NorbertFe 2.155 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit. Zitieren
MurdocX 965 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 47 Minuten schrieb falkebo: In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet. Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig? vor 27 Minuten schrieb falkebo: Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall Und wieviel Millisekunden oder KB willst du dadurch einsparen was diese Argumentation rechtfertigt? Zitieren
lefg 276 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 (bearbeitet) vor 3 Stunden schrieb Anderl27: wegen Ausfallsicherheit? Verfügbarkeit vor 4 Stunden schrieb Anderl27: wieso nur einer? wieso zwei? :) uns reicht der eine. bei 20 Arbeitsplätzen ist das sehr überschaubar. Natürlich reicht bei 20 Clients für den Betrieb der Domäne ein DC aus. Warum einen zweiten DC vorhalten, die Kosten dafür tragen? Wie sieht es aber aus, falls der eine DC ausfällt? Was funktioniert dann noch, was funktioniert nicht? Was wird benötigt? Was wird nicht wirklich so dringend benötigt? Wie schnell kann ein neuer DC hergestellt werden, geeignete Hardware vorhanden, kann der DC aus der Sicherung hergestellt werden? Wirklich, getestet, funktioniert? Ich bin Jahre mit je einem DC pro Domäne und Einrichtung ausgekommen, und dann fiel der am ungünstigsten stationierte aus. Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten, das anzupassen kostete mir die Osterferien. bearbeitet 29. Juli 2019 von lefg 1 Zitieren
falkebo 21 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 2 Stunden schrieb NorbertFe: Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit. Das mit der dynamischen Registrierung stimmt, da müsste man prüfen wie man das lösen könnte. vor 1 Stunde schrieb MurdocX: Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig? Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos. 1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen! 2. Das selbe Szenario kann dir auch mit einem DC passieren. PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig. Zitieren
NorbertFe 2.155 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 1 Minute schrieb falkebo: da müsste man prüfen wie man das lösen könnte. Man trägt den dc als DNS bei den Clients ein. ;) vor 40 Minuten schrieb lefg: Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten Naja das eine gehört zum anderen. ;) Zitieren
lefg 276 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 11 Minuten schrieb NorbertFe: vor 51 Minuten schrieb lefg: Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten Naja das eine gehört zum anderen. ;) Das habe ich wohl missverständlich geschrieben. Mit User-Datensätze sind gemeint die Homeverzeichnisse, mit den Arbeiten der Studierenden und Auszubildenden. (Fachschule für Betriebswirtschaft und Berufsakademie) Zitieren
Sunny61 816 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 3 Stunden schrieb falkebo: Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall Wo ist unnötiger doppelter Traffic? Es ist nur 1 Station dazwischen, nichts unnötig und nichts doppelt. Zitieren
NorbertFe 2.155 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 17 Minuten schrieb lefg: Das habe ich wohl missverständlich geschrieben. Nö, ich hab dich schon verstanden. Aber sid und ad gehören nunmal zusammen. Zitieren
Nobbyaushb 1.506 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 vor 5 Stunden schrieb Anderl27: An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet. Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug. Kann mir das bitte jemand erklären wieso das so ist? Die Diskussion ist zwar interessant, hat aber inzwischen wenig mit der Frage des TO zu tun. Das kann man meiner Meinung nach nicht so pauschal beantworten - das kommt auf die verwendeten Geräte und den Provider an. Wenn die Firewall (wir haben SecurePoint und Lancom im Einsatz) DNS kann, steht der Name / die IP der Firewall im Forward der DNS Zone @falkebo deine Ansicht ist teilweise nachzuvollziehen, aber nicht best Practice, und würde ich in einem AD nie machen Zitieren
daabm 1.386 Geschrieben 29. Juli 2019 Melden Geschrieben 29. Juli 2019 Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind. Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden. Zitieren
Tektronix 21 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Moin, beim Dc im Interface solltest Du die IP des DC eintragen und nicht die Loopbackadresse. Zitieren
Nobbyaushb 1.506 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Nachtrag - hatte ich das Ipconfig /all übersehen oder noch nicht gepostet? Zitieren
MurdocX 965 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor 15 Stunden schrieb falkebo: In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet. vor 12 Stunden schrieb falkebo: Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos. 1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen! 2. Das selbe Szenario kann dir auch mit einem DC passieren. PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig. Genau, 2 DCs auf den Clients eintragen anstatte eine Firewall. Von HA war hier ja nicht die Rede Gründe warum man das nicht macht, wurden ja genug genannt. Zitieren
lefg 276 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor 10 Stunden schrieb daabm: Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden. Nach den DC als DNS und weiteren internen DNS, nach den des ISP, den 8.8.8.8 und 8.8.4.4 als weitere externe DNS? Wäre das diskussionswürdig? Zitieren
NorbertFe 2.155 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Wer gern mehr Daten an Google schicken will für den sicher. Wobei dein "nach" zu klären wäre. Am Client würde ich das nicht empfehlen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.