Jump to content
Sign in to follow this  
Apex

DNS Server in AD Domäne, nicht AD integriert?

Recommended Posts

Hallo

 

es wird der Einsatz eines DNS Servers überlegt, der nicht AD integriert ist in einer normalen AD Domäne.

Die übrigen DNS Server sind AD integriert und laufen so, wie das üblich ist.

Hintergrund ist, dass der DNS Server ohne personenbezogene Daten (AD) laufen soll.

 

Ich kann mich erinnern aus der Zeit als man noch oft Bind in Verbindung mit AD Domänen verwendet hat, dass es dabei Nachteile gibt einen Windows DNS Server standalone zu betreiben.

Mit welchen Nachteilen muss ich rechnen, wenn ich einen der DNS Server so betreiben soll?

 

Danke

Share this post


Link to post
Share on other sites

Die Anforderung verstehe ich nicht. Die Daten sind im AD in verschiedenen Partitionen gespeichert. Was hast das Eine mit dem Anderen zu tun?

Du kannst den DNS  auch nicht AD-Integriert betreiben. Dann liegen die  Daten aber immer noch auf dem gleichen Datenträger wie das AD. Das macht keinen Unterschied.

Zur Synchronisierung der DNS-Server kannst Du dann nicht mehr  das AD nehmen (was Dir quasi jede Admin-Tätigkeit abnimmt), sondern Du musts die Replizierung direkt im DNS-Server konfigurieren.

Habe ich echt noch nie gemacht. Findest bei MS aber sicher Anleitungen.

Share this post


Link to post
Share on other sites

Ich bin von der Anforderung auch nicht begeistert.

Der DNS Server (ohne AD) soll in eine Zone, in der keine personenbezogenen Daten erwünscht sind.

Dieser soll rein zur Namensauflösung genutzt werden und die Geschwindigkeit erhöhen der Anfragen bezogen auf Latenz und Antwortgeschwindigkeit.

 

Das mit der Synchronisierung, die normalerweise das AD über Replikation erledigt, ist ein guter Punkt. Danke dafür

Share this post


Link to post
Share on other sites

Firewall und nur UDP Port 53 erlauben? Welche personenbezogene Daten soll der DNS dann ausplaudern?

Stichwort für Deine Anforderung ist "Zone Transfer"...

Edited by zahni

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb zahni:

Welche personenbezogene Daten soll der DNS dann ausplaudern?

Wie ist das gemeint?

 

Eben keine. Er macht ja nur DNS und stellt kein AD bereit, ist kein DC. Darum geht es ja.

 

Share this post


Link to post
Share on other sites

Der Grund wäre aber trotzdem interessant. Kann sich ja eigentlich nur um Split-DNS und DMZ Konstruktion handeln. Insofern wäre es nett, wenn der TO für Interessierte Leser und Helfer seine Überlegungen/Anforderungen mitteilen könnte.

Share this post


Link to post
Share on other sites

Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert.

Dort an diesem Standort soll/darf aber kein vollwertiger Domänencontroller aufgebaut werden.

 

Meine Frage ist, hier wäre eine Antwort wirklich toll, was habe ich für Nachteile dadurch, dass ich einen DNS Server betreibe, der nicht AD-integriert ist?

 

Danke

Share this post


Link to post
Share on other sites

Schau Dir mal die Links der vorherigen Beiträge an.

 

Allerdings  würde ich  vorsichtig vermuten, dass es noch andere Probleme am Standort gibt, wenn schon die Namesauflösung zu lange dauert. Da werden wirklich wenig Daten übertragen.

Will sagen: Der lokale DNS wird das eigentliche Problem nicht lösen.

 

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb Apex:

Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert.

Interne Namensauflösung dauert zu lange? Dann dürfte ein DNS Server (secondary) ja maximal das Problem welches ursächlich ist verschleiern. Alternativ, wenn dort eh ein "Server" hin soll, kannst du ja auch nen RODC in Betracht  ziehen, aber wie Zahni schon schrob, ich denke da gibt es wahrscheinlich andere Probleme, als DNS (wahrscheinlich Router Forwarder usw.).

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Moin,

 

vor 56 Minuten schrieb Apex:

Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert.

Dort an diesem Standort soll/darf aber kein vollwertiger Domänencontroller aufgebaut werden.

 

dann sag das doch gleich. Leider ist es in Foren üblich, nur eine Detailfrage zu stellen, statt zu sagen, worum es geht. Das behindert die Sache unnötig - der Thread hätte schon viel schneller eine Antwort liefern können.

 

Also: Natürlich geht das, es ist in solchen Szenarien sogar durchaus üblich. Du kannst einen DNS Secondary einrichten, der sich die DNS-Daten (und nur diese) von einem DC/DNS holt. Solange es sich um einen Nur-Lese-Zugriff handelt, ist das auch ein gangbarer Weg.

 

Ob sich damit allerdings die Anforderungen erfüllen lassen, lässt sich aufgrund der eher unscharfen Äußerungen dazu nicht ablesen. Der beschriebene Secondary würde alle DNS-Einträge enthalten und abfragbar machen, da können durchaus personenbeziehbare Daten dabei sein (z.B. Namen von PCs, die zu bestimmten Mitarbeitern gehören - etwa "PC-MEYER"). Hier wäre also ggf. ein Blick auf die genauen Anforderungen und die Details der Umgebung relevant.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Mag sein, nur bringen mir die Aussagen im Gegenzug aktuell immer noch nicht sehr viel.

Die DNS Einträge sind nicht kritisch, auch das wurde mir so mitgeteilt. Diese Aussage kann ich teilen, da es tatsächlich um die Benutzer-Einträge im AD geht, also um personenbezogene Daten.

Die Rechner und Server nutzen ein Namensschema, das nichts damit zu tun hat und eher auf die Funktion des Rechners abzielt. 

 

Den einen Tip nehme ich gern, aber meine konkrete Frage: "Habe ich Nachteile bei einem Einsatz eines nicht-AD-integrierten DNS Servers" wurde nicht abschließend beantwortet.

 

Geht es tatsächlich nur um die Replikation, die mir fehlt?

Die muss ich manuell konfigurieren: OK, geschenkt.

 

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...