Magroll 10 Geschrieben 23. März 2015 Melden Teilen Geschrieben 23. März 2015 Hallo zusammen, wir haben zur Zeit noch kein produktives AD. Unsere DNS Hauptdomain ist zur Zeit "firma.local" Des weiteren haben wir z.Zt. mehrere Standorte mit eigenen DNS Servern. Jeder Server ist mit "server.standort.firma.local" FQDN auflösbar. Das führte dazu das wir Hosts mit gleichen Namen haben wie z.B. Fileserver.standort1.firma.local Fileserver.standort2.firma.local Fileserver.standort3.firma.local usw. An den Standorten kann man den jeweiligen Fileserver dann einfach mit "Fileserver" von den Clients aus ansprechen. Zudem hat sich das Konstrukt mit den Standort DNS Unterdomänen bei seit langer Zeit uns bewährt und als sehr praktisch erwiesen. Jetzt wollen wir ein AD mit einer einzigen Domäne aufsetzen. "ad.firma.com" Macht es Sinn im AD unsere DNS Unterdomänen mit abzubilden? Und falls ja wie wäre der beste Weg dorthin? Denn wenn ich alle Standorte in einer Domäne verwalten will, kann es den Host "Fileserver.ad.firma.com" nur einmal geben. Schöner wäre für uns aber "Fileserver.standort1.ad.firma.com" Eine Domäne pro Standort anzulegen kommt für uns definitiv nicht in Frage. Cu, Mag Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 23. März 2015 Melden Teilen Geschrieben 23. März 2015 Moin, ein AD nutzt einen durchgehenden DNS-Namensraum. Unter-Namensräume ohne eigene AD-Domäne sind nicht möglich. Euer Dateiserver-Konstrukt könntet ihr ggf. mit DFS-N nachbilden. Dann haben alle Dateiserver unterschiedliche Namen, aber die Anwender können über einen gemeinsamen Namespace darauf zugreifen, müssen also die einzelnen Namen nicht kennen. Das sieht dann nicht genauso aus wie jetzt, man könnte es aber in gewisser Weise ähnlich machen. Gruß, Nils Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. März 2015 Autor Melden Teilen Geschrieben 23. März 2015 (bearbeitet) Hi Nils, möglich scheint das ja schon, ich kann ja in der DNS Konsole bei "ad.firma.com" neue Domänen anlegen, wie "Standort1" und "Standort2", anschließend könnte ich die Hosts im DNS in die DNS Unterdomänen verschieben, oder manuell Aliase anlegen, aber nach allem was ich lese scheint das wohl keine gute Idee zu sein, mir ist nur nicht klar, warum? Ich möchte mir durch solche Konstrukte jedoch nur ungern Probleme für die Zukunft einbauen, auch wenn ich zur Zeit nicht weiß welche das wohl sein sollten? Wir verwalten ja im Moment auch alle Server manuell im DNS, da die IPs ja statisch sind. Die DHCP Clients legen via DDNS selbst Ihre Einträge an. Das mit den Fileservern war nur ein Beispiel, wir machen das gleiche mit Mail und Datenbankservern, das Modell ist recht ausgeprägt, daher versuche ich es auch im AD fortzuleben, wenn möglich / sinnvoll.... Gruß, Mag bearbeitet 23. März 2015 von Magroll Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 23. März 2015 Melden Teilen Geschrieben 23. März 2015 Moin, nicht alles, was man theoretisch oder technisch tun kann, ist auch sinnvoll. Vieles davon führt zu Fehlfunktionen. Ein DNS-Namensraum, der vom AD-Namensraum abweicht, wird mit allergrößter Sicherheit zu großen Problemen führen. Lasst das bleiben. AD ist nicht dafür gebaut, dass das funktioniert. Mit DNS-Aliasnamen könnte man evtl. das eine oder andere erreichen. Man sollte sich aber auch hier auf Aufwand und Fehler gefasst machen. Und die Fehler, die zu erwarten sind, werden ziemlich sicher zu der Kategorie "schwer zu finden und schwer zu lösen" gehören. Ich kann nur davon abraten. Falsche oder nicht standardgemäße DNS-Konfigurationen sind mit großem Abstand die Top-1-Fehlerquelle in AD-Umgebungen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. März 2015 Autor Melden Teilen Geschrieben 23. März 2015 Das war nicht die Antwort die ich mir erhofft habe, aber das Leben ist ja kein Ponyhof... Dann werde ich mir wohl alternative Lösungen suchen müssen um unsere Struktur so umzubauen das Sie in ein Single Domain Active Directory passt :( *ratlos* ThX, Mag Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 23. März 2015 Melden Teilen Geschrieben 23. März 2015 Moin, es gibt durchaus kompetente Berater für sowas. :D Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 23. März 2015 Melden Teilen Geschrieben 23. März 2015 Neben der Idee mit DFS-N gibt es im DNS die Möglichkeit die DNS Rückmeldung nach Standort (bzw. nach