assassin
Goto Top

AD und DNS über eine virt. Cluster IP möglich?

Hallo, kurze frage: Gibt es von Microsoft Server 2019 Boardmitel, um ein AD und DNS Clusterfähig zu machen, sodas man nur eine virtuele IP hat?
Hintergrund ist der: Manche Geräte oder Maschinen lassen nur einen einzelnen DNS Server eintrag zu. Wenn jetzt aber der DNS oder der AD Server neugestartet werden muss wegen Updates - kommen diese Maschinen wo eben nur ein DNS eintrag drin steht nicht mehr klar und wolen am ende auch noch neugestartet werden.
Mit einem MS FailoverCluster kann man aber soweit ich das gesehen habe kein DNS oder AD Clustern...

Bei normalen Windows Client PCs kann ich ja mehrere DNS Server eintragen damit wissen die clients wohin sie sich wenden können, wenn der Primäre DNS mal weg ist wegen neustart.

es gibt zwei Server, AD und DNS Rolle ist jeweils zusammen als Rolle installiert pro Server und replizieren sich eben.


Wie könnte ich das problem dann lösen dass ich zwei AD/DNS server habe, einen davon einfach so neustarten kann - aber ohne das die Clients und voralem die Maschinen was davon mitbekommen?

Content-ID: 666041

Url: https://administrator.de/contentid/666041

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

emeriks
emeriks 23.04.2021 aktualisiert um 11:22:22 Uhr
Goto Top
Hi,
es ist zwar nicht vorgesehen, DNS-Server als Rolle in einem Failover-Cluster bereitzustellen, aber es sollte über einen Trick funktionieren.

Du brauchst 2 Windows Server (auch als VM möglich) mit min. einem Shared Volume.
Dann auf beiden Servern DNS-Server installieren und die DNS-Zonen dorthin als klassische Sekundär-Zonen replizieren lassen.
Dann mit diesen beiden Servern einen Failovercluster erstellen. Darauf eine Dummy-Rolle einrichten, z.B. einen Fileserver.
Jetzt müsste theoretisch über die IP-Adresse dieses "Fileservers" der DNS-Dienst jenes Failovercluster-Knotens ansprechbar sein, auf welchem die Fileserver-Rolle gerade läuft.
Wenn Du einen Knoten warten willst, z.B. WSUS-Updates, dann diesen zuerst "anhalten" und dabei die "Rollen ausgleichen". Dann springt die IP-Adresse mit der Fileserver-Rolle auf den andern Knoten und über diese Adresse sollte jetzt der DNS-Server des anderen Knoten antworten.

Ich habe das selbst so nicht getestet. Theoretisch könnte das funktionieren.

E.
Lochkartenstanzer
Lochkartenstanzer 23.04.2021 um 13:10:29 Uhr
Goto Top
Zitat von @emeriks:

Hi,
es ist zwar nicht vorgesehen, DNS-Server als Rolle in einem Failover-Cluster bereitzustellen, aber es sollte über einen Trick funktionieren.

Du brauchst 2 Windows Server (auch als VM möglich) mit min. einem Shared Volume.
Dann auf beiden Servern DNS-Server installieren und die DNS-Zonen dorthin als klassische Sekundär-Zonen replizieren lassen.
Dann mit diesen beiden Servern einen Failovercluster erstellen. Darauf eine Dummy-Rolle einrichten, z.B. einen Fileserver.
Jetzt müsste theoretisch über die IP-Adresse dieses "Fileservers" der DNS-Dienst jenes Failovercluster-Knotens ansprechbar sein, auf welchem die Fileserver-Rolle gerade läuft.
Wenn Du einen Knoten warten willst, z.B. WSUS-Updates, dann diesen zuerst "anhalten" und dabei die "Rollen ausgleichen". Dann springt die IP-Adresse mit der Fileserver-Rolle auf den andern Knoten und über diese Adresse sollte jetzt der DNS-Server des anderen Knoten antworten.

Ich habe das selbst so nicht getestet. Theoretisch könnte das funktionieren.

