DNS Replikationsinsel vermeiden

[Ambix 10]

Heute bin ich im Fragefieber...

 

Ich habe schon eine Menge zum Thema korrekte DNS Konfiguration gefunden, aber vieles war schwammig, teilweise widersprüchlich oder ich habs nicht verstanden. Deshalb hier mal die Bitte nach einer klaren Antwort:

 

Eine Domain, alles AD-integriert, eine Zentrale mit 2 DC und 5 Niederlassungen mit je 1 DC. AD-Standortverbindungen sind sternförmig angelegt, die Niederlassungen sind untereinander nicht verbunden. Die WAN Verbindungen variieren von schlechtem DSL1000 bis 50M VDSL.

 

Was muss ich nun in den Eigenschaften der LAN-Verbindung /TCPIP einstellen?

 

Bei den Niederlassungs DCs:

Bevorzugter DNS-Server = DC1 Zentrale

Alternativer DNS-Server = Eigene IP

 

Bei Zentrale DC1:

Bevorzugter DNS-Server = DC2

Alternativer DNS-Server = DC1

 

Bei Zentrale DC2:

Bevorzugter DNS-Server = DC1

Alternativer DNS-Server = DC2

 

Oder umgekehrt? Oder ganz was anderes?

 

 

Weiterhin wißbegierig

Frank

[Daim 12]

Salut,

 

Oder umgekehrt? Oder ganz was anderes?

 

genau so würde ich es auch konfigurieren und diese Konfiguration trifft man oft draußen bei Kunden.

[Ambix 10]

Hab Dank für die schnelle Antwort!

 

Aber schon tut sich die nächste Wissenslücke auf: Wenn ich denn nun vom NiederlassungsDC aus ins Internet will (z.B. Windows- oder Virenupdate), wer macht dann die Namensauflösung? Wird in diesen Fällen nicht dann immer der Zentrale DC befragt?

 

Wenn ja, muss ich das hinnehmen, damit mein AD friedvoll vor sich hinrennen kann, oder kann ich da sinnvoll eingreifen?

 

 

Sich so langsam wie im Crashkurs fühlend

Frank

[Daim 12]

Wenn ich denn nun vom NiederlassungsDC aus ins Internet will (z.B. Windows- oder Virenupdate), wer macht dann die Namensauflösung?

 

Sinnvollerweise richtet man für die Windows-Updates einen WSUS ein und für die Verwaltung des Virenscanners sucht man sich ebenfalls eine Zentral-verwaltbare Lösung.

 

Um auf deine Frage zu kommen: Die Namensauflösung wird vom DC aus der NL durchgeführt. Der DNS-Server der in den TCP/IP-Einstellungen des Clients konfiguriert ist erhält z.B. die Anfrage für das Internet vom Client und der DNS-Server schaut, ob er für die angefragte Adresse autoritativ zuständig ist und wenn nicht, leitet er die Anfrage weiter. Falls eine Weiterleitung konfiguriert wurde (in den Eigenschaften des DNS-Servers im Reiter Weiterleitung), leitet er diese Anfrage an den externen DNS-Server weiter. Wenn keine Weiterleitung konfiguriert ist, leitet er die Anfrage an die Root-Server weiter. Welchen physikalsichen Weg diese Anfrage geht, hängt wiederum von der Vernetzung sowie vom Routing ab.

 

Denn viele Firmen haben ein Hub-and-Spoke Topologie (wie du sie anscheinend auch hast), wo die NLs nur über die Zentrale ins Internet können, weil dort die zentrale Firewall steht.

 

 

Wird in diesen Fällen nicht dann immer der Zentrale DC befragt?

 

Nein, wird er nicht. Du kannst auf dem DC der in der NL steht eine Weiterleitung direkt ins Web einrichten.

 

Oder du installierst dir in der Zentrale einen Proxy-Server und die Clients surfen dann über den Proxy im Internet. Die Proxy-Server Adresse kannst du dann per GPO an alle Clients, egal in welcher NL sie stehen, verteilen.

 

 

Wenn ja, muss ich das hinnehmen, damit mein AD friedvoll vor sich hinrennen kann, oder kann ich da sinnvoll eingreifen?

 

Das AD hat im Zusammenhang mit der Namensauflösung für das Internet, damit nichts zu tun.

[blub 115]

Hallo Ambix,

Man kann auch alle DCs primär auf einen DC/DNS zeigen lassen. Das hat Vorteile z.b. beim Disaster Recovery und Troubleshooting, da dann der DNS-Verkehr leichter nachzuvollziehen ist.

Ob Dein bzw. Daims Vorschlag oder die primäre-zentrale Variante besser passt, ist einerseits u.a. eine Frage der Netztopologien, andererseits schlicht eine Geschmacksfrage. Ich habs z.B. zentral gelöst, da unsere DCs praktisch über LAN-Leitung vebundne sind

 

cu

blub

[Ambix 10]

Holla, jetzt muss ich denken.

