Apex 15 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Hallo es wird der Einsatz eines DNS Servers überlegt, der nicht AD integriert ist in einer normalen AD Domäne. Die übrigen DNS Server sind AD integriert und laufen so, wie das üblich ist. Hintergrund ist, dass der DNS Server ohne personenbezogene Daten (AD) laufen soll. Ich kann mich erinnern aus der Zeit als man noch oft Bind in Verbindung mit AD Domänen verwendet hat, dass es dabei Nachteile gibt einen Windows DNS Server standalone zu betreiben. Mit welchen Nachteilen muss ich rechnen, wenn ich einen der DNS Server so betreiben soll? Danke Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Die Anforderung verstehe ich nicht. Die Daten sind im AD in verschiedenen Partitionen gespeichert. Was hast das Eine mit dem Anderen zu tun? Du kannst den DNS auch nicht AD-Integriert betreiben. Dann liegen die Daten aber immer noch auf dem gleichen Datenträger wie das AD. Das macht keinen Unterschied. Zur Synchronisierung der DNS-Server kannst Du dann nicht mehr das AD nehmen (was Dir quasi jede Admin-Tätigkeit abnimmt), sondern Du musts die Replizierung direkt im DNS-Server konfigurieren. Habe ich echt noch nie gemacht. Findest bei MS aber sicher Anleitungen. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Hi, was möchtest du denn mit dem nicht ins AD integrierten DNS tun bzw. was soll er tun? Gruß Jan Zitieren Link zu diesem Kommentar
Apex 15 Geschrieben 13. April 2018 Autor Melden Teilen Geschrieben 13. April 2018 Ich bin von der Anforderung auch nicht begeistert. Der DNS Server (ohne AD) soll in eine Zone, in der keine personenbezogenen Daten erwünscht sind. Dieser soll rein zur Namensauflösung genutzt werden und die Geschwindigkeit erhöhen der Anfragen bezogen auf Latenz und Antwortgeschwindigkeit. Das mit der Synchronisierung, die normalerweise das AD über Replikation erledigt, ist ein guter Punkt. Danke dafür Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 (bearbeitet) Firewall und nur UDP Port 53 erlauben? Welche personenbezogene Daten soll der DNS dann ausplaudern? Stichwort für Deine Anforderung ist "Zone Transfer"... bearbeitet 13. April 2018 von zahni Zitieren Link zu diesem Kommentar
Apex 15 Geschrieben 13. April 2018 Autor Melden Teilen Geschrieben 13. April 2018 vor 7 Minuten schrieb zahni: Welche personenbezogene Daten soll der DNS dann ausplaudern? Wie ist das gemeint? Eben keine. Er macht ja nur DNS und stellt kein AD bereit, ist kein DC. Darum geht es ja. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Du hast DC01 (inkl. DNS) und DC02 (inkl. DNS) und möchtest jetzt DNS01 (kein DC)? Warum? Was ist denn die _genaue_ Anforderung? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 (bearbeitet) Er möchte neben dem DC01 und DC02 einen DNS01 haben, welcher nur DNS macht und nichts anderes. EDIT: Hier gibts es eine Anleitung dafür: https://www.interfacett.com/blogs/how-to-configure-a-dns-secondary-zone-in-windows-server-2008-2012/ bearbeitet 13. April 2018 von Dukel 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Der Grund wäre aber trotzdem interessant. Kann sich ja eigentlich nur um Split-DNS und DMZ Konstruktion handeln. Insofern wäre es nett, wenn der TO für Interessierte Leser und Helfer seine Überlegungen/Anforderungen mitteilen könnte. Zitieren Link zu diesem Kommentar
Apex 15 Geschrieben 13. April 2018 Autor Melden Teilen Geschrieben 13. April 2018 Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert. Dort an diesem Standort soll/darf aber kein vollwertiger Domänencontroller aufgebaut werden. Meine Frage ist, hier wäre eine Antwort wirklich toll, was habe ich für Nachteile dadurch, dass ich einen DNS Server betreibe, der nicht AD-integriert ist? Danke Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Schau Dir mal die Links der vorherigen Beiträge an. Allerdings würde ich vorsichtig vermuten, dass es noch andere Probleme am Standort gibt, wenn schon die Namesauflösung zu lange dauert. Da werden wirklich wenig Daten übertragen. Will sagen: Der lokale DNS wird das eigentliche Problem nicht lösen. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 vor 12 Minuten schrieb Apex: Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert. Interne Namensauflösung dauert zu lange? Dann dürfte ein DNS Server (secondary) ja maximal das Problem welches ursächlich ist verschleiern. Alternativ, wenn dort eh ein "Server" hin soll, kannst du ja auch nen RODC in Betracht ziehen, aber wie Zahni schon schrob, ich denke da gibt es wahrscheinlich andere Probleme, als DNS (wahrscheinlich Router Forwarder usw.). Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 13. April 2018 Melden Teilen Geschrieben 13. April 2018 Moin, vor 56 Minuten schrieb Apex: Die Anforderung, die an mich herangetragen wurde ist, dass an einem abgesetzten Standort ein DNS Server aufgebaut werden soll, da die Namensauflösung "zu lange" dauert. Dort an diesem Standort soll/darf aber kein vollwertiger Domänencontroller aufgebaut werden. dann sag das doch gleich. Leider ist es in Foren üblich, nur eine Detailfrage zu stellen, statt zu sagen, worum es geht. Das behindert die Sache unnötig - der Thread hätte schon viel schneller eine Antwort liefern können. Also: Natürlich geht das, es ist in solchen Szenarien sogar durchaus üblich. Du kannst einen DNS Secondary einrichten, der sich die DNS-Daten (und nur diese) von einem DC/DNS holt. Solange es sich um einen Nur-Lese-Zugriff handelt, ist das auch ein gangbarer Weg. Ob sich damit allerdings die Anforderungen erfüllen lassen, lässt sich aufgrund der eher unscharfen Äußerungen dazu nicht ablesen. Der beschriebene Secondary würde alle DNS-Einträge enthalten und abfragbar machen, da können durchaus personenbeziehbare Daten dabei sein (z.B. Namen von PCs, die zu bestimmten Mitarbeitern gehören - etwa "PC-MEYER"). Hier wäre also ggf. ein Blick auf die genauen Anforderungen und die Details der Umgebung relevant. Gruß, Nils Zitieren Link zu diesem Kommentar
Apex 15 Geschrieben 17. April 2018 Autor Melden Teilen Geschrieben 17. April 2018 Mag sein, nur bringen mir die Aussagen im Gegenzug aktuell immer noch nicht sehr viel. Die DNS Einträge sind nicht kritisch, auch das wurde mir so mitgeteilt. Diese Aussage kann ich teilen, da es tatsächlich um die Benutzer-Einträge im AD geht, also um personenbezogene Daten. Die Rechner und Server nutzen ein Namensschema, das nichts damit zu tun hat und eher auf die Funktion des Rechners abzielt. Den einen Tip nehme ich gern, aber meine konkrete Frage: "Habe ich Nachteile bei einem Einsatz eines nicht-AD-integrierten DNS Servers" wurde nicht abschließend beantwortet. Geht es tatsächlich nur um die Replikation, die mir fehlt? Die muss ich manuell konfigurieren: OK, geschenkt. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 17. April 2018 Melden Teilen Geschrieben 17. April 2018 Einige Dinge habe ich ja genannt. Was erwartest Du denn? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.