Jump to content

Reihenfolge der DNS-Server...


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Jungs! :D

 

In der Sommerpause ist es so weit, ich darf unsere NT-Domäne wegwerfen und ne ADS implementieren. :)

 

Ich hatte vor 2 DNS Server in unser Netz zu stellen, da unsere Serverhardware (wenn man das so nennen kann) nicht mehr die Beste und auf keinen Fall die Ausfallsicherste ist. Zonentyp "active-directory integriert" :D

 

So weit kein Problem, werde die nächste Woche mit einer der Server mal eine Testumgebung aufstellen. :p

 

Nun zu meinem Problem (und das kann ich nicht unter Vollast austesten):

 

 

Wir werden nach den Ferien unseren Internetzugang nicht mehr über einen MS-Proxy sondern über einen Hardware-DSL-Router (SMC Barricade) laufen lassen.

 

Das Ding ist echt einfach zu konfigurieren (deswegen haben wir den auch gekauft, so können meine Kollegen auch ihren Klassen mal das Internet "freischalten" ohne Domänen-Admins zu sein) und macht auch einen sauberen Reboot OHNE murren nach einem Stromausfall. :cool:

 

Der DSL-Router muss als DNS-Server bei den Clients eingetragen sein.

 

Dem reicht das auch, wenn er an sekundärer DNS-Server drin steht.

 

Jetzt meine Frage:

 

Wie würdet ihr die Reihenfolge wählen? :rolleyes:

 

Variante A:

Setze ich meinen internen DNS-Server auf Platz 1, bekommt der doch von 50 "surfenden" Rechnern ständig DNS-Auflöseanforderungen, die er nicht beantworten kann. Generiert er dann ständig einen Fehlerprotokolleintrag (so hat das zumindest der NT-DNS manchmal gemacht)??? Oder macht das ihm nix aus? :confused:

 

Zu "seiner Hardware":

Es ist ein 800MHZ/256RAM/RAID 1 (soll ADS, DNS und Fileserver sein), also ein bischen was könnte der schon ab.

 

 

ODER Variante B:

 

Setze ich den Barricade-Router auf 1.

Dann wäre sicher die Internet-Namensauflösung optimiert, ich würde aber dem "kleinen" auch den ganzen "internen" DNS-Auflösungsverkehr erstmal aufbrummen. Soweit ja nicht mal das Problem, aber:

 

Der würde doch das sicher an den lokalen-ISP-Nameserver weiterleiten... und DER würde nach Abfrage der Root/TLD/und DE-DNS-Server merken, dass er Adressen a la: sever1.iwb-landau.de nicht auflösen kann.

 

(würde halt gerne den Namespace aus dem Internet übernehmen, wir haben http://www.iwb-landau.de'>http://www.iwb-landau.de reserviert).

 

Die Clients bekämen also "kann nicht aufgelöst werden" (klar http://www. ginge, aber nicht server1.) zurück. Würden die dann überhaupt noch am 2.DNS-Server nachfragen?

 

Und: Wenn ich meinen 2ten internen DNS-Server an Platz 3 der Reihenfolge stelle (ich kann ich ja unter den Eigenschaften von TCP/IP noch weitere DNS-Server eintragen), würde der überhaupt noch Verwendung finden? Haben primäre/sekundäre DNS-Server "Sonderprivilegien"?

 

Fragen über Fragen, ich hoffe es war einigermassen verständlich geschrieben...

 

Vielen Dank für Eure Tipps!

 

Gruss

 

 

Nic :D

Link zu diesem Kommentar

Mangels profunder Erfahrung mit dem DSL-Router kann ich Dir keine direkte Antwort auf Deine Frage geben, möchte aber auf eine ADS-Besonderheit hinweisen, die Du beachten solltest.

 

In einer AD-integrierten DNS-Zone ist es grundsätzlich nicht zu empfehlen, einen externen DNS-Server (z. B. vom ISP oder eben Deinen DSL-Router) auf den DCs im DNS einzutragen. Wer es trotzdem macht, bucht unter Umständen eine Reise nach Stressland.

