Jump to content

DNS Design bei mehreren Standorten

Magroll

Von Magroll
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Magroll Proficient

Magroll   10

Geschrieben
Geschrieben

Hallo zusammen,

wir haben zur Zeit noch kein produktives AD. Unsere DNS Hauptdomain ist zur Zeit "firma.local" Des weiteren haben wir z.Zt. mehrere Standorte mit eigenen DNS Servern. Jeder Server ist mit "server.standort.firma.local" FQDN auflösbar.

 

Das führte dazu das wir Hosts mit gleichen Namen haben wie z.B.

 

Fileserver.standort1.firma.local

Fileserver.standort2.firma.local

Fileserver.standort3.firma.local usw.

 

An den Standorten kann man den jeweiligen Fileserver dann einfach mit "Fileserver" von den Clients aus ansprechen. Zudem hat sich das Konstrukt mit den Standort DNS Unterdomänen bei seit langer Zeit uns bewährt und als sehr praktisch erwiesen.

 

Jetzt wollen wir ein AD mit einer einzigen Domäne aufsetzen. "ad.firma.com"

Macht es Sinn im AD unsere DNS Unterdomänen mit abzubilden? Und falls ja wie wäre der beste Weg dorthin?

 

Denn wenn ich alle Standorte in einer Domäne verwalten will, kann es den Host "Fileserver.ad.firma.com" nur einmal geben. Schöner wäre für uns aber "Fileserver.standort1.ad.firma.com"

 

Eine Domäne pro Standort anzulegen kommt für uns definitiv nicht in Frage.

 

Cu,

Mag

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

ein AD nutzt einen durchgehenden DNS-Namensraum. Unter-Namensräume ohne eigene AD-Domäne sind nicht möglich.

 

Euer Dateiserver-Konstrukt könntet ihr ggf. mit DFS-N nachbilden. Dann haben alle Dateiserver unterschiedliche Namen, aber die Anwender können über einen gemeinsamen Namespace darauf zugreifen, müssen also die einzelnen Namen nicht kennen. Das sieht dann nicht genauso aus wie jetzt, man könnte es aber in gewisser Weise ähnlich machen.

 

Gruß, Nils

Link zu diesem Kommentar
Magroll Proficient

Magroll   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hi Nils,

möglich scheint das ja schon, ich kann ja in der DNS Konsole bei "ad.firma.com" neue Domänen anlegen, wie "Standort1" und "Standort2", anschließend könnte ich die Hosts im DNS in die DNS Unterdomänen verschieben, oder manuell Aliase anlegen, aber nach allem was ich lese scheint das wohl keine gute Idee zu sein, mir ist nur nicht klar, warum? Ich möchte mir durch solche Konstrukte jedoch nur ungern Probleme für die Zukunft einbauen, auch wenn ich zur Zeit nicht weiß welche das wohl sein sollten?

 

Wir verwalten ja im Moment auch alle Server manuell im DNS, da die IPs ja statisch sind. Die DHCP Clients legen via DDNS selbst Ihre Einträge an.

 

Das mit den Fileservern war nur ein Beispiel, wir machen das gleiche mit Mail und Datenbankservern, das Modell ist recht ausgeprägt, daher versuche ich es auch im AD fortzuleben, wenn möglich / sinnvoll....

 

Gruß,

Mag

bearbeitet von Magroll
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

nicht alles, was man theoretisch oder technisch tun kann, ist auch sinnvoll. Vieles davon führt zu Fehlfunktionen.

 

Ein DNS-Namensraum, der vom AD-Namensraum abweicht, wird mit allergrößter Sicherheit zu großen Problemen führen. Lasst das bleiben. AD ist nicht dafür gebaut, dass das funktioniert.

Mit DNS-Aliasnamen könnte man evtl. das eine oder andere erreichen. Man sollte sich aber auch hier auf Aufwand und Fehler gefasst machen. Und die Fehler, die zu erwarten sind, werden ziemlich sicher zu der Kategorie "schwer zu finden und schwer zu lösen" gehören.