 

Erstmal Zusatzinformationen: Der grosse Flaschenhals ist die 2MBit Anbindung der Zentrale, ich versuche daher, den Traffic zu den NLs so klein wie möglich zu halten, bis ich endlich mal was dickeres bekomme.

Daher hat jede NL eine eigene Cisco PIX (und einen nicht-MS Proxy auf dem DC) und geht so völlig unabhängig von der Zentrale ins Internet. WSUS habe ich deshalb gemieden und auch der Virenscanner ist deshalb bewusst dezentral, Kaspersky benachrichtigt uns recht zuverlässig, wenn irgendetwas im Argen sein sollte - und benötigt obendrein keinen nennenswerten Verwaltungsaufwand, da es sich sehr gut ins AD bzw. meine wohlgepflegten OUs integriert. So, genug der Werbung, zurück zum Thema.

 

Dass die Namensauflösung für die Clients nicht über die Zentrale läuft, ist klar. Wie Du richtig vermutest, befragen die NL DCs (genauer: der DNS auf dem DC) die jeweiligen DNS-Server des Providers.

 

Aber das gilt doch nicht für den NL DC selbst? Wenn ich da auf der Konsole oder per Remote Desktop den Browser öffne und "www.google.de" eintippe, müsste ich doch die googlesche IP Adresse vom Zentrale DC1 bekommen?

 

Wenn das so wär, wärs schlecht für mich. Das macht mir ganz sicher andere Probleme, über die ich aber erstmal nachdenken muss (und dann wahrscheinlich auch ein neues Thema aufmachen sollte). Bis dahin könnte ich aber trotzdem schonmal festhalten, dass die Namensauflösung z.B. fürs Windows Update des DCs selbst über die Zentrale läuft?

 

 

weiterdenkend und -lernend

Frank

[Daim 12]

Aber das gilt doch nicht für den NL DC selbst?

 

Je nachdem was in den TCP/IP-Einstellungen des DCs eingetragen ist, kann er auch sich selbst befragen. Steht in den TCP/IP-Settings der DC selbst als DNS-Server mit seiner IP-Adresse drin, dann befragt der DC selbst den DNS-Server der auf ihm installiert ist. Denn der DC ist selbst auch nur ein DNS-Client. Steht in den TCP/IP-Settings ein DNS-Server aus der Zentrale drin, dann erhält der DNS-Server aus der Zentrale die Anfrage.

 

Wenn ich da auf der Konsole oder per Remote Desktop den Browser öffne und "www.google.de" eintippe, müsste ich doch die googlesche IP Adresse vom Zentrale DC1 bekommen?

 

Wie gesagt, hängt von den IP-Einstellungen ab.

 

Bis dahin könnte ich aber trotzdem schonmal festhalten, dass die Namensauflösung z.B. fürs Windows Update des DCs selbst über die Zentrale läuft?

 

Hängt ebenfalls von den TCP/IP-Einstellungen ab.

 

Trotzdem wäre es ratsam, einen WSUS im Unternehmen einzusetzen.

[Ambix 10]

Morjen, morjen,

 

jetzt fängst Du an, mir zu sagen, was alles möglich ist, dabei wollte ich doch wissen, was für mich sinnvoll ist:p

 

Hat mich aber dazu gebracht, nochmal kräftig zu lesen und jetzt würde ich gerne nur noch wissen, ob das Folgende stimmt:

 

Der bevorzugte DNS-Server der NL DCs in den TCP/IP Einstellungen sollte nur deshalb auf einen DC in der Zentrale verweisen, weil damit der Inseleffekt vermieden wird.

Der Inseleffekt kann aber nur dann auftreten, wenn sich die IP Adresse eines DCs ändert. Bleiben die IP Adressen aller DCs bis in alle Ewigkeit gleich, gibt es diesen Effekt nicht. Unter dieser Voraussetzung ist es für das optimale Funktionieren der AD Replikation egal, ob der bevorzugte DNS-Server der NL DC selbst - oder der Zentrale DC ist.

 

Falls keine anderen Designanforderungen (z.B. wie von blub beschrieben) berücksichtigt werden sollen, ist es dann besser, als bevorzugten DNS Server auf den NL DCs den DC selbst einzutragen. Das sorgt nämlich dafür, dass der NL DC in den seltenen Fällen, in denen er selbst eine Namensauflösung (aus welchen Gründen auch immer) benötigt, seinen eigenen DNS befragt und nicht den auf dem Zentrale DC.