 

Anderenfalls kommen sich die interne Namensauflösung in der Domäne und externe DNS-Informationen ins Gehege, was zu ernsten Funktionsstörungen des Domänen-DNS führen kann. Habe ich mal in einer Produktionsumgebung erlebt - nicht witzig (siehe Fehlerprotokoll unten)

 

Ein sehr guter Text dazu findet sich unter

 

http://www.windows-expert.net/Common/en/Articles/active-directory-and-dns.asp

 

Stattdessen werden Weiterleitungen aktiviert:

 

1. Nur die DCs als DNS-Server im DNS und in den DHCP-Optionen eintragen.

2. Im DNS der DCs Weiterleitungen aktivieren

3. DNS-Server für externe Namensauflösung in die Weiterleitung eintragen

 

*****

Kostprobe aus dem damaligen Fehlerprotokoll

 

Native W2K-Domäne hinter einer ISP Firewall

AD-integriertes DNS

DHCP

2 Subnetze, je ein DC in jedem Subnetz

 

DHCP-Clients: intermittierender Ausfall der Namensauflösung, Ping an IP-Adressen OK, über Namen nicht.

 

DCs: ebenfalls intermittierender Ausfall der Namensauflösung, Ping an IP-Adressen OK, über Namen nicht.

 

dcdiag-Fehlermeldung auf dem Schemamaster, wenn die Namensauflösung ausgefallen ist: SERVER1's server GUID DNS name could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc Although the Guid DNS name (8c141c59-c215-4bfe-927b-62fcf2aaee38._msdcs.company.de) couldn't be resolved, the server name (server1.company.de) resolved to the IP address (172.17.74.1) and was pingable. Check that the IP address is registered correctly with the DNS server.

 

Löst man in diesem Zustand ein ipconfig /registerdns auf dem DC aus, geht dcdiag problemlos durch: .... SERVER1 passed test Connectivity ....

Link zu diesem Kommentar

Hi Pic!

 

Sowas in der Art dachte ich mir schon.

 

Zum Router:

 

Der SMC muss bei den Clients als "ein" DNS-Server drin stehen, damit die Internet-DNS aufgelöst werden können. Dabei kann der Router ruhig an 2ter Stelle stehen. Das hab ich schon ausprobiert, zumindest an dem Testrechner hat es funktioniert.

 

Die Frage ist aber, ob ich bei 50 Clients dem als primären DNS eingetragenen DC (mit active directory integrierter Zone) nicht zu viel unnötige Arbeit machen. Er bekommt einen Request nach "www.gmx.de" und kann ja nur die Namen SEINER Domäne auflösen.

 

Einen Weiterleitungseintrag wollte ich in die AD-integrierte Zone nicht setzen. Das schreit schon nach Ärger, da hast du recht.

 

Konsequenz wäre:

 

Bei den Clients trage ich den lokalen-DDNS-Server als ERSTEN Server ein. Den Router als ZWEITEN. Als Dritten nehme ich den Backup-DDNS meiner Domäne...

 

Zusätzlich nenne ich meine Domäne halt nicht iwb-landau.de sondern iwb.local oder so irgendwas, damit auf keinen Fall Konflikte mit einem Internetnamen enstehen können.

 

Oder?

 

Gruss

 

Nic

Link zu diesem Kommentar

Hallo Nic,

 

oops - da hast Du mich vielleicht falsch verstanden: Die Weiterleitung ist eindeutig Methode der Wahl und verhindert gerade viel Ärger - besonders wenn Du Subnetze für Gruppen/Kurse/Schulungsräume einrichtest.

 

1. verhindert die Weiterleitung genannte ADS-interne DNS-Probleme 2. lässt sie den (oder natürlich die - wg. Redundanz) DC alle nach aussen gerichteten DNS-Anfragen weiterschicken.

 

PS: Nicht vergessen, beim lokalen DNS die root-domain "." zu löschen. Dein Schulnetz arbeitet ja nicht mit 'echten' Internetadressen, sondern über den ISP

Link zu diesem Kommentar

Hi Pic!

