TiWu 0 Geschrieben 17. Juli 2015 Melden Teilen Geschrieben 17. Juli 2015 (bearbeitet) Hallo zusammen, ich habe hier folgedes Szenario: - 4 DCs intern mit in AD integriertem DNS - 2 DCs in der DMZ, ebenfalls in AD integriertes DNS evtl. Wichtig: - 2 verschiedene Domains - bidirektionale Vertrauenstellung. Auf dem DMZ-DNS-Server ist eine sekundäre Zone der internen Domain eingerichtet. So weit so gut. Jetzt meine Frage: Muss nach Einrichtung der sekundären Zone auf dem DMZ-DNS-Server nicht auch der Zonentransfer auf der internen DNS-Zone eingerichtet sein und auf den DNS-Server in der DMZ zeigen? Laut MS muss das so sein, da sonst keine Zonenübertragung stattfindet. Das ist auch mein bisheriger Wissensstand. Bei Ersteinrichtung einer sekundären Zone muss der Zonentransfer aktiviert sein. (Korrigiert mich bitte wenn ich falsch liege.) Hier in der Firma ist die Zonenübertragung allerdings ausgeschaltet und auf die Nachfrage, "warum?" konnte mir keiner sagen warum die Zonenübertragung deaktiviert ist. Jetzt bekomme ich seit ein paar tagen einen DNS Fehler 6525 welcher besagt: Eine Anforderung zur Zonenübertragung für die sekundäre Zone ui.net wurde vom Master-DNS-Server auf 10.1.x.x abgelehnt. Überprüfen Sie die Zone bei dem Masterserver 10.1.x.x, um sicherzustellen, dass der Zonentransfer zu diesem Server aktiviert ist. Öffnen Sie die DNS-Konsole, wählen Sie den Masterserver "10.1.x.x" als den entsprechenden Server, und wählen Sie in der sekundären Zone xy.net "Eigenschaften" und die Registerkarte "Zonenübertragungen". Überprüfen Sie die Einstellungen, und ändern Sie ggf. die Konfiguration (hier oder auf der Registerkarte "Namenserver"), sodass eine Zonenübertragung zu diesem Server möglich wird. Liegt das evtl an der abgeschalteten Zonenübertragung oder sollte ich an anderer Stelle weiterkucken. Danke für die Hilfe. Gruß Tim bearbeitet 17. Juli 2015 von TiWu Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 17. Juli 2015 Melden Teilen Geschrieben 17. Juli 2015 sind das zwei ADs oder eine? Wenn die Zonenübertragung aus ist kann die Zone auch nicht übertragen werden... Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 17. Juli 2015 Autor Melden Teilen Geschrieben 17. Juli 2015 (bearbeitet) Sind 2 ADs. Ja das ist auch mein bisheriger Wissenstand. dh. mit jetziger Einstellung würden keinerlei Änderungen an der primären DNS-Zone an die sekundäre DNS-Zone übertragen. Sehe ich das richtig? bearbeitet 17. Juli 2015 von TiWu Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 17. Juli 2015 Melden Teilen Geschrieben 17. Juli 2015 Moin, ohne nähere Analyse würde ich von einem AD in der DMZ entschieden abraten. Und wenn, dann gehören dort keine Daten aus der internen Domäne hin, auch nicht per Zonentransfer. Gruß, Nils Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 17. Juli 2015 Autor Melden Teilen Geschrieben 17. Juli 2015 (bearbeitet) Moin, ohne nähere Analyse würde ich von einem AD in der DMZ entschieden abraten. Und wenn, dann gehören dort keine Daten aus der internen Domäne hin, auch nicht per Zonentransfer. Gruß, Nils Danke Nils, das steht aber leider nicht zur Debatte. Die Konfiguration hab ich hier so vorgefunden und muss erst mal damit leben. Interne DNS Daten in die DMZ zu stellen ist nicht gut, da bin ich bei dir. Das AD ist ja getrennt. Heisst die DMZ ist eigener Forest. Im Moment jedoch ist es erst mal wichtiger für mich zu verstehen warum ich die Fehlermeldungen bekam. Es lag, das kann ich bisher sagen an der deaktivierten Zonenübertragung. Ich werden jetzt sukzessive Aufarbeiten was hier konfiguriert und evtl. verbockt wurde (extern erreichbare Webserver im internen Netzwerk zb.) und das dann final bei einem Meeting besprechen. Eine reine Weiterleitung würde es ja auch tun. Also keinerlei Daten in die DMZ, lediglich ein "Leite alle DNS fragen zu xy.net an die DNS Server xy weiter." -> Stubzone etc. Denke so in die Richtung geht dein Hinweis ja, oder? Vielen Dank trotzdem, ich bin immer sehr froh wenn erfahrene Member vom MCSE Board ihr Wissen und ihre Erfahrungen teilen. bearbeitet 17. Juli 2015 von TiWu Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 17. Juli 2015 Melden Teilen Geschrieben 17. Juli 2015 Moin, wenn es eine Vertrauensstellung gibt (noch dazu bidirektional!), dann sind die AD-Forests eben nicht getrennt. Interne Informationen haben in einer DMZ nichts zu suchen. Eine pauschale Weiterleitung hilft dem nicht ab. Fehlerbehebung ist das eine, konzeptionelle Fehler (zumindest potenzielle) sind aber erheblich wichtiger. Nur meine 0,02 EUR, Nils Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 17. Juli 2015 Autor Melden Teilen Geschrieben 17. Juli 2015 (bearbeitet) Hi, Fehlerbehebung ist aber im moment mein Auftrag und nicht die korrektur evtl. Konzepfehler. Das zu korrigieren nimmt weit mehr Zeit in Anspruch. Dem voraus geht auch immer eine langwierige Analyse. Und mittlerweile ist auch klar warum das gemacht wurde. Ist halt nicht immer alles Microsoft best practice. So long danke für die Auffrischung. bearbeitet 17. Juli 2015 von TiWu Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 17. Juli 2015 Melden Teilen Geschrieben 17. Juli 2015 Wäre aber trotzdem interessant, wie und warum diese Konfiguration vorgenommen wurde. Erst dann kann man ja verbessern. Kannst du dazu evtl. Was sagen? Zitieren Link zu diesem Kommentar
TiWu 0 Geschrieben 17. Juli 2015 Autor Melden Teilen Geschrieben 17. Juli 2015 Lasst mich mal ein wenig zusammentragen, dann melde ich mch wieder. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.