weve 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 hab mal eine frage bez. dem oben genannte thema...zu allererst hier mal ein auszug aus einem lehrbuch DDNS und NICHT-DDNS fähige Clients Haben Sie Windows NT oder 9x/ME-Clients im Einsatz, können Sie die Vorteile, die DDNS bietet, leider nicht direkt nutzen. Es gibt aber die Möglichkeit, über einen DHCP-Server die Registrierung beim DNS-Server vornehmen zu lassen. Dazu muss der DHCP Server entsprechend eingerichtet werden. Sie sollten allerdings beachten, dass diese Einträge, die der DHCP-Server stellvertretend für seine NICHT-DDNS-fähigen Clients beim DNS-Server vornimmt, keiner sicheren Authentifizierung unterliegen. Wenn jetzt aber eingestellt wurde, dass nur sichere Updates zulässig sind (default), wie werden dann die updates zugelassen, oder meint der autor das eben der DNS eintrag im besitz des DHCP server ist und dieser von anderen geändert werden kann wenn die in der DNSUpdateProxy Gruppe sind?? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 Wenn der Server in der DNS-Updateproxy Gruppe ist, werden keine Sicherheitsinformationen in die Zone, die nur sichere Updates unterstützt, geschrieben. Daher kann jeder diese Einträge aktualisieren. Mit dem Besitz hast Du ganz recht, problematisch ist es immer dann, wenn der DHCP-Server für den Client updated, der Besitzer der Einträge ist und Du dann später diesen alten Client mit einer BS-Version updatest, die dynamische Updates unterstützt. Das neue Betriebssystem wird es versuchen und scheitern, weil jemand anders (der DHCP-Server) der Besitzer des entsprechenden Eintrages ist. Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 19. Oktober 2005 Autor Melden Teilen Geschrieben 19. Oktober 2005 Danke für deine Antwort :) Wie würde denn dieses szenario weitergehen mit dem nun hilflosen "upgedateten" client ...er würde versuchen den dns eintrag upzudaten, folglich scheitern und die anfrage dem dhcp weiterleiten? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 Standardmässig führt ein 2000/XP/2003 DHCP-aktivierter Client das Update nur für seinen A-Eintrag mit Hilfe des Dienstes "DHCP-Client" durch und fordert den DHCP-Server auf, das Update für den PTR-Eintrag durchzuführen. Der DHCP-Server wiederum ist standardmässig so konfiguriert ist, dass er nur das aktualisiert, was vom Client angefordert wird. Hat der DHCP-Server sonst immer das Update für diesen Client durchgeführt (vor dem Update und in die "Nur Sichere" Zone für den Client, der es selbst nicht anfordert), kann der jetzt selbst anfordernde Client diesen Eintrag gar nicht verändern und er stimmt irgendwann unter Umständen nicht mehr. Der PTR-Eintrag, der nach wie vor von dem DHCP-Server aktualisiert wird, ist dagegen aktuell. Ich kann Dir sehr die Windows-Hilfe (Hilfethemen in der DNS und DHCP Verwaltungskonsole) an´s Herz legen. Dort sind diese Vorgänge sehr genau beschrieben :) Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 28. Oktober 2005 Autor Melden Teilen Geschrieben 28. Oktober 2005 Danke für deine anworten ;) hm, jetzt zu einem anderen phänomen: Ich kann aus domäne A einen rechner xy in domäne B auflösen...aber warum? Ok rechner xy ist mitglied in domäne A aber hat ja nun eine andere IP da in domäne B ein eigener dhcp und dns server zur verfügung stehen. Der DNS in domäne A müsste ja nun falsche IP informationen haben und den rechner normal nicht erreichen. Der rechner xy registriert bzw. aktualisiert auch keine Host A einträge mehr in domäne A da er ja nun einen anderen DNS server zur verfügung hat oder etwa nicht? Die zwei domänen sind eigenständig also keine subdomäne oder forest und tauschen auch keine zoneninformationen aus. In Domäne B ist nur der DNS von Domäne A als forwarder eingestellt. Kann mir jemand auf die sprünge helfen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. Oktober 2005 Melden Teilen Geschrieben 28. Oktober 2005 Du hast den Rechner xy aus der Domäne A entfernt und der Domäne B zugefügt ? Oder gibt es einen xy in Domäne A und in Domäne B ? Möglich wäre auch eine Auflösung über die Root. Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 17. November 2005 Autor Melden Teilen Geschrieben 17. November 2005 hallo! nein rechner xy wurde nicht aus der domäne A entfernt sondern hält sich nur vorübergehend in der domäne B auf. Und wenn ich nun von der domäne A einen ping auf den rechner xy absetze bekomme ich eine antwort mit der dazugehörigen ip, die der client vom dhcp in der domäne B erhalten hat. hab aber keine forwarder in domäne A im dns eingestellt?? wie meinst du übern root? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. November 2005 Melden Teilen Geschrieben 17. November 2005 Erzähl doch mal bitte, wie Deine Netzwerkkonfiguration ist. Ist das eine Testumgebung, die Du in einer virtuellen Maschine laufen lässt oder ein Produktivnetzwerk. Sind die Domänen im selben IP-Kreis oder über Router angebunden. Irgendwie muss ja die Namensauflösung zustande kommen, daher ist es schwierig, etwas zu sagen, wenn man schon nicht weiss, wie diese Domänen/Netze überhaupt miteinander verbunden sind. Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 18. November 2005 Autor Melden Teilen Geschrieben 18. November 2005 es handelt sich um ein produktivnetzwerk.. domäne A netzwerk 10.0.0.x domäne B netzwerk 10.1.1.x beide domänen über vpn miteinander verbunden. auf dem dns in domäne B sind auch natürlich auch keine forward lookup einträge für den rechner xy, da er ja zu domäna A gehört, reverse lookup einträge sind jedoch vorhanden, da diese ja der dhcp für den client übernimmt. ich kann es mir nur so vorstellen, dass der client versucht den dns eintrag zu registrieren, scheitert und der dns server leitet den request weiter zum den dns in domäne A, den er ja als forwarder eingetragen hat. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. November 2005 Melden Teilen Geschrieben 18. November 2005 es handelt sich um ein produktivnetzwerk..domäne A netzwerk 10.0.0.x domäne B netzwerk 10.1.1.x beide domänen über vpn miteinander verbunden. auf dem dns in domäne B sind auch natürlich auch keine forward lookup einträge für den rechner xy, da er ja zu domäna A gehört, reverse lookup einträge sind jedoch vorhanden, da diese ja der dhcp für den client übernimmt. ich kann es mir nur so vorstellen, dass der client versucht den dns eintrag zu registrieren, scheitert und der dns server leitet den request weiter zum den dns in domäne A, den er ja als forwarder eingetragen hat. Der DNS-Server leitet keine Registrierungsanforderungen an einen anderen DNS-Server. Die Clients registrieren sich entweder selbst oder ein DHCP-Server übernimmt diese Aufgabe, entweder teilweise oder vollständig, je nach Konfiguration. Was für ein Client ist denn der Rechner xy, ein 2000/XP Client oder ein 9x-Client ? Diese Systeme verhalten sich ja komplett unterschiedlich und wer die Registrierung wie durchführt ist dazu noch abhängig von der Konfiguration des betreffenden DHCP-Servers. Gehören die beiden Domänen einem Forest an oder werden sie mittels einer Vertrauensstellung miteinander verbunden (mit Windows 2003 kann man die DNS-Zonen forestweit replizieren lassen) ? Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 21. November 2005 Autor Melden Teilen Geschrieben 21. November 2005 windows xp clients, kein forest und standardeinstellungen bei den dhcp und dns server also client reg. seinen Host A eintrag und server PTR, auch keine vertrauensstellung eingestellt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. November 2005 Melden Teilen Geschrieben 21. November 2005 Hmm, wenn der XP-Client Mitglied der Active Directory Domäne dom1.local ist, bekommt er bei Domänenbeitritt den entsprechenden Primären DNS-Suffix ( dom1.local) zugewiesen. Da die primäre Forward Lookup Zone der AD-Domäne dom1.local auch dom1.local heissen muss und der Client genau diesen DNS-Server, der diese Zone hosted, via DHCP zugewiesen bekommt, kann er sich dort auch registrieren. Wenn der DHCP-Server, wie Du berichtest, bezüglich der Regstrierung im DNS auf Standard steht, registriert er auf Anforderung des Clients. Ein XP-Client fordert nur den PTR-Eintrag zur Registrierung durch den DHCP-Server an, den A-Eintrag registriert er selbst. Wird dieser Client jetzt in die zweite Domäne getragen, wird er beim Starten versuchen, seine Lease zu erneuern, der DHCP-Server vor Ort verweigert und der Lease-Prozess beginnt von Neuem. Der Client erhält eine IP-Adresse von dem anderen DHCP-Server, der ihm unter Umständen auch den lokalen DNS-Server als bevorzugten DNS-Server zuweist. Der Name der AD-Domäne ist anders als der seiner Homedomäne, also ist auch der Name der DNS-Zone anders und passt nicht zu seinem Primären DNS-Suffix. Der DHCP-Server dieser Seite registriert wieder den PTR-Eintrag, der dann aber in der Reverse Lookup Zone des betreffenden DNS-Servers nicht "vollständig" registriert wird wie die Einträge der Clients dieser Domäne, sondern nur mit dem Hostnamen und einem folgenden "." . Den A-Eintrag kann der Client gar nicht registrieren. Aufzulösende A-Einträge existieren also nur auf seinem "Home DNS-Server", PTR-Einträge existieren auf beiden DNS-Servern, auf dem einen 10.0.x.x - xy.dom1.local und auf dem anderen 10.1.x.x - xy. Gibst Du jetzt in dom1.local auf irgendeinem Rechner (während sich der Client xy in dom2.local befindet) NSLOOKUP xy.dom1.local ein, was ja der FQDN des betreffenden Clients ist, wendet der Client sich an seinen bevorzugten DNS-Server, der ist authoritativ für dom1.local und schaut in seiner Zonendatei nach. Unabhängig davon, ob er einen Eintrag findet oder nicht wird er sich nicht mehr an irgendeinen anderen DNS-Server wenden (es kann keiner besser wissen als er selbst). Gibst Du nur NSLOOKUP xy ein, werden standardmässig die Regeln für die Auflösung unvollständiger Namen angewendet. Es wird also eine wenigstens eine Abfrage nach xy.dom1.local und nach xy.local durchgeführt, wobei die erste wieder vom eigenen Server beantwortet wird. Das einzige, was ich mir vorstellen kann, ist, dass der Client zwar eine Adresse von dem gegenüberliegenden DHCP-Server bekommt, die DNS-Serveradresse aber fest eingestellt ist. Für alle, die bis hierher gelesen haben, falsch etwas falsch ist, bitte berichtigen :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.