Jump to content

DNS auf Multihomed Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe in einem Netzwerk einen Server (2019 Standard) mit mehreren NIC.

NIC1: IP-Adresse, Subnetz, DNS und Gateway eingetragen - über diese Verbindung ist der Server in die Domäne eingebunden (normaler Member, keine Rollen)

NIC2: nur IP Adresse und Subnetz eingetragen - über diese Verbindung sind verschiedene Geräte an den Server angeschlossen, die auf eine spezielle Software auf diesem Server zugreifen, aber ansonsten keinen Zugriff auf irgendwas haben sollen.

Jetzt möchte der Hersteller dieser Software folgende Voraussetzungen geschaffen haben:

- Zeitserver für Geräte an NIC2 (Zeit auf Clients muss genau mit Serverzeit übereinstimmen)

- DNS Server für Geräte an NIC2 (zukünftig ist an Endgeräten - Tabletts Android - eine Namensauflösung notwendig)

Dazu folgende Fragen:

- Was passiert wenn ich diesen Server zum Zeitserver mache? Er holt sich als Domänenmitglied seine Zeit ja vom DC. Würde er das dann auch noch tun? Außerdem gäbe es dann im Netzwerk zwei Zeitserver (DC und dieser Server über NIC1) - 

wäre das ein Problem?

- Kann ich einfach die DNS Rolle auf diesem Server installieren und konfigurieren (Bindung nur auf NIC2)? Wie sollte die Konfiguration des DNS dann aussehen damit keine Konflikte mit dem DNS in der ADS entstehen?

- Ist es "sauber" auf diesem Server ein DHCP einzurichten (Bindung nur auf NIC2) um darüber u.a. den Zeitserver an die Clients die an NIC2 angeschlossen sind zu verteilen?

 

Ich hätte auf das Multihomed gern verzichtet. Es ist aber schon vor meiner Zeit so "gewachsen" und offensichtlich der Wunsch des Softwareherstellers gewesen. Die aktuellen Wünsche des Softwareherstellers sind mir nicht ganz geheuer.

Da habe ich Bedenken das es zu Problemen kommt.

Was sagt ihr dazu?

Kann mir jemand etwas über mögliche Konfigurationen sagen?

 

Vielen Dank

 

HH

 

 

 

Link zu diesem Kommentar

Moin

 

Welche Probleme sollten denn auftreten können? Welche Bedenken gibt es denn? Und wie wollte man diese möglicherweise diffusen Bedenken dem Vorgesetzten und dem Dienstleister mitteilen, ohne einen ungünstigen Eindruck zu erwecken?

 

Nun, wie auch immer, ich sehe da keine Probleme. Manche Sachen muss man einfach machen und gucken obs klappt.

 

Und, es handelt sich in diesem Fall ja nicht um einen Multihomed DC.

 

Ich habe in der Vergangenheit mehrfach Multihomed betrieben, Member und auch DC. Problemlos.

bearbeitet von lefg
  • Verwirrend 1
  • Traurig 1
Link zu diesem Kommentar
vor 15 Stunden schrieb H. Hennig:

Würde er das dann auch noch tun?

Ja.

vor 15 Stunden schrieb H. Hennig:

Außerdem gäbe es dann im Netzwerk zwei Zeitserver (DC und dieser Server über NIC1) - 

wäre das ein Problem?

Grundsätzlich kannst du jedes Windows zum timeserver konfigurieren, solange niemand dort fragt interessiert es ja auch niemanden. ;)

 

vor 15 Stunden schrieb H. Hennig:

Kann ich einfach die DNS Rolle auf diesem Server installieren und konfigurieren (Bindung nur auf NIC2)?

Ja.

 

vor 15 Stunden schrieb H. Hennig:

Wie sollte die Konfiguration des DNS dann aussehen damit keine Konflikte mit dem DNS in der ADS entstehen?

Das sollte dir doch der sagen, der so bekloppte Forderungen stellt. ;) aber grundsätzlich einfach nen forwarder auf deinen dc und eine beliebige Zone.

 

dran denken, dass du entsprechend lizenziert sein solltest (Geräte/User cals) für so ein szenario.