Subnetz) sortiert zu bekommen bei einem selben DNS Namen http://blog.icewolf.ch/archive/2010/02/22/dns-netmask-ordering.aspx 1 Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 25. März 2015 Autor Melden Teilen Geschrieben 25. März 2015 Neben der Idee mit DFS-N gibt es im DNS die Möglichkeit die DNS Rückmeldung nach Standort (bzw. nach Subnetz) sortiert zu bekommen bei einem selben DNS Namen http://blog.icewolf.ch/archive/2010/02/22/dns-netmask-ordering.aspx Wie geil ist das denn? Sehr geil. :D Das könnte mir in der Tat bei einem Großteil meiner "Probleme" helfen. Werde ich die Tage mal mit rumprobieren, danke für den Tip! Cya, Mag Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. März 2015 Melden Teilen Geschrieben 25. März 2015 Aber wehe, das muß dann ein "fachkundiger Dritter" mal supporten, der das Konstrukt nicht kennt :D :D :D Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 26. März 2015 Autor Melden Teilen Geschrieben 26. März 2015 Das Problem mit den "fachkundigen" Dritten ist manchmal auch leider eben deren "Fachkundigkeit". Es ist intern wie extern gleich schwer fähige Menschen zu bekommen :/ Ich halte das "Konstrukt" durchaus für leicht durchschaubar, ob es denn auch zum Einsatz kommen wird steht noch nicht fest, ich beschäftige mich parallel noch mit dem Einsatz von Child Domains und anderen Alternativen, ggf. werde ich mir ext. Beratung reinholen, wo es eben aber auch schwer ist, jemanden zu finden der wirklich Ahnung hat :/ Cya, Mag Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 26. März 2015 Melden Teilen Geschrieben 26. März 2015 (bearbeitet) Moin, oh, da wüsste ich Leute ... ;) Deine Überlegungen in Ehren, aber für mich klingt es, als würdest du es dir nur unnötig schwer machen, indem du vorhandene Konzepte auf eine Umgebung zu übertragen versuchst, wo sie nicht funktionieren. Gerade in der IT und insbesondere bei Standarddiensten ist es meistens eine gute Idee, sich daran zu orientieren, wie es gedacht ist (und weniger daran, wie man es so verbiegen kann, dass es irgendwie auch gerade noch funktioniert). Natürlich wird jemand, der sich auskennt, auch mit Konstrukten klarkommen, die "etwas exotisch" sind, aber er wird dafür mehr Zeit brauchen und über das eine oder andere stolpern. Dadurch erhöhen sich dann Supportkosten. Mit Child Domains würdest du die Kosten sogar direkt erhöhen, denn für jede Domäne brauchst du minimal zwei Domänencontroller ... und hast in der Folge erheblich mehr Aufwand. Gruß, Nils bearbeitet 26. März 2015 von NilsK Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. März 2015 Melden Teilen Geschrieben 26. März 2015 oh, da wüsste ich Leute ... ;) Ich würde Dich auch empfehlen :) Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 14. April 2015 Melden Teilen Geschrieben 14. April 2015 Hi Nils, da kann ich Dir nicht zustimmen. Natürlich ist es möglich ein AD zu betreiben, wo die Hosts unterschiedliche DNS Suffixe benutzen. Das ist auch supported by MS und macht z.B. in dem vom OP geposteten Szenario Sinn. Bye, Frank Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 14. April 2015 Melden Teilen Geschrieben 14. April 2015 Moin, dann lies bitte die ursprüngliche Idee noch mal: Er will denselben Hostnamen für mehrere Hosts, aber unterschiedliche DNS-Suffizes. Das gibt beim besten Willen kein brauchbares Konzept in einem AD. Mag sein, dass man das hinbekommt. In Fehlersituationen ist sowas ein Alptraum. Und da es ein vermeidbarer Alptraum ist, bin ich fürs Vermeiden. Gruß, Nils Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 16. April 2015 Melden Teilen Geschrieben 16. April 2015 Hi Nils, die gleichen Hostnamen für das Computerkonto selbst geht nicht. Aber das muss auch nicht sein, um das was der OP will zu realisieren. 1.) Man konfiguriert die zusätzlichen DNS Suffixe im Attribut msds-AllowedDNSSuffixes am Domänenobjekt (z.b. standort1.dom.local,standort2.dom.local,standort3.dom.local) 2.) Man installiert drei Fileserver FS1,FS2,FS3 3.) Man erstellt einen CNAME "Fileserver" in jeder Subdomain, der jeweils auf FS1,FS2,FS3 zeigt. 4.) Man erstellt mit setspn den jeweiligen SPN der am Computerobjekt hängt 5.) Man konfiguriert DisableStrictNameChecking auf jedem Fileserver That´s it. Dann funktioniert die Sache und das auch mit Kerberos Authentifizierung. Bye, Frank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.