizieren. Oder du segmentierst sie und replizierst pro Segment. Das ist dann eine Designfrage.

 

AD ist so komplex, dass du dir deutlich mehr Zeit nehmen solltest. Und: Bevor deine Firma ein überkomplexes Design baut, sollte sie lieber noch etwas Muße in den Entwurf stecken.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

......Warum braucht man heut zu Tage immer noch WINS Server?

 

Ich benötige WINS für Drucker, die kein DNS können.

 

 

Ok, danke :)

 

Moin,

 

 

 

Nein. Die lässt man an und konfiguriert sie richtig.

 

 

 

Oder. Sprich: Nein, tut sie nicht, wenn man es richtig macht.

 

 

Hatte ich noch nie. Muss wohl was falsch laufen bei dir. Spricht aber nicht gegen die Firewall als solche, sondern nur dafür, dass sie halt falsch konfiguriert war.

 

Ok, gibt es auch eine schöne Portliste oder sowas bei dir auf der Seite, damit ich weiß wie ich die Firewall richtig konfigurieren soll?

Denn ich habe Sie gar nicht konfiguriert, ich habe mich darauf verlassen, dass Windows Server bei der Installation der Rollen, die entsprechenden Freigaben automatisch setzt..

 

Ich habe auch nix besonderes gemacht, alles Standardinstallation..

 

 

Äh ... nein, ganz so nicht. DIe RLZ müssen natürlich aufeinander abgestimmt sein. Du könntest sie z.B. einmal anlegen und im Forest replizieren. Oder du segmentierst sie und replizierst pro Segment. Das ist dann eine Designfrage.

 

Ok, gibt es dafür auch einen Artikel? Ansonsten Google ich mal danach..

 

Bei mir ist es alles wie gesagt standardmäßig mit dcpromo installiert.

D.h. erst Root-Domain (neuer Forest), DNS AD-integriert, GC.

 

Dann zweiten DC aufgesetzt, Root-domain bei dcpromo angegeben, Subdomain dazu erstellen lassen, DNS dabei, GC nicht. (Habe ich ja jetzt erfahren, dass man ihn trotzdem überall installieren bzw. aktivieren sollte..)

 

Danach habe ich erst die Reverse-Lookup-Zone im Root-DC (Forest) hinzugefügt und eingetragen..(Vielleicht ein Fehler? Sollte man zuerst machen, bevor eine neue Subdomain mit neuen DC erstellt wird..?)

 

Dynamische Updates steht auf nur sichere, Replikation steht auf alle DNS-Server in dieser Domäne..

 

Vielleicht muss/sollte man auch noch zusätzlich die Zonenübertragung zulassen?

 

AD ist so komplex, dass du dir deutlich mehr Zeit nehmen solltest. Und: Bevor deine Firma ein überkomplexes Design baut, sollte sie lieber noch etwas Muße in den Entwurf stecken.

 

Gruß, Nils

 

Ja das weiß ich, nur leider akzeptiert das mein Chef nicht und es ist eine relativ kleine Firma, ne WebAgentur und mein Chef möchte das Thema so schnell wie möglich durchhaben, da dort auch der neue Exchange-Server drauf soll und er es dringend haben möchte.

 

D.h. mit Muße ist da nicht viel..Natürlich weiß ich das dies verkehrt und der falsche Ansatz ist, gerade bei AD.

 

Jedoch ist dies mein erstes Projekt in der Firma und ich habe seit kurzem erst hier angefangen..

 

Wenn die Geschichte läuft, dann werde ich mich damit richtig auseinander setzen, auch ein zwei Bücher kaufen.

 

MfG

 

FiSiTrainee

Link zu diesem Kommentar

Moin,

 

Wenn die Geschichte läuft, dann werde ich mich damit richtig auseinander setzen, auch ein zwei Bücher kaufen.

 

äh - du hast doch auch nicht angefangen, mit dem Auto auf der Autobahn zu fahren, bevor du in der Fahrschule warst, oder?

 

Euer Design mit den Subdomains ist unnötig komplex und fehlerträchtig, du bist auf Probleme gestoßen, dir fehlen Grundlagenkenntnisse und du bist dabei, eine nicht empfohlene Exchange-Konfiguration zu bauen. Wenn das so weitergeht, wirst du für deine Bücher nicht viel Zeit finden.

 

Das soll keine Überheblichkeit sein, sondern dir die vorhandenen Grenzen aufzeigen, damit du rechtzeitig reagieren kannst. Niemand hier erwartet von dir Expertenkenntnisse, aber mit dem vorhandenen Stand wirst du sehr wahrscheinlich in eine Reihe von Problemen laufen.

 

Nur meine 0,02 EUR,

 

Nils

PS. Deinen Board-Namen deute ich so, dass du Azubi bist? Dann wäre es vom Chef mindestens fahrlässig, dich mit dem Aufbau eines produktiven Netzwerks zu betrauen ...

Link zu diesem Kommentar

Ja ich bin Azubi und habe vor kurzem angefangen..

 

Fahrlässig kann sein, aber als Azubi kann man nicht soviel bestimmen..

 

Und nein, da habt ihr mich falsch verstanden, der Exchange kommt nicht zusammen auf einen Server mit DC..

 

Es gibt bisher drei Hyper-V Maschinen: Windows 2008R2 SP1 Root-DC (Forest), Windows 2008R2 SP1 Sub-DC (Subdomäne), Windows Server 2008 R2 SP1 nur mit Exchange Server 2010 SP1.

