tomtom2 10 Geschrieben 23. Juli 2003 Melden Teilen Geschrieben 23. Juli 2003 bin auf der suche nach folgender antwort zum thema DNS im AktivDir Umfeld. folgends problem: die migration zu w2k soll vollzogen werden. es gibt unter w2k bereits eine dns infrastuktur ohne AD. welche argumente können/sollen in betracht gezogen werden, die dns-dienste nicht im Aktiv Directory zu implementieren. Tipps und Infos werden gerne aufgegriffen. Gruß Tom Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 23. Juli 2003 Melden Teilen Geschrieben 23. Juli 2003 Hallo.. der DNS ist ein essentieller bestandteil der ADS. es gibt keine möglichkeit diese sachen zu trennen. RTFM Die Clients finden ihren DC über die DNS etc etc.. Ich empfehle euch vor der installation der Active Directory euch noch intensive in das Thema einzulesen. Es ist ein sehr großer Schritt von ner NT Domäne zu W2K. Wir waren damals auch zu voreilig.. ;-) MFG a.jakob Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 23. Juli 2003 Melden Teilen Geschrieben 23. Juli 2003 eine ads intergoerte Zone ist besser, weil sie auch automatisch auf andere dc´s dupliziert wird !!!! wenn du "nur" einen memeber server als DNS (primär) server nutzen möchtest, wirst du mächtige probs bekommen !!! ausserdem kannst du keine gesicherte aktualisierung machen, das geht nur mit ads ( oder ab Bind 8.1.2) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. Juli 2003 Melden Teilen Geschrieben 23. Juli 2003 wenn du "nur" einen memeber server als DNS (primär) server nutzen möchtest, wirst du mächtige probs bekommen Ich nehme an, die Betonung lag dabei auf dem Wörtchen einen. Ansonsten sehe ich keine Probleme mit einem DNS auf einem Member Server. Aber ein ADS-integrierter DNS-Server ist auch ein Problem, wenn er ausfällt. ausserdem kannst du keine gesicherte aktualisierung machen, das geht nur mit ads ( oder ab Bind 8.1.2) BIND kann keine gesicherte Aktualisierung zulassen, da BIND kein Acitve Directory hat. Gesicherte Aktualisierungen gehen nur mit ADS-intergrierten Zonen, und die gibt es nur auf einem Windows 2000/2003 DC. -------------SNIP--------- Also, was bringt eine ADS-integrierte Zone? Antwort: - Einen quasi "Multi Primären" DNS, da die DNS-Zoneneinträge im ADS liegen und jeder DC ein voll beschreibbares Replikat der ADS hat, damit auch überall die DNS Zone geändert werden kann. - Man muss sich nicth um Replikationszeiten und ~Mechanismen kümmern, die über den SOA einzustellen sind, denn die Replikation der DNS-Zonen erfolgt über die normale ADS-Replikation. - Es sind gesicherte Aktualisierungen möglich - Der Zonentransfer ist automatisch verschlüsselt, das die ADS-Replikation immer verschlüsselt erfolgt. Aber du hattest ja Argumente gegen die Integration des DNS in ADS gesucht. Ich habe keine grizzly999 Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Original geschrieben von grizzly999 Ich nehme an, die Betonung lag dabei auf dem Wörtchen einen. Ansonsten sehe ich keine Probleme mit einem DNS auf einem Member Server. Aber ein ADS-integrierter DNS-Server ist auch ein Problem, wenn er ausfällt. BIND kann keine gesicherte Aktualisierung zulassen, da BIND kein Acitve Directory hat. Gesicherte Aktualisierungen gehen nur mit ADS-intergrierten Zonen, und die gibt es nur auf einem Windows 2000/2003 DC. > BIND kann gesicherte Aktualisierungen zulassen. > Das ist keine Fähigkeit des ADS sondern des DNS-Servers! > Die ADS Einträge werden im BIND genauso abgelegt wie im >2000/2003 DNS-Server. -------------SNIP--------- Also, was bringt eine ADS-integrierte Zone? Antwort: - Einen quasi "Multi Primären" DNS, da die DNS-Zoneneinträge im ADS liegen und jeder DC ein voll beschreibbares Replikat der ADS hat, damit auch