 

Ich kann nur davon abraten. Falsche oder nicht standardgemäße DNS-Konfigurationen sind mit großem Abstand die Top-1-Fehlerquelle in AD-Umgebungen.

 

Gruß, Nils

  • Like 1
Link zu diesem Kommentar
Magroll Proficient

Magroll   10

Geschrieben
  • Autor
Geschrieben

Neben der Idee mit DFS-N gibt es im DNS die Möglichkeit die DNS Rückmeldung nach Standort (bzw. nach Subnetz) sortiert zu bekommen bei einem selben DNS Namen http://blog.icewolf.ch/archive/2010/02/22/dns-netmask-ordering.aspx

 

Wie geil ist das denn? Sehr geil.  :D

Das könnte mir in der Tat bei einem Großteil meiner "Probleme" helfen.

 

Werde ich die Tage mal mit rumprobieren, danke für den Tip!

 

Cya,

Mag

Link zu diesem Kommentar
Magroll Proficient

Magroll   10

Geschrieben
  • Autor
Geschrieben

Das Problem mit den "fachkundigen" Dritten ist manchmal auch leider eben deren "Fachkundigkeit". Es ist intern wie extern gleich schwer fähige Menschen zu bekommen :/

 

Ich halte das "Konstrukt" durchaus für leicht durchschaubar, ob es denn auch zum Einsatz kommen wird steht noch nicht fest, ich beschäftige mich parallel noch mit dem Einsatz von Child Domains und anderen Alternativen, ggf. werde ich mir ext. Beratung reinholen, wo es eben aber auch schwer ist, jemanden zu finden der wirklich Ahnung hat :/

 

Cya,

Mag

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

oh, da wüsste ich Leute ... ;)

 

Deine Überlegungen in Ehren, aber für mich klingt es, als würdest du es dir nur unnötig schwer machen, indem du vorhandene Konzepte auf eine Umgebung zu übertragen versuchst, wo sie nicht funktionieren. Gerade in der IT und insbesondere bei Standarddiensten ist es meistens eine gute Idee, sich daran zu orientieren, wie es gedacht ist (und weniger daran, wie man es so verbiegen kann, dass es irgendwie auch gerade noch funktioniert). Natürlich wird jemand, der sich auskennt, auch mit Konstrukten klarkommen, die "etwas exotisch" sind, aber er wird dafür mehr Zeit brauchen und über das eine oder andere stolpern. Dadurch erhöhen sich dann Supportkosten.

 

Mit Child Domains würdest du die Kosten sogar direkt erhöhen, denn für jede Domäne brauchst du minimal zwei Domänencontroller ... und hast in der Folge erheblich mehr Aufwand.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
  • 3 Wochen später...
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

dann lies bitte die ursprüngliche Idee noch mal: Er will denselben Hostnamen für mehrere Hosts, aber unterschiedliche DNS-Suffizes. Das gibt beim besten Willen kein brauchbares Konzept in einem AD.

 

Mag sein, dass man das hinbekommt. In Fehlersituationen ist sowas ein Alptraum. Und da es ein vermeidbarer Alptraum ist, bin ich fürs Vermeiden.

 

Gruß, Nils

Link zu diesem Kommentar
frr Proficient

frr   11

Geschrieben
Geschrieben

Hi Nils,

 

die gleichen Hostnamen für das Computerkonto selbst geht nicht. Aber das muss auch nicht sein, um das was der OP will zu realisieren.

 

1.) Man konfiguriert die zusätzlichen DNS Suffixe im Attribut msds-AllowedDNSSuffixes am Domänenobjekt (z.b. standort1.dom.local,standort2.dom.local,standort3.dom.local)

2.) Man installiert drei Fileserver FS1,FS2,FS3

3.) Man erstellt einen CNAME "Fileserver" in jeder Subdomain, der jeweils auf FS1,FS2,FS3 zeigt.

4.) Man erstellt mit setspn den jeweiligen SPN der am Computerobjekt hängt 

5.) Man konfiguriert DisableStrictNameChecking auf jedem Fileserver

 

That´s it. Dann funktioniert die Sache und das auch mit Kerberos Authentifizierung.

 

Bye,

 

Frank

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...