 

ansonsten bin ich bei den anderen. Eine richtige Trennung (so erforderlich) ist das was du da bastelst natürlich nicht.

Link zu diesem Kommentar

Hallo,

 

vielen Dank für das Feedback. Das hilft mir schon weiter.

Ich werde also

- Zeitserver aktivieren

- DHCP einrichten (gebunden auf NIC2)

- DNS einrichten

- hoffen das der Softwareanbieter nicht noch mehr Ideen hat.

 

HH

... was man nicht im Kopf hat:

Die Geräte an NIC2 benötigen keinen Zugriff und keine Namensauflösung für Geräte an NIC1. Brauche ich in dem Fall ein Forwarding auf den DC? Meines Erachtens nach reicht einfach eine neue Zone die nur das Netzwerk NIC2 betrifft aus.

Link zu diesem Kommentar

Aus meiner Sicht spricht wenig dagegen... Der DNS wäre einfach ein Secondary, und Timeserver ist völlig unkritisch, solange der Uplink zum Domain Controller funktioniert. Auch gegen DHCP spricht nix, wenn sauber konfiguriert.

Kannst ja (schmutzig, schmutzig) noch mit FW-Regeln dafür sorgen, daß da nix schiefgeht :-)

 

Der nächste Thread kommt, wenn der DHCP aus Versehen mal auf die andere NIC rutscht und der Server beide NICs im DNS registriert. Die Probleme sind absehbar :D

Link zu diesem Kommentar

Kenne das aus dem Industriebereich. Viele Hersteller wollen in erster Linie Ihren eigenen Kram haben weil es so definierte Bedingungen gibt und möglichst wenig "Reinfunkt-Potential" gibt. Einige sind aber in solchen Punkten einigermassen flexibel, wenn man darlegen kann, dass man es auf andere Weise vielleicht besser machen kann. Bei manchen gibts halt schlicht keinen Support wenn die Bedingungen nicht exakt so sind wie vorgegeben.

Erfahrungsemäss liegt aber bei vielen - auch wenn sie einsichtig waren - jedes Problem erstmal immer daran, dass eben nicht ihre Standardbedingungen herrschen. Egal wie absurd es ist. Dein Kunde wird dann immer erst hören, dass Du das Problem bist. Die erste 30-60min Support gehen dann für die Beweisführung drauf. Mittlerweile bin ich soweit, dass ich nach Möglichkeit abgeschottete Inselsysteme nach Ihren Vorgaben erstelle wenn einer für mich unerklärliche Bedingungen hat und diese auch nicht erklären kann. Spart viel Ärger. Also soweit möglich vollständig abgeschottet und ein System als Bindeglied. Kostet halt etwas mehr, dafür ist Ruhe im Karton. Wird nur immer mühsamer und aufwendiger mit den ganzen Integrationen andere Systeme, Fernzugriff etc.

 

Dazu dann Firewall-Logging der Windows-Firewall um zu sehen wie die Kommunikation effektiv abläuft. In allen Variationen. Also Fernzugriff, Kommunikation untereinander etc. abläuft. Dann schotte ich die Systeme per Script ab (Firewall) und erstelle gleichzeitig ein Gegenscript um alles rückgängig zu machen. Gleichzeitig Scripts um Fernzugriff zu aktivieren/deaktivieren --> Firewall-Regeln In/Out. So gibts dann wenigstens minimale Sicherheit.

Link zu diesem Kommentar
vor 39 Minuten schrieb Weingeist:

...Also soweit möglich vollständig abgeschottet und ein System als Bindeglied. Kostet halt etwas mehr, dafür ist Ruhe im Karton. Wird nur immer mühsamer und aufwendiger mit den ganzen Integrationen andere Systeme, Fernzugriff etc....

Haben wir auch - ist eine Firewall dazwischen.

Je nach erfoderlicher Bandbreite wird das teuer oder nicht, oft reicht z.B. eine kleine SecurePoint, WatchGuard oder ähnliches, liegt bei gleicher Leistung nachezu im gleichen Preissegment... :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...