E

Das geht einfacher:

Einfach zwei kleine LInux-VMs (oder Raspberries) auf setzen, die sich per heartbeat eine virtuelle IP-Adresse teilen. Die beiden Kisten müssen nicht mal einen vollwertigen DNS-Server haben, sondern es reicht, die als Forwarder zu den AD-DNS-Servern zu nehmen. Ist für jemanden, der sich ein wenig damit beschäftigt recht einfach aufzusetzen.

lks
Assassin
Assassin 23.04.2021 aktualisiert um 13:31:08 Uhr
Goto Top
Hmm dann müssten aber die Raspis ja noch vor dem Forwarden prüfen, ob das Forward-Ziel (einer der beiden MS DNS server) überhaupt erreichbar ist, oder?
Da geht doch recht viel zeit drauf bei der prüfung bei jeder DNS anfrage, oder?
Es geht ja darum die richtigen DNS server neu zu starten - nicht einen möglichen Loadbalancer (wie mir deine lösung hier zu sein scheint)
oder hab ich dich da falsch verstanden wie du das meinst?


die Lösung von @emeriks klingt schon ganz gut...könnt ich ja mal probieren ob das geht. Kann ich zum testen eigentlich auch VMs nehmen die auf einem HyperV laufen der bereits im failoverCLuster ist? Also dass ich IN den VMs dann nochmal einen Failover CLuster einrichte?
Der-Phil
Der-Phil 23.04.2021 um 13:34:29 Uhr
Goto Top
Hallo!

Nein, das ist nicht nötig.
Entweder mit HAProxy, dann wird eben alle paar Sekunden geprüft. Oder einfach als zwei Forwarder. Dann wird direkt der nächste in der Liste versucht, wenn der Erste nicht verfügbar ist.
emeriks
emeriks 23.04.2021 aktualisiert um 13:42:52 Uhr
Goto Top
Ja, klar, mit Forwarder geht das natürlich auch. Statt der Sekundär-Zonen. Das kann der DNS-Server von Windows natürlich auch.

kann ich zum testen eigentlich auch VMs nehmen die auf einem HyperV laufen der bereits im failoverCLuster ist? Also dass ich IN den VMs dann nochmal einen Failover CLuster einrichte?
Ja, na klar, das geht.
em-pie
em-pie 23.04.2021 aktualisiert um 23:20:41 Uhr
Goto Top
Moin,

Nimm die RPi (oder eine andere Linux-VM).

Das ist in jedem Fall sicherer. Wenn der Plan des Kollegen @emeriks nicht von MS Supported ist, könnte das bei Problemen seitens MS eine gewisse Abneigung geben.

Wie gesagt: in den Maschinen den RPi als DNS-Server angeben und im PI beide Windows-Büchsen als Ziel fürs Forwarding angeben.

Gruß
em-pie
Lochkartenstanzer
Lochkartenstanzer 24.04.2021 um 15:25:35 Uhr
Goto Top
Zitat von @Assassin:

Hmm dann müssten aber die Raspis ja noch vor dem Forwarden prüfen, ob das Forward-Ziel (einer der beiden MS DNS server) überhaupt erreichbar ist, oder?

Nein. Die fragen einfach alle die in der Liste sind und nehmen die Antwort des schnellsten, sofern sie nur Forwarder sind. Aber man kann die genauso als vollwertigen DNS in Deinem AD betreiben.

Da geht doch recht viel zeit drauf bei der prüfung bei jeder DNS anfrage, oder?

Nein. Wenn Du es richtig machst, replizieren beide die DNS-Dapen mit den DNS-servern des AD und halten diese vor. d.h. die erscheinen wie ein zusätzlicher DNS-Server in Deinem AD. Wenn Du einen rebootest hält der andere solange die Stellung. Wenn Du deine Windows-Server rebootest passiert bei den beiden Raspis gar nichts.

Es geht ja darum die richtigen DNS server neu zu starten - nicht einen möglichen Loadbalancer (wie mir deine lösung hier zu sein scheint)

Dann hast Du die Lösung nicht verstanden.

Nein, das ist kein (jedenfalls nicht nur) Loadbalancer sondern ein weiterer, redundanter Nameserver

oder hab ich dich da falsch verstanden wie du das meinst?


Ja.

lks