DNS auf Multihomed Server

[H. Hennig 10]

Hallo,

ich habe in einem Netzwerk einen Server (2019 Standard) mit mehreren NIC.

NIC1: IP-Adresse, Subnetz, DNS und Gateway eingetragen - über diese Verbindung ist der Server in die Domäne eingebunden (normaler Member, keine Rollen)

NIC2: nur IP Adresse und Subnetz eingetragen - über diese Verbindung sind verschiedene Geräte an den Server angeschlossen, die auf eine spezielle Software auf diesem Server zugreifen, aber ansonsten keinen Zugriff auf irgendwas haben sollen.

Jetzt möchte der Hersteller dieser Software folgende Voraussetzungen geschaffen haben:

- Zeitserver für Geräte an NIC2 (Zeit auf Clients muss genau mit Serverzeit übereinstimmen)

- DNS Server für Geräte an NIC2 (zukünftig ist an Endgeräten - Tabletts Android - eine Namensauflösung notwendig)

Dazu folgende Fragen:

- Was passiert wenn ich diesen Server zum Zeitserver mache? Er holt sich als Domänenmitglied seine Zeit ja vom DC. Würde er das dann auch noch tun? Außerdem gäbe es dann im Netzwerk zwei Zeitserver (DC und dieser Server über NIC1) - 

wäre das ein Problem?

- Kann ich einfach die DNS Rolle auf diesem Server installieren und konfigurieren (Bindung nur auf NIC2)? Wie sollte die Konfiguration des DNS dann aussehen damit keine Konflikte mit dem DNS in der ADS entstehen?

- Ist es "sauber" auf diesem Server ein DHCP einzurichten (Bindung nur auf NIC2) um darüber u.a. den Zeitserver an die Clients die an NIC2 angeschlossen sind zu verteilen?

 

Ich hätte auf das Multihomed gern verzichtet. Es ist aber schon vor meiner Zeit so "gewachsen" und offensichtlich der Wunsch des Softwareherstellers gewesen. Die aktuellen Wünsche des Softwareherstellers sind mir nicht ganz geheuer.

Da habe ich Bedenken das es zu Problemen kommt.

Was sagt ihr dazu?

Kann mir jemand etwas über mögliche Konfigurationen sagen?

 

Vielen Dank

 

HH

 

 

 

[testperson 1.728]

Hi,

 

warum nicht auf Multihomed verzichten und den Server in ein eigenes geroutetes (V)LAN packen? Dann kannst du dir immer noch überlegen die Infrastruktur-Dienste (DNS / NTP / DHCP / ...) dort dediziert zu betreiben oder eben die bereits vorhandenen mit zu nutzen.

 

Gruß

Jan

[lefg 276]

Moin

 

Welche Probleme sollten denn auftreten können? Welche Bedenken gibt es denn? Und wie wollte man diese möglicherweise diffusen Bedenken dem Vorgesetzten und dem Dienstleister mitteilen, ohne einen ungünstigen Eindruck zu erwecken?

 

Nun, wie auch immer, ich sehe da keine Probleme. Manche Sachen muss man einfach machen und gucken obs klappt.

 

Und, es handelt sich in diesem Fall ja nicht um einen Multihomed DC.

 

Ich habe in der Vergangenheit mehrfach Multihomed betrieben, Member und auch DC. Problemlos.

bearbeitet 8. Juni 2020 von lefg

[MurdocX 957]

Ich bin da geteilter Meinung. Einerseits, wenn das alles sauber konfiguriert ist, mag das schon funktionieren. Andererseits sehe ich jetzt nicht den Vorteil der zweiten NIC.

 

Meiner Erfahrung nach fehlen vielen Softwareunternehmen die Basics. Wenn man nach dem warum fragt, wird’s schnell dünn. 

[NorbertFe 2.089]

vor 15 Stunden schrieb H. Hennig:

Würde er das dann auch noch tun?

Ja.

vor 15 Stunden schrieb H. Hennig:

Außerdem gäbe es dann im Netzwerk zwei Zeitserver (DC und dieser Server über NIC1) - 

wäre das ein Problem?

Grundsätzlich kannst du jedes Windows zum timeserver konfigurieren, solange niemand dort fragt interessiert es ja auch niemanden. ;)

 

vor 15 Stunden schrieb H. Hennig:

Kann ich einfach die DNS Rolle auf diesem Server installieren und konfigurieren (Bindung nur auf NIC2)?

Ja.

 

vor 15 Stunden schrieb H. Hennig:

Wie sollte die Konfiguration des DNS dann aussehen damit keine Konflikte mit dem DNS in der ADS entstehen?

