MR1701 10 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Hallo, ich habe eine folgende Situation; vielleicht kann mir von euch jemand helfen. Ich habe 2 Rechner (Computer1 und Computer2). Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2). Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert. Bisher (egal, welche Konfigurationen durchgeführt werden) schlägt die AD-Installation über dcpromo immer dann fehl, wenn der DNS-Server überprüft wird. Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen, aber ... Wenn Actice Directory normal installiert wird, und der DNS-Server mit installiert wird, so werden unglaublich viele Einträge im DNS-Server hinterlegt, welche ich auch versucht habe irgendwie anzulegen, bin aber kläglich gescheitert sämtliche Eintragungen vorzunehmen. --> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden. Wer hat hiermit vielleicht Erfahrungen oder weiß etwas? Ich danke bereits im Voraus. Gruß MR1701 Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Bonjour, Computer1 soll der DC werden, auf dem KEIN DNS-Server istalliert sein soll, da im Netzwerk bereits ein DNS-Server (Standardinstallation) vorhanden ist (Computer2). trotzdem wäre es empfehlenswert, den DNS-Server auf dem DC zu installieren um einfach von den Vorteilen zu profitieren. Wenn sich die Forward Lookup Zone im AD befindet, wird sie automatisch durch die AD-Replikation auf die anderen DCs repliziert. Des Weiteren kann man dadurch die Einstellung "Nur sichere" DNS-Updates einstellen. Somit erhöht das die Sicherheit. Jetzt muss der DNS-Server irgendwie (das ist meine Frage: Wie?) konfiguriert werden, sodass dieser für Active Directory funktioniert. In dem du die SRV-Records die ein DC erstellt, auf dem DNS-Server erstellst. Mir ist klar, dass im DNS-Server Einträge/Dienste, wie _ldap._tcp.... vorhanden sein müssen, Genau. --> Also, alles in Allem würde ich gerne erfahren, wie ich die gegebene Situation umsetzen kann.Es muss auf Computer1 Active Directory installiert werden OHNE DNS-Server und der DNS-Server von Computer2 konfiguriert und verwendet werden. Alle DNS-Einträge die folgendermaßen beginnen sind relevant: _gc... _kerberos... _kpasswd... _ldap... Das sind genau die Einträge die der Client beim anfragen im DNS nach einem DC, von seinem DNS-Server erhält, um "seinen" Domänencontroller an seinem Standort ausfindig zu machen. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist. Wieso willst du davon abweichen? Grundsätzliche Erklärungen wie man das dennoch erreichen kann findest du hier: Microsoft Corporation Wichtig ist das unsichere dynamische Updates der Zone aktiviert sind. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Hi, Die empfohlene Konfiguration für Active Directory ist das auf jedem DC auch der Windows-DNS Server installiert ist, und die Zone AD integriert gespeichert ist. Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert. Mag sein, daß man das in kleineren Umgebungen so umsetzen kann - gerade ist größeren Umgebungen macht das jedoch in der Regel keinen Sinn und ist mit Sicherheit auch nicht "best practice". Noch ein Tipp an den TO: Schau einmal auf einem promoteten DC in die Dateien %SYSTEMROOT%\System32\Config --> netlogon.dnb bzw. netlogon.dns. Dort findest Du alle Einträge, die der NETLOGON Dienst auf einem DC beim Dienststart im DNS registriert. Die kannst Du zwar nicht einfach so auf einem anderen DC übernehmen, jedoch gibt es Dir ggf. einen Ansatz. Es gibt im Netz einige Tutorials zu BIND DNS und AD Zonen (z.B. hier). Darin findest Du sicherlich auch einige Hinweise zum Vorgehen. Ich schließe mich jedoch grundsätzlich den Kollegen an - den DNS Dienst auf dem neu zu