überall die DNS Zone geändert werden kann. > Ist die Frage ob man das will ;) - Man muss sich nicth um Replikationszeiten und ~Mechanismen kümmern, die über den SOA einzustellen sind, denn die Replikation der DNS-Zonen erfolgt über die normale ADS-Replikation. > Tja ja auch unter 2000/2003 läuft das noch nicht so optimal ;) - Es sind gesicherte Aktualisierungen möglich - Der Zonentransfer ist automatisch verschlüsselt, das die ADS-Replikation immer verschlüsselt erfolgt. Aber du hattest ja Argumente gegen die Integration des DNS in ADS gesucht. Ich habe keine > Weiss auch nicht wieso man das machen sollte ;) > Habs gemacht um zu probieren ob es Probleme damit gibt > und es lief einwandfrei. grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Hallo Roi, könntest du dein posting nochmal editieren, und die quotes verändern. Ist wirklich schwer zu lesen und auseinanderzuhalten, wenn alles im Zitatfenster erscheint. Aber zur Sache: Du schreibst: BIND kann gesicherte Aktualisierungen zulassen Sag mir bitte wie. Du bist der einzige auf der ganzen weiten Welt, der das könnte. Oder ich glaube, du weisst nicht, von was ich rede?! Du schreibst: Ist die Frage ob man das will (Mulit prim. DNS) Jo, hast du Recht, aber warum sollte man das nicht wollen??? Überall, wirklich überall, steckt man Kohle rein, um Systeme (Platten, Switches NICs, etc etc etc) redundant zu machen, und dann bietet MS eine kostenlose Möglichkeit, einen SOF weniger zu haben, warum sollte man das nicht wollen? Aber jedem das seine... Du schreibst: Tja ja auch unter 2000/2003 läuft das noch nicht so optimal Was läuft nicht optimal? Die AD-Replikation? Oder der in ADS integrierte DNS? grizzly999 Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 *lol* Vielleicht der einzige hier ;) aber nicht auf der Welt :) zone "anet.auckland.ac.nz"{ type master; file "anet.auckland.ac.nz"; allow-update { 130.216.4.60; }; }; wobei die IP-Adresse der DC sein sollte wenn die Clienets auch updaten sollen sind sie hier ebenfalls anzuhängen. Das sollte es gewesen sein. Das mit den Zitaten muss ich noch üben. Komme mit dem Board nicht ganz klar ;) Gruß, Roi Danton Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Noch zu der Message... Nach einem Reboot des DC´s (es würde möglicherweise auch ipconfig /registerdns ausreichen) trägt der DC seinen ADS Kram ein. Einschliesslich aller Protokolle etc. Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 und nochmal! Weil ich ja ein fleissiger kleiner bin ;) http://www.linux-mag.com/2001-03/bind_01.html Ein link für jeden der des eglischen mächtig ist. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Hallo ROI, hast du den Thread und meine Posts aufmerksam gelesen es geht die ganze Zeit nicht um "dynamische Aktualisierungen", das kann BIND seit Version 8.1.2, sondern es geht um "gesicherte dynamische Aktualisierungen" (engl.: secure dynamic update). Das ist das Häkchen, das man beim Microsoft DNS Server in den Zoneneigenschaften nur dann setzen kann, wenn die Zone ADS-integriert ist. Dabei können nur diejenigen Clients dynamisch in die Zone eingetragen werden, die vom DNS vorher als in der ADS-DB bekannt authentifiziert wurden. Jetzt nochmal meine Frage, wie macht das BIND? grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Danke für den guten link. Hat sich mit meinem Posting überschnitten. Dort lese ich gaaanz am Ende folgendes (wichtige Stellen von mir fett formatiert): ------------------FROM ARTICLE------------------ How does Microsoft avoid this mess? They use "Secure Dynamic Updates," which carry with them the identity of the updater. The Microsoft DNS Server can then make sure, for example, that only the DHCP client that added a given A record