 

Hab mich in der Tat verlesen.

 

Nur mal so am Rande. Das "aus den Grünen" lernen, die Übungen machen und verstehen ist das eine. Den Stoff zu unterichten ist auch noch OK.

Aber jetzt in der Rolle des Verantwortlichen für das W2k-Netz geht mir doch ein bischen die Klammer.

 

 

Also nochmal zusammenfassend:

 

Ich richte mir die 2 redundanten DNS-Server ein. Zonen-Typ "Active Directory integriert".

 

Diese 2 geben ich auch den Clients an.

 

Am DNS Server lösche ich die Root-Domain (ah... da war was... 70-216) und kann dem Server auch irgendwie angeben, dass er bitte den DSL-Router verwenden soll, wenn ER die Namensauflösung nicht hinbekommt?!?

 

Kann ich die "."-Domain auch noch löschen, wenn die Domänenzone schon da ist?

 

Wenn nicht müsste ich den DNS-Server ja schon vorher stehen haben, BEVOR ich DCPROMO drüberlaufen lasse. DA wird ja (falls noch keiner da ist) einen DNS-Server installiert. Allerdings MIT "."...

 

Zum "Weiterleitungseintrag"

Der hat da doch so ne Standardliste wo auch die Root-DNS-Server drinstehen... is lang her... oder irre ich mich... da muss der Verweis wohl rein, oder?

 

Wenn ich dich nerve, sags mir. Wenn s funktioniert schick ich dir einen Kasten Bier...

 

Merci

 

Gruss

 

Nic

Link zu diesem Kommentar
Original geschrieben von Nic

 

Aber jetzt in der Rolle des Verantwortlichen für das W2k-Netz geht mir doch ein bischen die Klammer.

 

Don't panic. Das geht jedem von uns so, wenn er/sie das erste Mal alleine davor sitzt. Aber nun erst mal Schritt für Schritt:

 

Ich richte mir die 2 redundanten DNS-Server ein. Zonen-Typ "Active Directory integriert".

 

Diese 2 geben ich auch den Clients an.

 

Soweit OK - gehe ich davon aus, dass Du DHCP verwendest, dann kommen die beiden Adressen bloss in die DHCP-Option 006 DNS-Server

 

Am DNS Server lösche ich die Root-Domain (ah... da war was... 70-216) und kann dem Server auch irgendwie angeben, dass er bitte den DSL-Router verwenden soll, wenn ER die Namensauflösung nicht hinbekommt?!?

 

Kann ich die "."-Domain auch noch löschen, wenn die Domänenzone schon da ist?

 

ad 1: OK - ja, hau die root domain raus. ad 2: das geht jederzeit und tut dem Server nicht weh. Brauchste auch nur an einem DC zu machen, wird ja in der ADS repliziert. Der DSL-Router interessiert noch nicht, erst bei der Weiterleitung. Im Moment sollen die Clients bloss wissen, wen sie bei interner Namensauflösung in der Domäne antickern sollen - und zwar fehlerfrei:

 

Zum "Weiterleitungseintrag"

Der hat da doch so ne Standardliste wo auch die Root-DNS-Server drinstehen... is lang her... oder irre ich mich... da muss der Verweis wohl rein, oder?

 

Lass die rootserver ganz beiseite, das ist eine eigene Registerkarte und für uns ohne Bedeutung. Konzentriere Dich auf die Weiterleitung selbst (siehe Anhang): Weiterleitung aktivieren, Provider-DNS (in Deinem Fall wohl die Adresse des DSL-Routers, wenn ich den richtig verstanden habe) und Rekursion ausschalten. Das isses!

 

Wenn ich dich nerve, sags mir. Wenn s funktioniert schick ich dir einen Kasten Bier...

 

Wenns klappt, bin ich schon sehr zufrieden. Wg. Kasten Bier: Ich sitze in Marzling.

 

Viel Glück & Erfolg - vielleicht passt es ja auch mit'm DSL

post-11-1356738877803_thumb.gif

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...