promotenden DC zu nutzen macht sicherlich in Deiner Konstellation Sinn. Viele Grüße olc Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Ich möchte keine Erbsen zählen ;) - trotzdem die Frage, woher Du diese Information nimmst. Ich denke das ist in einigen Konstellationen definitiv nicht empfehlenswert. Du hast natürlich recht, es gibt immer Situationen wo etwas anders ist, und ich habe noch nie das AD eines multinationalen Konzerns betreut. Nächstes mal mit Disclaimer :) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. November 2008 Melden Teilen Geschrieben 29. November 2008 Hi Lukas, wie gesagt - wollte keine Erbsen zählen. :) In der Umgebung des TO macht das sicherlich auch so Sinn, wie Du es geschrieben hast. Ich bin nur immer vorsichtig mit solch "generischen" Aussagen. :) Danke für Deine Rückmeldung. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
MR1701 10 Geschrieben 29. November 2008 Autor Melden Teilen Geschrieben 29. November 2008 Hey ... super! Und vielen Dank für die Zahlreichen Antworten und Erklärungen. Ich werde mich morgen direkt dran machen, das alles mal auszuprobieren! Vielen Dank!!!!!! :shock: Zitieren Link zu diesem Kommentar
MR1701 10 Geschrieben 5. September 2009 Autor Melden Teilen Geschrieben 5. September 2009 Hey, ich habe die Lösung gefunden! Das wichtige war, dass der bereits installierte DNS-Server auf dem ersten Rechner SICHERE und NICHT SICHERE Updates zulassen muss und die IP-Konfiguration muss natürlich so eingestellt sein, dass der DNS-Server korrekt angegeben ist. Dann wird der DNS-Server auch korrekt gefunden und AD kann auf RECHNER 2 installiert werden mit dem im Netzwerk vorhandenen DNS-Server (auf separatem Rechner). Funzt einwandfrei. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 5. September 2009 Melden Teilen Geschrieben 5. September 2009 Deine Definition von "Morgen" ist also 10 Monate später? :) Zitieren Link zu diesem Kommentar
varnik 10 Geschrieben 6. September 2009 Melden Teilen Geschrieben 6. September 2009 Deine Definition von "Morgen" ist also 10 Monate später? :) Evtl. zu langer Winterschlaf? @MR1701 Man hat dich bereits am Anfang auf unsichere Zonenupdates hingewiesen. Zitieren Link zu diesem Kommentar
MR1701 10 Geschrieben 6. September 2009 Autor Melden Teilen Geschrieben 6. September 2009 Jaaa - ist ja schon gut! Ich hatte damals (bzügl. MORGEN) leider keine Zeit mehr danach zu suchen!!!! Bei mir stand damals ein Job-Wechsel an und da blieb sogar nicht einmal mehr Zeit, die Prüfung 70-291 zu machen! Ich bin jetzt erst wieder dazu gekommen mich hinter mein Buch zu klemmen! :( Außerdem wollte ich nur mal ein Update machen, dass sich das Thema dann wohl geklärt hat. Es kommt ja schon häufiger vor - ich meine nicht in diesem Forum, aber oft in anderen - dass zwar Lösungen vorgeschlagen werden, aber die tatsächliche Lösung am Ende nicht bestätigt wird oder eben gesagt wird, dass nichts funktioniert und nicht weiter geforscht würde. ---> Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ... :mad: ;) Also, bis dann ... Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 6. September 2009 Melden Teilen Geschrieben 6. September 2009 Hi, Jaaa - ist ja schon gut!... Also, ich wollte nur sagen, dass sich das Problem gelöst hat und nicht noch irgendwelche "Tritte" kassieren, dass ich doch so lange gebraucht hätte; nicht richtig lesen könnte; und was sonst noch jemandem einfallen könnte ... die Antworten hatten doch etwas an Ironie und auch einen Smilie. :) Auf jeden Fall ist es gut das es dir geholfen hat dein Problem zu lösen und auch Danke für dein Feedback. BTW: Viel Glück für die Prüfung ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.