can later delete it and add another A record to that domain name. Microsoft's "Secure Dynamic Updates" are really just standard dynamic updates with transaction signatures (TSIGs), as specified in RFC 2845 (http://www.ietf.org/rfc/rfc2845.txt). Unfortunately, the particular dialect of TSIG that Windows 2000 clients and name servers speak, GSS-TSIG, is not presently spoken by any other name servers. By the way, the "GSS" in "GSS-TSIG" is the same "GSS" in "GSSAPI," the Generic Security Service API. GSSAPI is an IETF standard API that provides a uniform, high-level API to security services like authentication and confidentiality. That may change with a future version of BIND 9. BIND 9 is scheduled to support GSS-TSIG in a future release. Once it does, you'll be able to use BIND 9's new update-policy mechanism to determine which domain names and records in a zone a particular TSIG key has authority to update. This would make our solution much simpler. To whet your appetite for GSS-TSIG support in BIND, Figure Eight illustrates a configuration that would ensure that only the Domain Controller could update the SRV records in the zone and that DHCP clients could only update those address records that are attached to their own domain names. For now though, we will have to be satisfied with the solutions that we have, inelegant as they may be. What's important, however, is that you can safely use BIND to service a Windows 2000 environment -------------------------- grizzly999 Zitieren Link zu diesem Kommentar
ItAzubi 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Hi Tomtom2 weil du so durch die gesicherten Aktualisierungen der Zonen sicher gehen kannst, dass keine unauthorisierten Rechner ihren Müll in deinen Zonen ablegen. Dies geht aber nur mit AD integrierten Zonen. Weiterhin hast werden die Zonen auf alle anderen DNS Server repliziert von denen du ja immer mind. 2 haben solltest wegen Fehlertolleranz usw. Was ist mit dem DNS Diensten? Du weist das du DNS für die Authentifizierung deiner USer wie z.B. für LDAP und KDC Abfragen an AD brauchst? Wäre doch doof wenn die Clients nicht die richtigen Dienstserver finden können bzw. sich unsicher über NTLM anstatt Keberos anmelden müssten. Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 ah verstehe ;) sorry! das macht bind dann in begrenztem masse. sieste ja an der konfiguration. geht halt nur nicht über den schönen button in irgend nem fenster. Du must halt alle IP-Adressen selbst eintragen. Ich denke das ist dann gesichert oder ? Zitieren Link zu diesem Kommentar
ItAzubi 10 Geschrieben 24. Juli 2003 Melden Teilen Geschrieben 24. Juli 2003 Ja wenn man es so sieht und sich Cients nicht automatisch eintragen ist die Kiste wohl auch sicher,aber bestimmt mehr Aufwand denke ich wenn alle IPs selbst eingetragen werden. ICh weis nur nicht wie dann die AD LDAP Abfragen laufen, aber wahrscheinlich unterstützt BIND das auch, sonst könntest dich ja überhaupt nicht anmelden. Und da du das ja wohl kannst seh ich da kein Problem. Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 25. Juli 2003 Melden Teilen Geschrieben 25. Juli 2003 Moin erstmal, also an den LDAP Anfragen ändert sich nix. Die werden weiterhin an den DC gestellt. Wie gesagt es wird nur der DNS Anteil in den BIND geschrieben. Protokolle etc. etc..... Sichereaktualisieung ohne hohen Verwaltungsaufwand währe möglich wenn ich den DHCP auch under UNIX/Linux laufen lassen würde. Statische zuordnung der MAC-Adressen zu den IP-Adressen. Keinen dynamischen Bereich also. Dann kann der DHCP-Server bei aktivierung eines Leases den BIND name und IP-Adress mitteilen. Nett oder? :D Gruß, Roi Danton Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.