 

Ich bin noch dabei einige verlinkte Seiten zu lesen, aber habe schon wieder paar Fragen:

 

- Ich habe jetzt die zwei DC in den Client-DNS Einstellungen gegenseitig wie hier empfohlen eingestellt.

Bei dem DC für die Subdomäne habe ich aber weiterhin die IP Weiterleitung im DNS-Server auf den ersten DC (Forest) eingestellt gelassen, so korrekt?

 

- Wann sollte man sekundäre Zonen eintragen?

Bei meiner Konstellation sinnvoll/nötig?

 

- Zitat: "When referencing a DNS server on itself, a DNS client should always use a loopback address and not a real IP address."

Ja was denn nun? Es wird doch immer empfohlen die richtige IP von dem Server und eben nicht die 127 loopback, welche dcpromo einträgt, zu benutzen..??!

 

- Zitat: "Make sure that the infrastructure master role is not on a global catalog server. " Exchange Server 2003 and Exchange 2000 Server require NetBIOS name resolution for full functionality

Warum? Und wie anders lösen?

 

Ich bin gerade dabei mich bei WINS einzulesen und werde es dann doch einrichten, schadet ja nicht.. ;-)

Link zu diesem Kommentar

Moin,

 

Fahrlässig kann sein, aber als Azubi kann man nicht soviel bestimmen..

 

hoffentlich weiß dein Chef, dass er von einem frischen Azubi objektiv nicht die Leistung eines High-End-Consultants erwarten kann. Im Zweifel könnte es sein, dass du den Ärger an der Backe hast für etwas, was du gar nicht leisten konntest ...

 

Und nein, da habt ihr mich falsch verstanden, der Exchange kommt nicht zusammen auf einen Server mit DC..

 

OK.

 

Es gibt bisher drei Hyper-V Maschinen: Windows 2008R2 SP1 Root-DC (Forest), Windows 2008R2 SP1 Sub-DC (Subdomäne), Windows Server 2008 R2 SP1 nur mit Exchange Server 2010 SP1.

 

Wie - Hyper-V-Maschinen? Die aufgezählten Server sind VMs innerhalb eines Hyper-V-Hosts?

 

Bei dem DC für die Subdomäne habe ich aber weiterhin die IP Weiterleitung im DNS-Server auf den ersten DC (Forest) eingestellt gelassen, so korrekt?

 

Im Prinzip schon. Details sind Designsache und hier nicht "mal eben" zu klären.

 

- Wann sollte man sekundäre Zonen eintragen?

Bei meiner Konstellation sinnvoll/nötig?

 

Da du vermutlich mit AD-integrierten Zonen arbeitest: Gar nicht.

 

Ja was denn nun? Es wird doch immer empfohlen die richtige IP von dem Server und eben nicht die 127 loopback, welche dcpromo einträgt, zu benutzen..??!

 

Die Real-IP-Empfehlung ist veraltet. (Steht auch in meinem Artikel.)

 

- Zitat: "Make sure that the infrastructure master role is not on a global catalog server. "

 

Auch veraltet.

 

faq-o-matic.net » Globaler Katalog vs. Infrastruktur-Master

 

Mach alle DCs in allen Domänen zu GCs. Fertig.

(Und: Sieh zu, dass du von diesem Subdomänen-Konzept wegkommst!)

 

Bin gerade dabei mich bei WINS einzulesen und werde es dann doch einrichten, schadet ja nicht.. ;-)

 

Wenn man es richtig macht, schadet es nicht.

 

Gruß, Nils

Link zu diesem Kommentar
Moin,

 

hoffentlich weiß dein Chef, dass er von einem frischen Azubi objektiv nicht die Leistung eines High-End-Consultants erwarten kann. Im Zweifel könnte es sein, dass du den Ärger an der Backe hast für etwas, was du gar nicht leisten konntest ...

 

Das hoffe ich auch..

 

Wie - Hyper-V-Maschinen? Die aufgezählten Server sind VMs innerhalb eines Hyper-V-Hosts?

 

Na klar ist ja eine Testumgebung..

Wenn es da funktioniert, kommt der Sub-DC und Exchange jeweils in eine eigene Hyper-V Maschine auf dem Host, der auch der Haupt-DC (Forest) wird.

 

Die Real-IP-Empfehlung ist veraltet. (Steht auch in meinem Artikel.)

 

Da steht: "In den DNS-Client-Einstellungen des DNS-Servers sollten stets reale IP-Adressen eingetragen werden; die Loopback-Adresse 127.0.0.1, die der dcpromo-Assistent einträgt, sollte durch die echte Adresse ersetzt werden.

(Achtung, diese Empfehlung ist umstritten. So spricht Microsofts Support oft eine gegenteilige Empfehlung aus. Da unsere Empfehlung auf Problemen beruht, die vor mehreren Jahren beobachtet wurden"

 

Also umstritten, nicht veraltet..

Und die IP der DC bleiben gleich..!

 

 

Mach alle DCs in allen Domänen zu GCs. Fertig.

 

Ok.

 

 

Wenn man es richtig macht, schadet es nicht.

 

Wie man es richtig macht, steht dann wohl hier, oder?:

faq-o-matic.net » Wie sollte WINS konfiguriert werden?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...