Primary DNS suffix für Workstations

[Gast]

Hallo,

 

ich beschäftige mich aktuell sehr intensiv mit dem Thema DNS-Planung in Hinblick auf ein AD.

 

In den Büchern und Dokumenten von MS habe ich explizit zu diesem Punkt keine Hilfe gefunden, deshalb hoffe ich, dass Ihr ein paar Hinweise habt.

 

Ich würde gerne die Workstation Einträge von den Servereinträgen separieren, damit man ein wenig Ordnung halten kann. Das hat bei meinen Tests auch sehr gut funktioniert, aber ich bin mir nicht sicher, ob es in der Praxis später ein Stolperstein sein könnte.

 

Folgende Situation:

 

Es gibt nur eine Domäne, es sind ausschließlich sichere dynamische Updates zugelassen. Der DNS-Namespace lautet example.com

 

Der erste DC heißt z.B. DC01.example.com

 

Nun habe ich einem Test-PC einfach als "Primary DNS suffix of this computer" ws.example.com angegeben. Nach dem AD-Join war in der DNS-Übersicht ein "Ordner" mit dem Namen ws zu finden und dort war der DNS-Eintrag des Test-PCs zu finden. Die Namensauflösung hat bei den Tests wunderbar funktionert.

 

Super, genau so wollte ich es auch haben. Nun bin ich nur unsicher, ob es später Probleme verursachen kann, weil es von MS vllt. überhaupt nicht vorgesehen ist?!

 

Vielen Dank für Eure Antworten.

 

Gruss,

Adrian

 

PS: Nachdem ich nun seit Jahren nur stiller Leser bin, endlich ein Beitrag von mir ;-)

[NilsK 2.921]

Moin,

 

ein solcher "disjoint namespace" ist durchaus möglich. Die Frage ist, ob er auch sinnvoll ist.

 

In normalen Kundenumgebungen habe ich noch nie eine ernsthafte Anforderung gehabt, die Systeme in DNS "optisch" zu trennen. Meist ergibt sich eine Zuordnung schon aufgrund einer Namenskonvention. Hingegen könnte ein solcher "disjoint namespace" durchaus höheren Aufwand oder sogar Folgeprobleme an anderen Stellen geben, einfach weil er unüblich ist.

 

Welchen tatsächlichen Vorteil versprichst du dir denn davon? Administrative Tätigkeiten nimmt man normalerweise im AD vor und nicht in DNS, und dort gliedert man ohnehin per OU-Struktur.

 

Gruß, Nils

[Gast]

Hallo Nils,

 

schön, Dich mal "persönlich" im Forum zu sprechen ;-)

 

Deine Ausführungen sind völlig einleuchtend und klar.

 

Ich verspreche mir den Vorteil, dass man die Übersicht so ein wenig verbessern kann. Bei ca. 2.000 Workstations fallen halt einige DNS-Einträge an.

 

Ich bin gespaltener Meinung hierzu. Auf der einen Seite fände ich die Trennung optisch und administrativ einfach besser, da ich dann explizit Rechte auf diesen "Ordner" geben könnte und der HelpDesk bei den Servereinträgen nichts zu suchen hätte.

 

Auf der einen Seite hast Du vollkommen Recht. Warum sollte man es komplizierter machen. Die anderen Mittel genügen und ob der HelpDesk unbedingt Rechte bei den DNS-Einträgen von Computern braucht, ist auch eher fraglich. So gibt's halt keine! Im Normalfall greifen sämtliche Automatismen, die ein manuelles Eingreifen von HelpDesk Mitarbeitern nicht notwendig machen. Wenn doch mal ein Eingreifen notwendig ist, muss das halt von den Admins erledigt werden.

 

Vielen Dank für deine Gedankenunterstützung. Das hat mich in meiner Entscheidungsfindung weitergebracht.

 

Vielen Dank,

Adrian

[NilsK 2.921]

Moin,

 

da ich dann explizit Rechte auf diesen "Ordner" geben könnte und der HelpDesk bei den Servereinträgen nichts zu suchen hätte.

 

äh - nö. Auf DNS-Einträgen solltest du nicht delegieren. Das wird ganz schnell nach hinten losgehen.

 

Deine Argumente sprechen für die OU-Struktur, aber nicht für DNS.

 

Gruß, Nils

[blub 115]

Hallo,

 

wir hatten uns auch mal ein solches Konstrukt überlegt. Wir wollten dadurch steuern, dass nicht alle DNS-Einträge der Domäne auf alle DCs repliziert werden müssen. (Mandantentrennung / Last /Übersichtlichkeit)

Bei einer solch Miniumgebung ists aber wie gesagt wenig sinnvoll :)

 

blub

[Gast]

Hi,

 

vielen Dank für die Info! :-)

 

Dann werde ich diese Idee erstmal verwerfen!

 

Gruss,

Adrian