Anderl27 1 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Hallo zusammen, möglicherweise bin ich nicht der erste der diese Frage stellt (gestellt hat), aber ich wurde vor kurzem verunsichert. Wir haben hier ein kleines, flaches Netz. Clients -> DC (inkl AD und DNS) -> Endian-FW -> Router -> Glasfaser So, ich hab das bisher immer so konfiguriert: DNS bei den Clients ist der DC GW bei den Clients ist die FW der DC erhält als DNS Adresse was standardmäßig eingetragen wurde (Irgendein Rootserver) Als GW erhält er auch die FW An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet. Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug. Kann mir das bitte jemand erklären wieso das so ist? danke Anderl27 Zitieren
Dukel 460 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Der DC (wieso nur ein DC? sollten min. zwei sein!) muss sich selbst bzw. einen anderen DC als DNS Server konfiguriert haben. Im DNS Server selbst nutzt man den Router (oder bei dir Endian, wenn das als DNS Forwarder arbeitet) oder einen Provider DNS als Forwarder. Zitieren
Anderl27 1 Geschrieben 29. Juli 2019 Autor Melden Geschrieben 29. Juli 2019 wieso nur einer? wieso zwei? :) uns reicht der eine. bei 20 Arbeitsplätzen ist das sehr überschaubar. ok, dann pack ich bei der Weiterleitung die Endian rein und in den Netzwerkeinstellungen hab ich loopback drin, ok? Was ändert sich durch diese Einstellung eigentlich im Detail? danke dir Zitieren
Dukel 460 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Alle Maschinen (Clients und DC) fragen den internen DNS Server (DC) und dieser löst interne Adressen auf und alles andere geht an den Forwarder (Endian, Router oder Provider), welcher andere DNS Server oder die DNS-Root Server fragt. Ich würde in jedem produktiven Netzwerk, egal wie groß, zwei DC's nutzen. Zitieren
Anderl27 1 Geschrieben 29. Juli 2019 Autor Melden Geschrieben 29. Juli 2019 wegen Ausfallsicherheit? Zitieren
Dukel 460 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Ja. Und weil es vieles einfacher macht. Zitieren
Anderl27 1 Geschrieben 29. Juli 2019 Autor Melden Geschrieben 29. Juli 2019 echt? was macht es denn einfacher? ok, wenn mal neu gestartet werden muss ist immer noch ein DC oder DNS da, das sicherlich, aber das lässt sich ja "planen" Zitieren
Nobbyaushb 1.506 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 19 Minuten schrieb Dukel: Ich würde in jedem produktiven Netzwerk, egal wie groß, zwei DC's nutzen. Wir haben fünf Zitieren
Dukel 460 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Just now, Nobbyaushb said: Wir haben fünf Ja ich habe das "mindestens" vergessen. 1 Zitieren
Nobbyaushb 1.506 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 (bearbeitet) vor 14 Minuten schrieb Anderl27: echt? was macht es denn einfacher? ok, wenn mal neu gestartet werden muss ist immer noch ein DC oder DNS da, das sicherlich, aber das lässt sich ja "planen" Nicht, wenn er dir wegen eins Soft- und/oder Hardwarefehlers ausfällt - und ja, auch eine VM kann defekt sein - oder der Host, oder, oder - es gibt viele Gründe. In eine Domäne gehören immer mindestens 2 DC´s - Punkt. Je nach Größe mehr. Alles andere fällt in den Bereich leichtsinnig bis fahrlässig - meine Meinung bearbeitet 29. Juli 2019 von Nobbyaushb Typo Zitieren
Anderl27 1 Geschrieben 29. Juli 2019 Autor Melden Geschrieben 29. Juli 2019 ok, verstehe, danke für Eure Hilfe, werde drüber nachdenken einen weiteren reinzupacken 1 Zitieren
Nobbyaushb 1.506 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 4 Minuten schrieb Anderl27: ok, verstehe, danke für Eure Hilfe, werde drüber nachdenken einen weiteren reinzupacken Nicht drüber nachdenken, machen. Poste mal ein ipconfig /all | clip von dem (noch einsamen) DC und einem Client, dann bekommst du passende Tips von den Leuten hier. Zitieren
falkebo 21 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 (bearbeitet) Meine Meinung zu dem Thema: Die Clients bekommen die Firewall als primären DNS Server. Wieso die Firewall und nicht der DC? In der Regel sind über 80% der DNS Anfragen außerhalb der eigenen Zone, wieso den Domaincontroller damit belasten? Abgesehen davon, werden die Requests dann sowieso vom DC zu Firewall weitergeleitet, warum also nicht direkt zur Firewall? In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet. bearbeitet 29. Juli 2019 von falkebo Zitieren
NorbertFe 2.155 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 10 Minuten schrieb falkebo: wieso den Domaincontroller damit belasten? Weil dem sonst langweilig ist wenn ihn niemand fragt. ;) wo isn jetzt der Vorteil bei deiner Variante? Und jetzt sag bitte nicht beim booten des dcs kann noch gesurft werden. ;) und ja man kann das auch so konfigurieren. Zitieren
falkebo 21 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 2 Minuten schrieb NorbertFe: Weil dem sonst langweilig ist wenn ihn niemand fragt. ;) wo isn jetzt der Vorteil bei deiner Variante? Und jetzt sag bitte nicht beim booten des dcs kann noch gesurft werden. ;) und ja man kann das auch so konfigurieren. Da habe ich 2 Beispiele für dich :) Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall Punkt 2: IDS / IPS Systeme wissen direkt welcher Client versucht hat z.B. einen "bösen" lookup durchzuführen. Ansonsten sieht es für die Firewall so aus als würden alle Anfragen von den DCs kommen. Kann man natürlich auch anders machen, aber ich sehe in dieser Variante keinen Nachteil. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.