Elan 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Hallo Zusammen, ich hoffe ich werde jetzt nicht mit Steinen beschmissen, denn als angehender MCSE ist mir eine Grundlage nicht ganz verständlich *schäm* Daher frage ich einfach mal: Szenario: Eine Firma, 2 Standorte. Beide Standorte verfügen über WAN mit einer fester IP. Damit die beiden Standorte kommunizieren können, dient als Router hier ein RRAS Server 2003 an Standort A und Standort B, beide über VPN (L2TP/IPSec, vordefinierter Schlüssel) verbunden. Beide übernehmen für den jeweiligen Standort auch das NAT also Routing nach aussen für Internetzugriff. An jedem Standort gibt es einen DC und seperaten DNS Server. So, jetzt kommts: Ich raff das nicht mit Domänen und Zonen ^^ Und für was das gut ist (ausser für logische Aufteilung). Also, um genauer zu sein: Ich habe eine Domäne, die "firma.lan" als Beispiel. Beide DC's an den beiden Standorten replizieren sich ganz normal, eben so das es ein Netz ist. Jetzt will ich aber zur besseren Trennung gerne eine Zone für Standort A und eine für Standort B haben, also als Suffix SA.firma.lan und SB.firma.lan. Pinge ich also von A nach B über den DNS Namen, und ich den FQDN angebe... wie funktionert das, der hängt doch automatisch seine AD Domäne dran?! Ich will aber jetzt auf client1.SB.firma.lan pingen, dazu muss sich der Client in dieser Zone ja registrieren?! Klar, so Spielereien wie Suffix beim Client anhängen oder 2 getrennte also 2 primäre DNS Server laufen zu haben oder statische Alias Einträge funktionieren, aber ich will keine Lösung! Dieses Szenario ist rein fikitv, ich will nur ein bissl erklärt haben wie das nunmal so ist also in dem Szenraio geht einfach alles, es geht nur drum WIE es funktioniert *g* Und bitte für Dumme -.- Beispiel: Ich hab einen DNS Server aufm DC laufen, dort erstell ich meine Hauptzone (firma.lan) und dann ne weitere Zone (SA.firma.lan) usw. Dann wäre die Frage wieder, wie erkennt ein Client in welche Zone er gehört wenn er sich am DNS registriert (ohne das ich da statisch ran gehen muss, also dass sich die aus Standort A an dieser DNS Zone registrieren)? Weil in der AD integrierten Variante sind die ja alle "gleich" die DNS Server. Dann ist wurscht, welchen ich als primären DNS Server bei den Clients eintrage bzw vom DHCP Server eintragen lasse. Ich hoffe jemand versteht mich und hat Mitleid :) Merci schonmal! Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Hi, damit du sowas wie SA.firma.lan hinbekommst, richtest du eine "Childdomäne" - also ein neues AD ein. Das macht man normalerweise nicht um Standorte zu trennen. Dazu gibt es die Standortkonfiguration im AD-Sites und Services. Die Childdomain Sa.firma.lan könnte sich auch über beide Standorte erstrecken. Ein Denkbarer Grund für das einrichten einer solchen ist bspw. eine strengere Passwortrichtlinie im Entwicklungsbereich (Passwortrichtlinien sind, wie du bestimmt schon weisst immer domänenweit gültig). Hat dir das geholfen - oder ist die Verwirrung komplett? Zitieren Link zu diesem Kommentar
Elan 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 nein, alles im grünen bereich ^^ klar ist es schlauer für eine firma standortübergreifend mehere sites im AD anzulegen, und eine childdomäne für zb einen entwicklerstandort usw. nur ich habe ein halbwegs verständliches beispiel gesucht für mein DNS verständnisproblem. vielleicht helfen noch die fragen, wann und warum ich mehrere Zonen in einer firma brauche und warum eine firma sa.firma.lan und sb.firma.lan und von mir aus noch praktikanten.sa.firma.lan haben kann :] Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Mehrere Zonen bedeutet, dass Du die Verwaltung auf mehrere DNS-Server verteilen kannst. Beispiel: Du hast eine Domäne test.de und eine Subdomain intern.test.de. Du kannst beide natürlich innerhalb einer Zone verwalten, die sich auf einem DNS-Server befindet. Möchtest Du aber die Verwaltung von intern.test.de an anderer Stelle haben als test.de, machst Du eine Zone für test.local und eine für intern.test.de und arbeitest z.B. mit Delegierung/Weiterleitung. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 nein, alles im grünen bereich ^^ klar ist es schlauer für eine firma standortübergreifend mehere sites im AD anzulegen, und eine childdomäne für zb einen entwicklerstandort usw. nur ich habe ein halbwegs verständliches beispiel gesucht für mein DNS verständnisproblem. vielleicht helfen noch die fragen, wann und warum ich mehrere Zonen in einer firma brauche und warum eine firma sa.firma.lan und sb.firma.lan und von mir aus noch praktikanten.sa.firma.lan haben kann :] Vorsicht! Sites haben nix mit Domänen zu tun, zwischen beidem existiert eine n:m Beziehung. Sites bilden die physikalische Grundlage des AD, vergleichbar mit Routinggruppen im Exchange. Allerdings muss auch nicht jeder vorhandene Standort eine eigene Site haben. Gründe für mehrere DNS-Zonen gibt es einige. Wobei theoretisch auch mehrere Zonen in einer Domäne existieren können. Wir haben so einen Fall produktiv. Es gibt eine Domäne mydomain.de. Darunter befinden sich Zonen für einzelne Standorte/Unterorganisationen, also abt1.mydomain.local oder meinestadt.mydomain.local. Grund dafür ist zum einen, dass sich diese Standorte auch in einer gemeinsamen Domäne "sehen" wollen. Es gibt aber auch einen technischen Grund: zum einen wird dadurch verhindert, dass eine riesige DNS-Zone mit rund 40000 Einträgen entsteht und zum andern sind bestimmte Bezeichnungen an diesen Standorten fix. Etwa intranet.meinestadt.mydomain.local oder ähnliches. Dies soll auch nach der Verschmelzung der bisherigen NT 4.0 Domänen noch für die Benutzer so aussehen. Dies alles wohlgemerkt in einer Domäne. Der weitaus häufigere Fall dürfte aber sein, dass in einem Forest mehrere Domänen mit jeweils einer DNS-Zone vorhanden sind. Dies kann an der bereits angesprochenen Passwortrichtlinie liegen oder auch allgemein an administrativen Zuständigkeiten. Auch hier kann ich dir ein konkretes Beispiel aus unserem Umfeld geben ("wir haben beides: Country und Western" ;) ). Wir sind ein Dienstleister für eine etwas größere öffentliche Verwaltung (Landesebene). Hier wurde der Entschluss gefasst, möglichst alle Ämter und Ministerien in ein gemeinsames AD zu integrieren. Jetzt sind aber alle Ministerien formell eigenständige Einheiten. Außerdem sind die Sicherheitsanforderungen in einer Finanzverwaltung natürlich andere, als beim Denkmalamt. Zusätzlich sollte vielleicht nicht gerade der Admin der Straßenbauverwaltung auf den Rechnungshof zugreifen können oder ähnliches. Also wurde zunächst eine zentrale Domäne mit sehr wenigen Admins (z.B. meine Wenigkeit) geschaffen, die die zentralen Komponenten, sowie die Infrastruktur (DNS, Replikation, Schema...) verwaltet. Darunter hingen sich dann nach und nach die einzelnen Dienststellen ein, jede mit einer eigenen Domäne. Somit ist gewährleistet, dass die Vorteile einer einheitlichen Gesamtstruktur (gemeinsames Adressbuch usw) genutzt werden können und gleichzeitig die administrative Unabhängigkeit und Abschottung voreinander weitestgehend erhalten bleibt. Aber wichtig ist immer die Unterscheidung zwischen DNS-Domäne und AD-Domäne. Das wird zwar meistens das Selbe sien, muss es aber nicht. Wir haben z.B. auch in unserer Multidomain-Umgebung weitere DNS-Zonen. Es gibt für jede Domäne dienststelle.root.local noch eine Dienststelle.root.de. Diese dient in den meisten Fällen nur dazu, die MX-Records zu hosten, ist aber prinzipiell eine zusätzliche DNS-Zone in jeder AD-Domäne. Gruß woiza Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.