10
Windows 2003: DNS Conditional Forwarding
DNS Abfragen an Subnetze weiterleiten
Hallo in die Community,
folgendes Problem: wir haben einen W2k3 Server in der Zentrale (192.168.111.x) mit DNS DHCP ADS und mehrere Subnetze von Filialen (z.B. 192.168.112.x) per VPN-Anbindung.
In den Filialen stehen jeweils eigene DNS DHCP Server, die aber keine Windows Server sind.
Alle DNS Anfragen der Clients in den Filialnetzen werden vom Server in der Zentrale beantwortet, so daß alle Hosts in der Zentrale von den Clients der Filialen erreicht werden können.
Aber wie stelle ich das beim Windows DNS Server ein, daß er bei einer DNS Anfrage zu einem Filial-Client die Anfrage weiterleitet?
Heisst: in der Zentrale wird nach einem Client nachgefragt, der in Filiale xy steht. Im Moment antwortet der Zentralen-Server "Keine Ahnung".
Er sollte aber in der Lage sein, diese Anfragen bei Nichtwissen an die Filial-DNS-Server weiterzureichen und sich eine positive Antwort nach Möglichkeit merken.
Ebenso sollten Reverse Anfragen (also: "Wie heißt der Host mit IP 192.168.112.70?") möglich sein.
Wo kann man das wie bei WIndows 2003 einstellen, oder wo gibts dazu ein Tutorial?
Greetz dePhil
folgendes Problem: wir haben einen W2k3 Server in der Zentrale (192.168.111.x) mit DNS DHCP ADS und mehrere Subnetze von Filialen (z.B. 192.168.112.x) per VPN-Anbindung.
In den Filialen stehen jeweils eigene DNS DHCP Server, die aber keine Windows Server sind.
Alle DNS Anfragen der Clients in den Filialnetzen werden vom Server in der Zentrale beantwortet, so daß alle Hosts in der Zentrale von den Clients der Filialen erreicht werden können.
Aber wie stelle ich das beim Windows DNS Server ein, daß er bei einer DNS Anfrage zu einem Filial-Client die Anfrage weiterleitet?
Heisst: in der Zentrale wird nach einem Client nachgefragt, der in Filiale xy steht. Im Moment antwortet der Zentralen-Server "Keine Ahnung".
Er sollte aber in der Lage sein, diese Anfragen bei Nichtwissen an die Filial-DNS-Server weiterzureichen und sich eine positive Antwort nach Möglichkeit merken.
Ebenso sollten Reverse Anfragen (also: "Wie heißt der Host mit IP 192.168.112.70?") möglich sein.
Wo kann man das wie bei WIndows 2003 einstellen, oder wo gibts dazu ein Tutorial?
Greetz dePhil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40169
Url: https://administrator.de/contentid/40169
Printed on: April 18, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hi,
dazu musst du beim Zentralen DNS einfach die anderen DNS Server hinterlegen. Öffne dazu die DNS-Verwaltung. Direkt darin einen Rechtsklick machen und Eigenschaften auswählen. Dann müsste es einen Reiter "Weiterleitungen" geben. Dort die ganzen Filial-DNs hinterlegen. DNS-Server in der Zentrale neustarten und es müsste gehen...
Gruß
Dani
dazu musst du beim Zentralen DNS einfach die anderen DNS Server hinterlegen. Öffne dazu die DNS-Verwaltung. Direkt darin einen Rechtsklick machen und Eigenschaften auswählen. Dann müsste es einen Reiter "Weiterleitungen" geben. Dort die ganzen Filial-DNs hinterlegen. DNS-Server in der Zentrale neustarten und es müsste gehen...
Gruß
Dani
Reiter "Weiterleitungen" geben.
Dort die ganzen Filial-DNs hinterlegen.
Dort die ganzen Filial-DNs hinterlegen.
DNS Konsole - Eigeschaften des Servers - Weiterleitung
Da unter DNS-Domäne die Domänen mit dem zugehörigen remote DNS Server eintragen.
Hab's probiert geht aber nicht.
Ein nslookup auf dem Server der Zentrale ergibt stets eine Abfrage des ersten DNS Servers (das ist der in der Zentrale), die Filial DNS Server werden garnicht gefragt.
Ist das denn überhaupt der richtige Weg?
Von unseren Linux Router/Firewalls kenn ich das eigentlich nur so, daß die DNS Server Liste grundsätzlich bewirkt, daß der Primary DNS gefragt wird. Seine Antwort ("kenn ich!" / "kenn ich nicht!") ist das Maß aller Dinge, heißt: kennt der erste DNS die Adresse nicht, wird auch kein weiterer DNS gefragt. Nur wenn der primary DNS nicht antwortet, da er zum Beispiel nicht erreichbar ist, darf auch mal der scondary DNS ran.
Seid ihr sicher, daß das bei Windows anders ist?
Ein nslookup auf dem Server der Zentrale ergibt stets eine Abfrage des ersten DNS Servers (das ist der in der Zentrale), die Filial DNS Server werden garnicht gefragt.
Ist das denn überhaupt der richtige Weg?
Von unseren Linux Router/Firewalls kenn ich das eigentlich nur so, daß die DNS Server Liste grundsätzlich bewirkt, daß der Primary DNS gefragt wird. Seine Antwort ("kenn ich!" / "kenn ich nicht!") ist das Maß aller Dinge, heißt: kennt der erste DNS die Adresse nicht, wird auch kein weiterer DNS gefragt. Nur wenn der primary DNS nicht antwortet, da er zum Beispiel nicht erreichbar ist, darf auch mal der scondary DNS ran.