Das sollte dir doch der sagen, der so bekloppte Forderungen stellt. ;) aber grundsätzlich einfach nen forwarder auf deinen dc und eine beliebige Zone.

 

dran denken, dass du entsprechend lizenziert sein solltest (Geräte/User cals) für so ein szenario.

 

ansonsten bin ich bei den anderen. Eine richtige Trennung (so erforderlich) ist das was du da bastelst natürlich nicht.

[H. Hennig 10]

Hallo,

 

vielen Dank für das Feedback. Das hilft mir schon weiter.

Ich werde also

- Zeitserver aktivieren

- DHCP einrichten (gebunden auf NIC2)

- DNS einrichten

- hoffen das der Softwareanbieter nicht noch mehr Ideen hat.

 

HH

... was man nicht im Kopf hat:

Die Geräte an NIC2 benötigen keinen Zugriff und keine Namensauflösung für Geräte an NIC1. Brauche ich in dem Fall ein Forwarding auf den DC? Meines Erachtens nach reicht einfach eine neue Zone die nur das Netzwerk NIC2 betrifft aus.

[MurdocX 957]

vor einer Stunde schrieb H. Hennig:

- hoffen das der Softwareanbieter nicht noch mehr Ideen hat.

Es steht Dir immer noch frei das vorher in Frage zu stellen. Immerhin, wenn Fehler auftauchen, wirst erstmal du gelöchert und musst dich erklären.  

[daabm 1.366]

Aus meiner Sicht spricht wenig dagegen... Der DNS wäre einfach ein Secondary, und Timeserver ist völlig unkritisch, solange der Uplink zum Domain Controller funktioniert. Auch gegen DHCP spricht nix, wenn sauber konfiguriert.

Kannst ja (schmutzig, schmutzig) noch mit FW-Regeln dafür sorgen, daß da nix schiefgeht

 

Der nächste Thread kommt, wenn der DHCP aus Versehen mal auf die andere NIC rutscht und der Server beide NICs im DNS registriert. Die Probleme sind absehbar

[Weingeist 159]

Kenne das aus dem Industriebereich. Viele Hersteller wollen in erster Linie Ihren eigenen Kram haben weil es so definierte Bedingungen gibt und möglichst wenig "Reinfunkt-Potential" gibt. Einige sind aber in solchen Punkten einigermassen flexibel, wenn man darlegen kann, dass man es auf andere Weise vielleicht besser machen kann. Bei manchen gibts halt schlicht keinen Support wenn die Bedingungen nicht exakt so sind wie vorgegeben.

Erfahrungsemäss liegt aber bei vielen - auch wenn sie einsichtig waren - jedes Problem erstmal immer daran, dass eben nicht ihre Standardbedingungen herrschen. Egal wie absurd es ist. Dein Kunde wird dann immer erst hören, dass Du das Problem bist. Die erste 30-60min Support gehen dann für die Beweisführung drauf. Mittlerweile bin ich soweit, dass ich nach Möglichkeit abgeschottete Inselsysteme nach Ihren Vorgaben erstelle wenn einer für mich unerklärliche Bedingungen hat und diese auch nicht erklären kann. Spart viel Ärger. Also soweit möglich vollständig abgeschottet und ein System als Bindeglied. Kostet halt etwas mehr, dafür ist Ruhe im Karton. Wird nur immer mühsamer und aufwendiger mit den ganzen Integrationen andere Systeme, Fernzugriff etc.

 

Dazu dann Firewall-Logging der Windows-Firewall um zu sehen wie die Kommunikation effektiv abläuft. In allen Variationen. Also Fernzugriff, Kommunikation untereinander etc. abläuft. Dann schotte ich die Systeme per Script ab (Firewall) und erstelle gleichzeitig ein Gegenscript um alles rückgängig zu machen. Gleichzeitig Scripts um Fernzugriff zu aktivieren/deaktivieren --> Firewall-Regeln In/Out. So gibts dann wenigstens minimale Sicherheit.

[Nobbyaushb 1.484]

vor 39 Minuten schrieb Weingeist:

...Also soweit möglich vollständig abgeschottet und ein System als Bindeglied. Kostet halt etwas mehr, dafür ist Ruhe im Karton. Wird nur immer mühsamer und aufwendiger mit den ganzen Integrationen andere Systeme, Fernzugriff etc....

Haben wir auch - ist eine Firewall dazwischen.

Je nach erfoderlicher Bandbreite wird das teuer oder nicht, oft reicht z.B. eine kleine SecurePoint, WatchGuard oder ähnliches, liegt bei gleicher Leistung nachezu im gleichen Preissegment...