Welche DNS-Zonen werden WANN, WO eingesetzt?

[frankmannb 10]

Hallo Leute,

 

Ich habe mich jetzt schon einige Tage durch unser tolles Forum gewühlt um Verständnis für die verschiedenen Zonen zu bekommen.

 

Leider kann ich für mich nicht klar differenzieren WANN WELCHE Zonen zu verwenden sind.

 

Mein Verständnis reicht bis jetzt, bis zu folgendem.

 

Primäre Zonen(nicht AD integriert):

 

Primäre Zonen können nur auf einem DC gehostet bzw. geändert werden werden, heisst nur auf diesem DC können Änderungen vorgenommen werden. Alle anderen DC in der Domäne, die diese Zone zum Auflösen von FQDN nutzen, behebergen eine Sekundäre Zone (Schreibgeschützt vom Rootdomänenserver repliziert)

 

Sekundäre Zonen:

 

Sekundäre Zonen beherbergen eine schreibgeschützte Kopie einer nicht AD integrierten Primären oder Sekundären Zone.

Sekundäre Zonen gibt es nicht in AD integrierten Zonen.

 

Primäre Zonen(AD integriert):

 

bei AD integrierten Primären Zonen , ist es möglich, mehrere DC mit primären AD Zonen zu erstellen, die dann unabhängig voneinander geändert werden können. Die Änderungen replizieren sich dann auf alle Domänencontroller in der Domäne (Standard). Darüber hinaus sind keine Einträge für Delegierungen oder Zonenübertragungen nötig.

 

Stubzonen:

 

Stubzonen werden erst Windows Server 2003 unterstützt und werden verwendet um übergordneten Domänen die DNS-SErver der untergeordneten Domäne durch dynamische Aktualisierungen bekanntzugeben. Änderungen an den DNS-Servern in der untergeordneten Domäne werden in der Stubzone des Übergeordneten DC bekanntgegeben.

 

Wenn ich falsch liegen sollte, korrigiert mich bitte.

Ansonsten wäre ich euch sehr verbunden, wenn ihr mir mitteilen könntet, WANN genau WO WELCHE Zone eingerichtet wird. Denn genau hier stehe ich ein bissel auf dem Schlauch.

Am besten wären praxisnahe Beispiele.

 

Vielen Dank im Vorraus.

 

PS: Bitte keine Links posten die auf irgendwelche Whitepapers verweisen. Davon habe ich schon etliche gelesen, das Verstandnisprolem bleibt aber leider weiterhin.

 

Danke frankmannb

[IThome 10]

- Primäre Zonen (nicht AD-integriert) müssen sich nicht auf DCs befinden, genauso wenig wie deren sekundäre Zonen.

- man kann sehr wohl eine sekundäre Zone von einer AD-integrierten Zone erstellen. Sekundäre Zonen sind , wie Du sagst, schreibgeschützt

- Primäre Zonen (AD-integriert) , diese Aussagen sind soweit korrekt

- Eine Stubzone wird bei Delegierungen eingesetzt, wenn dem delegierenden Server durch Zonentransfer Kenntnis sämtlicher DNS-Server der delegierten Zone erhält (mindestens 1 Server der delegierten Zone muss er für den Zonentransfer aber immer kennen). Weiterhin kann man eine Stubzone als "Abkürzung" in einem weit verzweigten Namensraum einsetzen.

[frankmannb 10]

@IThome

 

Danke schon einmal für die rasche Antwort!

 

nehmen wir mal ein Beispiel:

 

ich habe eine Primäre Zone AD integriert namens domäne.local auf dem DC Namens SERVER1

In einer Zweigstelle richte ich jetzt ebenfalls einen DC Namens SERVER2 ein.

Server 2 soll die untergeordnete Domäne zweigstelle.domäne.local. hosten

Diese werden über ISDN bzw. VPN miteinander verbunden.

 

Wie richte ich es jetzt am besten ein das sowohl in der Haupstelle als auch in der zweigstelle alle clients die Möglichkeit haben namen in der über - als auch in der untergeordneten Domäne aufzulösen?

 

Der Replilaktionsverkehr sollte so gering wie möglich sein?

 

Ich wäre euch für einige Beispiele zwecks Verständnis der unterschiedlichen Möglichkeiten sehr dankbar.

 

 

 

Wann aber werden jetzt welche Zonen, Weiterleitungen, Delegierungen etc. eingesetzt.

 

Gibt es da irgendwelche Richtlinien nach deren man vorgehen kann oder liegt das im ermessen des Betrachters?

[IThome 10]

In dem konkreten Beispiel würde ich 2 Standorte erzeugen, auf Server2 auch eine Active Directory integrierte Zone erzeugen, den Replikationsbereich auf "Auf allen DNS-Servern in der Active Directory Gesamtstruktur ..." in den Zonen einstellen und schliesslich die Standortreplikation einstellen. Man könnte natürlich auch mit einer Delegation/Weiterleitung Konfiguration das Ziel erreichen. Server1 delegiert an Server2, Server2 leitet bedingt weiter an Server1.

Wann man was benutzt, lässt sich schlecht pauschalisieren, da viele Faktoren berücksichtigt werden müssen (Bandbreite, Sicherheitsanforderungen, beteiligte Betriebssysteme beispielsweise)

[frankmannb 10]

Heisst "Standorte" in dem Fall die Installation eines DC auf server2 mit folgenden Optionen beim Installationsassistent "Domänencontroller für eine neuen domäne" --> "untergeordnete Domäne in einer bestehenden Gesamtstruktur?"

[IThome 10]

Ja genau, das war doch das Ziel oder ? Obwohl DNS und Active Directory Hand in Hand arbeiten, sind es doch unterschiedliche Dinge. Hast Du eine Active Directory Domäne xyz.de, solltest Du auch eine dynamisch aktualisierbare Zone xyz.de haben. DNS läuft natürlich auch ohne AD, umgedreht aber nicht. Mein Vorschlag wäre, dass Du Dir das grundsätzliche DNS-Verständnis erstmal ohne Active Directory erarbeitest. Du kannst fast alle Features eines DNS-Servers durchtesten (mit Ausnahme der Active Directory integrierten Zonen). Ich habe mir zum Verständnis eine virtuelle Umgebung mit 7 Servern aufgebaut und einen eigenen Namespace aufgebaut (mit Root, 2 Toplevel-Domains, 2 Secondlevel Domains, 1 Secondary für jeweils einen Secondlevel DNS-Server ) und habe die Delegierungen, bedingte Weiterleitungen, Stubzonen (im Kontext der Delegierung und Abkürzung), Zonentransfer usw. ausprobiert und die Aktionen mit dem Sniffer und dem DNS-Logging verfolgt. Erst nach dem Verstehen der Vorgänge habe ich die Tests mit Active Directory integrierten Zonen, Replikation usw. weitergeführt.