Jump to content
Sign in to follow this  
MR1701

Problem mit DNS und AD

Recommended Posts

Hallo,

 

ich habe eine folgende Situation; vielleicht kann mir von euch jemand helfen.

 

Ich habe 2 Rechner (Computer1 und Computer2).

Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2).

 

Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert.

 

Bisher (egal, welche Konfigurationen durchgeführt werden) schlägt die AD-Installation über dcpromo immer dann fehl, wenn der DNS-Server überprüft wird.

 

Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen, aber ...

 

Wenn Actice Directory normal installiert wird, und der DNS-Server mit installiert wird, so werden unglaublich viele Einträge im DNS-Server hinterlegt, welche ich auch versucht habe irgendwie anzulegen, bin aber kläglich gescheitert sämtliche Eintragungen vorzunehmen.

 

--> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden. Wer hat hiermit vielleicht Erfahrungen oder weiß etwas?

 

Ich danke bereits im Voraus.

 

Gruß

 

MR1701

Share this post


Link to post
Share on other sites

Bonjour,

 

Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2).

 

trotzdem wäre es empfehlenswert, den DNS-Server auf dem DC zu installieren um einfach von den Vorteilen zu profitieren. Wenn sich die Forward Lookup Zone im AD befindet, wird sie automatisch durch die AD-Replikation auf die anderen DCs repliziert. Des Weiteren kann man dadurch die Einstellung "Nur sichere" DNS-Updates einstellen. Somit erhöht das die Sicherheit.

 

Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert.

 

In dem du die SRV-Records die ein DC erstellt, auf dem DNS-Server erstellst.

 

Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen,

 

Genau.

 

--> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden.

 

Alle DNS-Einträge die folgendermaßen beginnen sind relevant:

 

_gc...

_kerberos...

_kpasswd...

_ldap...

 

 

Das sind genau die Einträge die der Client beim anfragen im DNS nach einem DC, von seinem DNS-Server erhält, um "seinen" Domänencontroller an seinem Standort ausfindig zu machen.

Share this post


Link to post
Share on other sites

Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist.

 

Wieso willst du davon abweichen?

 

Grundsätzliche Erklärungen wie man das dennoch erreichen kann findest du hier:

Microsoft Corporation

 

Wichtig ist das unsichere dynamische Updates der Zone aktiviert sind.

Share this post


Link to post
Share on other sites

Hi,

 

Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist.

 

Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert.

 

Mag sein, daß man das in kleineren Umgebungen so umsetzen kann - gerade ist größeren Umgebungen macht das jedoch in der Regel keinen Sinn und ist mit Sicherheit auch nicht "best practice".

 

Noch ein Tipp an den TO: Schau einmal auf einem promoteten DC in die Dateien %SYSTEMROOT%\System32\Config --> netlogon.dnb bzw. netlogon.dns. Dort findest Du alle Einträge, die der NETLOGON Dienst auf einem DC beim Dienststart im DNS registriert. Die kannst Du zwar nicht einfach so auf einem anderen DC übernehmen, jedoch gibt es Dir ggf. einen Ansatz.

 

Es gibt im Netz einige Tutorials zu BIND DNS und AD Zonen (z.B. hier). Darin findest Du sicherlich auch einige Hinweise zum Vorgehen. Ich schließe mich jedoch grundsätzlich den Kollegen an - den DNS Dienst auf dem neu zu promotenden DC zu nutzen macht sicherlich in Deiner Konstellation Sinn.

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites
Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert.

 

Du hast natürlich recht, es gibt immer Situationen wo etwas anders ist, und ich habe noch nie das AD eines multinationalen Konzerns betreut. Nächstes mal mit Disclaimer :)

Share this post


Link to post
Share on other sites

Hi Lukas,

 

wie gesagt - wollte keine Erbsen zählen. :)

 

In der Umgebung des TO macht das sicherlich auch so Sinn, wie Du es geschrieben hast. Ich bin nur immer vorsichtig mit solch "generischen" Aussagen. :)

 

Danke für Deine Rückmeldung. :)

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

Hey ... super! Und vielen Dank für die Zahlreichen Antworten und Erklärungen. Ich werde mich morgen direkt dran machen, das alles mal auszuprobieren! Vielen Dank!!!!!!

 

:shock:

Share this post


Link to post
Share on other sites

Hey, ich habe die Lösung gefunden! Das wichtige war, dass der bereits installierte DNS-Server auf dem ersten Rechner SICHERE und NICHT SICHERE Updates zulassen muss und die IP-Konfiguration muss natürlich so eingestellt sein, dass der DNS-Server korrekt angegeben ist. Dann wird der DNS-Server auch korrekt gefunden und AD kann auf RECHNER 2 installiert werden mit dem im Netzwerk vorhandenen DNS-Server (auf separatem Rechner).

 

Funzt einwandfrei.

Share this post


Link to post
Share on other sites
Deine Definition von "Morgen" ist also 10 Monate später? :)

 

Evtl. zu langer Winterschlaf?

 

 

@MR1701

Man hat dich bereits am Anfang auf unsichere Zonenupdates hingewiesen.

Share this post


Link to post
Share on other sites

Jaaa - ist ja schon gut!

 

Ich hatte damals (bzügl. MORGEN) leider keine Zeit mehr danach zu suchen!!!! Bei mir stand damals ein Job-Wechsel an und da blieb sogar nicht einmal mehr Zeit, die Prüfung 70-291 zu machen! Ich bin jetzt erst wieder dazu gekommen mich hinter mein Buch zu klemmen!

 

:(

 

Außerdem wollte ich nur mal ein Update machen, dass sich das Thema dann wohl geklärt hat. Es kommt ja schon häufiger vor - ich meine nicht in diesem Forum, aber oft in anderen - dass zwar Lösungen vorgeschlagen werden, aber die tatsächliche Lösung am Ende nicht bestätigt wird oder eben gesagt wird, dass nichts funktioniert und nicht weiter geforscht würde. ---> Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ...

 

:mad:

 

;)

 

Also, bis dann ...

Share this post


Link to post
Share on other sites

Hi,

 

Jaaa - ist ja schon gut!

...

Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ...

 

die Antworten hatten doch etwas an Ironie und auch einen Smilie. :)

 

Auf jeden Fall ist es gut das es dir geholfen hat dein Problem zu lösen

und auch Danke für dein Feedback.

 

BTW: Viel Glück für die Prüfung !

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...