Jump to content

Problem mit DNS und AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe eine folgende Situation; vielleicht kann mir von euch jemand helfen.

 

Ich habe 2 Rechner (Computer1 und Computer2).

Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2).

 

Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert.

 

Bisher (egal, welche Konfigurationen durchgeführt werden) schlägt die AD-Installation über dcpromo immer dann fehl, wenn der DNS-Server überprüft wird.

 

Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen, aber ...

 

Wenn Actice Directory normal installiert wird, und der DNS-Server mit installiert wird, so werden unglaublich viele Einträge im DNS-Server hinterlegt, welche ich auch versucht habe irgendwie anzulegen, bin aber kläglich gescheitert sämtliche Eintragungen vorzunehmen.

 

--> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden. Wer hat hiermit vielleicht Erfahrungen oder weiß etwas?

 

Ich danke bereits im Voraus.

 

Gruß

 

MR1701

Link zu diesem Kommentar

Bonjour,

 

Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2).

 

trotzdem wäre es empfehlenswert, den DNS-Server auf dem DC zu installieren um einfach von den Vorteilen zu profitieren. Wenn sich die Forward Lookup Zone im AD befindet, wird sie automatisch durch die AD-Replikation auf die anderen DCs repliziert. Des Weiteren kann man dadurch die Einstellung "Nur sichere" DNS-Updates einstellen. Somit erhöht das die Sicherheit.

 

Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert.

 

In dem du die SRV-Records die ein DC erstellt, auf dem DNS-Server erstellst.

 

Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen,

 

Genau.

 

--> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden.

 

Alle DNS-Einträge die folgendermaßen beginnen sind relevant:

 

_gc...

_kerberos...

_kpasswd...

_ldap...

 

 

Das sind genau die Einträge die der Client beim anfragen im DNS nach einem DC, von seinem DNS-Server erhält, um "seinen" Domänencontroller an seinem Standort ausfindig zu machen.

Link zu diesem Kommentar

Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist.

 

Wieso willst du davon abweichen?

 

Grundsätzliche Erklärungen wie man das dennoch erreichen kann findest du hier:

Microsoft Corporation

 

Wichtig ist das unsichere dynamische Updates der Zone aktiviert sind.

Link zu diesem Kommentar

Hi,

 

Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist.

 

Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert.

 

Mag sein, daß man das in kleineren Umgebungen so umsetzen kann - gerade ist größeren Umgebungen macht das jedoch in der Regel keinen Sinn und ist mit Sicherheit auch nicht "best practice".

 

Noch ein Tipp an den TO: Schau einmal auf einem promoteten DC in die Dateien %SYSTEMROOT%\System32\Config --> netlogon.dnb bzw. netlogon.dns. Dort findest Du alle Einträge, die der NETLOGON Dienst auf einem DC beim Dienststart im DNS registriert. Die kannst Du zwar nicht einfach so auf einem anderen DC übernehmen, jedoch gibt es Dir ggf. einen Ansatz.

 

Es gibt im Netz einige Tutorials zu BIND DNS und AD Zonen (z.B. hier). Darin findest Du sicherlich auch einige Hinweise zum Vorgehen. Ich schließe mich jedoch grundsätzlich den Kollegen an - den DNS Dienst auf dem neu zu promotenden DC zu nutzen macht sicherlich in Deiner Konstellation Sinn.

 

Viele Grüße

olc

Link zu diesem Kommentar
Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert.

 

Du hast natürlich recht, es gibt immer Situationen wo etwas anders ist, und ich habe noch nie das AD eines multinationalen Konzerns betreut. Nächstes mal mit Disclaimer :)

Link zu diesem Kommentar
  • 9 Monate später...

Hey, ich habe die Lösung gefunden! Das wichtige war, dass der bereits installierte DNS-Server auf dem ersten Rechner SICHERE und NICHT SICHERE Updates zulassen muss und die IP-Konfiguration muss natürlich so eingestellt sein, dass der DNS-Server korrekt angegeben ist. Dann wird der DNS-Server auch korrekt gefunden und AD kann auf RECHNER 2 installiert werden mit dem im Netzwerk vorhandenen DNS-Server (auf separatem Rechner).

 

Funzt einwandfrei.

Link zu diesem Kommentar

Jaaa - ist ja schon gut!

 

Ich hatte damals (bzügl. MORGEN) leider keine Zeit mehr danach zu suchen!!!! Bei mir stand damals ein Job-Wechsel an und da blieb sogar nicht einmal mehr Zeit, die Prüfung 70-291 zu machen! Ich bin jetzt erst wieder dazu gekommen mich hinter mein Buch zu klemmen!

 

:(

 

Außerdem wollte ich nur mal ein Update machen, dass sich das Thema dann wohl geklärt hat. Es kommt ja schon häufiger vor - ich meine nicht in diesem Forum, aber oft in anderen - dass zwar Lösungen vorgeschlagen werden, aber die tatsächliche Lösung am Ende nicht bestätigt wird oder eben gesagt wird, dass nichts funktioniert und nicht weiter geforscht würde. ---> Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ...

 

:mad:

 

;)

 

Also, bis dann ...

Link zu diesem Kommentar

Hi,

 

Jaaa - ist ja schon gut!

...

Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ...

 

die Antworten hatten doch etwas an Ironie und auch einen Smilie. :)

 

Auf jeden Fall ist es gut das es dir geholfen hat dein Problem zu lösen

und auch Danke für dein Feedback.

 

BTW: Viel Glück für die Prüfung !

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...