Seid ihr sicher, daß das bei Windows anders ist?
Der Client fragt ja immer den ersten DNS ab.
Der DNS Server selbst wird aber in vielen Fällen gar nicht in der Lage sein, alle Namen aufzulösen. Deswegen hat er ja eine Weiterleitung auf andere DNS Server. Bis Windows 2000 konnte man aber nur ienen Server zur Weiterleitung angeben. Ab 2003 kann ich aber auch weitere DNS Server für speziele Domänen angeben..eben die bedingte Weiterleitung.
Du darfst natürlich auf deinem DNS Server keine "." Domäne und auch die Domänen in den Filialen nicht als Lookup Zone eingerichtet haben. Sonst glaubt der DNS Server, dass er die Namen auflösen kann und kommt nicht auf die Idee die Anfragen weiter zu leiten.
Der DNS Server selbst wird aber in vielen Fällen gar nicht in der Lage sein, alle Namen aufzulösen. Deswegen hat er ja eine Weiterleitung auf andere DNS Server. Bis Windows 2000 konnte man aber nur ienen Server zur Weiterleitung angeben. Ab 2003 kann ich aber auch weitere DNS Server für speziele Domänen angeben..eben die bedingte Weiterleitung.
Du darfst natürlich auf deinem DNS Server keine "." Domäne und auch die Domänen in den Filialen nicht als Lookup Zone eingerichtet haben. Sonst glaubt der DNS Server, dass er die Namen auflösen kann und kommt nicht auf die Idee die Anfragen weiter zu leiten.
"."-Domänen sind keine definiert. Lediglich "alle anderen Domänen".
Die Frage ist: muß ich denn zwingend für jede Filiale einen eigenen Domänennamen definieren?
In diesem Fall wäre mir das klar, daß ich im Windows 2003 Server eine Condition anlege und bestimme, daß Anfragen an Filiale filiale1.mynet.ads an den DNS Server in der jeweiligen Filiale weitergeleitet werden sollen.
Die User an allen Standorten (inkl. Zentrale) sollen aber nicht mit der Frage belastet werden, wo Host xy steht. Bsp.: ist in irgendeiner Filiale ein NAS stationiert, soll niemand den Rechner per NAS1.filiale1.mynet.ads genauestens bezeichnen, sondern der DNS soll wissen das NAS1 in Filiale 1 (also Subnetz 192.168.x.y) steht (natürlich ohne das vorher in die Hostliste des Zentralen-Servers eingetragen zu haben). Das muß doch auch irgendwie möglich sein, daß "ping Nas1" in der Zentrale oder einer Filiale ein Ping an die zugehörige IP auslöst?
Die Frage ist: muß ich denn zwingend für jede Filiale einen eigenen Domänennamen definieren?
In diesem Fall wäre mir das klar, daß ich im Windows 2003 Server eine Condition anlege und bestimme, daß Anfragen an Filiale filiale1.mynet.ads an den DNS Server in der jeweiligen Filiale weitergeleitet werden sollen.
Die User an allen Standorten (inkl. Zentrale) sollen aber nicht mit der Frage belastet werden, wo Host xy steht. Bsp.: ist in irgendeiner Filiale ein NAS stationiert, soll niemand den Rechner per NAS1.filiale1.mynet.ads genauestens bezeichnen, sondern der DNS soll wissen das NAS1 in Filiale 1 (also Subnetz 192.168.x.y) steht (natürlich ohne das vorher in die Hostliste des Zentralen-Servers eingetragen zu haben). Das muß doch auch irgendwie möglich sein, daß "ping Nas1" in der Zentrale oder einer Filiale ein Ping an die zugehörige IP auslöst?
In dem fall musst du auf dem DNS Server sekundäre Zonen für von den Filialen anlegen
Habe eine neue Zone als sekundäre Zone eingerichtet (für den Bereich mynet.ads, dem alle Rechner angehören, auch wenn die Filialen nicht AD integriert sind).
Der DNS Server in der Zentrale sagt jedoch, daß kein Abgleich mit dem DNS Server in der Filiale möglich ist. Weil der mit Linux läuft? Muß das ein ADS-DNS sein?
Der DNS Server in der Zentrale sagt jedoch, daß kein Abgleich mit dem DNS Server in der Filiale möglich ist. Weil der mit Linux läuft? Muß das ein ADS-DNS sein?
der Filiale möglich ist. Weil der mit
Linux läuft? Muß das ein ADS-DNS
sein?
Linux läuft? Muß das ein ADS-DNS
sein?
Das muss auch mit Linux laufen.
Vieleicht irgendwo ein Rechte Problem. Hast du mal ins Eventlog geschaut?
Sekundäre Zone in mynet.ads habe ich eingerichtet, einmal mit filiale.mynet.ads und einmal mit identischen Namen. Als einzigen Server für diese Zone habe ich den DNS Filialen-Server angegeben. Trotzdem gelingt eine Übertragung vom Master weder automatisch noch manuell. Obwohl im DNS Protokoll "Alles protokollieren" ausgewählt ist, erhalte ich keine Fehlermeldung.
Was ist mit der Option Stubserver? Hilft die?
Was ist mit der Option Stubserver? Hilft die?
Was ist mit der Option Stubserver? Hilft
die?
die?
Das ist eine andere Baustelle und geht nur mit AD auf beiden Seiten.