 

Der Eintrag für den alternativen DNS-Server kann getrost leer bleiben. Der wird nur dann genutzt, wenn der bevorzugte DNS Server nicht verfügbar ist - und dann hat man ein Prio1 Problem, da interessiert es nicht die Bohne, ob der DC selbst Namen auflösen kann, oder nicht.

 

Die Clients haben mit diesen Einstellungen rein gar nichts zu tun, das ist vollkommen unabhängig voneinander.

 

 

Hab ichs jetzt?

Frank

[Daim 12]

jetzt fängst Du an, mir zu sagen, was alles möglich ist, dabei wollte ich doch wissen, was für mich sinnvoll ist:p

 

Tja, was für euch sinnvoll ist, musst du entscheiden.

Ich zeige dir die möglichen Wege, die du gehen kannst. ;)

 

 

Der bevorzugte DNS-Server der NL DCs in den TCP/IP Einstellungen sollte nur deshalb auf einen DC in der Zentrale verweisen, weil damit der Inseleffekt vermieden wird.

 

Das stimmt. Allerdings ist dieses Verhalten in Windos 2000 gravierender als in Windows Server 2003. Ansonsten bedeutet das ja, falls in den TCP/IP-Einstellungen der Server selbst eingetragen wurde und die IP-Adresse sich ändert, müsste der DC ja aus dem Ruder laufen. Das tut es aber - zumindest unter Windows Server 2003 - nicht. Das mit dem Inseleffekt kam zu Zeiten Windows 2000 auf und verliert erstmal unter Windows Server 2003/2008 NICHT seine Gültigkeit, im Gegenteil, man kann diese Konfiguration weiter beibehalten.

 

Den Aspekt von blub bezgl. der Rücksicherung für das Disaster Recovery ist aber auch nicht zu vernachlässigen.

Es kommt eben immer auf das aufgezeichnete Szenario an.

 

 

Der Inseleffekt kann aber nur dann auftreten, wenn sich die IP Adresse eines DCs ändert. Bleiben die IP Adressen aller DCs bis in alle Ewigkeit gleich, gibt es diesen Effekt nicht.

 

Genau. Der Inseleffekt KANN nur dann auftreten, wenn sich die IP ändert.

 

 

Unter dieser Voraussetzung ist es für das optimale Funktionieren der AD Replikation egal, ob der bevorzugte DNS-Server der NL DC selbst - oder der Zentrale DC ist.

 

Korrekt. Denn die Clients bekommen ohnehin als DNS-Server den DC aus der NL per DHCP zugewiesen. Die Namensauflösung der Clients aus den NLs wickelt also der DC aus dem NL ab. Da aber der DC selbst auch nur ein DNS-Client ist der ebenfalls ab und an eine Namensauflösung anfordert, entscheidet die TCP/IP-Einstellung welchen DNS-Server der DC selbst verwendet.

 

Ein weiterer Aspekt wäre, wenn in den TCP/IP-Einstellungen der DC selbst drin steht und du startest den Server mal neu, dann könnten im DNS-Eventlog des DCs Fehler auftauchen. Denn der DNS-Dienst ist schneller bereit und möchte loslegen, kann das aber nicht da noch nicht das AD geladen wurde, bei AD-integrierten Zonen. Die Fehler verschwinden dann zwar, wenn das ADs bereit ist, aber die Fehler kann man nunmal von vornherein vermeiden, in dem man eben als ersten DNS-Server einen anderen einträgt.

 

 

Falls keine anderen Designanforderungen (z.B. wie von blub beschrieben) berücksichtigt werden sollen, ist es dann besser, als bevorzugten DNS Server auf den NL DCs den DC selbst einzutragen. Das sorgt nämlich dafür, dass der NL DC in den seltenen Fällen, in denen er selbst eine Namensauflösung (aus welchen Gründen auch immer) benötigt, seinen eigenen DNS befragt und nicht den auf dem Zentrale DC.

 

Stimmt. Aber wie gesagt, startest du den DC dann mal neu, können die berühmten DNS-Fehler 4004, 4015... im Eventlog erscheinen, was nicht weiter weh tut.

 

 

Der Eintrag für den alternativen DNS-Server kann getrost leer bleiben. Der wird nur dann genutzt, wenn der bevorzugte DNS Server nicht verfügbar ist - und dann hat man ein Prio1 Problem, da interessiert es nicht die Bohne, ob der DC selbst Namen auflösen kann, oder nicht.

 

Das stimmt zwar auch, aber totzdem würde immer einen alternativen DNS-Server eintragen.

 

 

Die Clients haben mit diesen Einstellungen rein gar nichts zu tun, das ist vollkommen unabhängig voneinander.

 

Genau. Die Clients verwenden den DNS-Server zur Namensauflösung, der ihnen statisch oder per DHCP mitgeteilt wird.

 

 

Hab ichs jetzt?

 

Yepp, sieht gut aus.