Benötigen neuen DNS Server
Hallo zusammen,
in unserem Netzwerk treten immer wieder Probleme mit der DNS-Auflösung auf. Die genaue Ursache konnten wir bislang nicht eindeutig identifizieren. Aktuell wird unser DNS über zwei Domaincontroller mit Active Directory betrieben. Da es auf diesen Domaincontrollern wiederholt zu Replikations- und Berechtigungsproblemen kommt, vermuten wir, dass hier noch ein tieferliegendes Problem besteht.
Aus diesem Grund möchten wir die DNS-Verwaltung künftig nicht mehr über das Active Directory abwickeln. Wir stehen nun vor der Frage, welche Alternative sich hierfür am besten eignet:
Sollten wir einen separaten Windows Server 2022 aufsetzen und den DNS-Dienst darüber laufen lassen – oder gibt es vielleicht bessere Optionen mit höherer Zuverlässigkeit und besserer Administrierbarkeit, etwa durch Drittanbieter-Tools oder spezialisierte Lösungen?
Wir wären für eure Empfehlungen und Erfahrungen sehr dankbar – vielen Dank im Voraus!
MadMax93
in unserem Netzwerk treten immer wieder Probleme mit der DNS-Auflösung auf. Die genaue Ursache konnten wir bislang nicht eindeutig identifizieren. Aktuell wird unser DNS über zwei Domaincontroller mit Active Directory betrieben. Da es auf diesen Domaincontrollern wiederholt zu Replikations- und Berechtigungsproblemen kommt, vermuten wir, dass hier noch ein tieferliegendes Problem besteht.
Aus diesem Grund möchten wir die DNS-Verwaltung künftig nicht mehr über das Active Directory abwickeln. Wir stehen nun vor der Frage, welche Alternative sich hierfür am besten eignet:
Sollten wir einen separaten Windows Server 2022 aufsetzen und den DNS-Dienst darüber laufen lassen – oder gibt es vielleicht bessere Optionen mit höherer Zuverlässigkeit und besserer Administrierbarkeit, etwa durch Drittanbieter-Tools oder spezialisierte Lösungen?
Wir wären für eure Empfehlungen und Erfahrungen sehr dankbar – vielen Dank im Voraus!
MadMax93
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672864
Url: https://administrator.de/forum/benoetigen-neuen-dns-server-672864.html
Ausgedruckt am: 05.06.2025 um 12:06 Uhr
23 Kommentare
Neuester Kommentar
Moin,
die korrekten Wege lauten:
- Uns ausreichend Infos liefern (also was genau kann nicht aufgelöst werden? Interne DNS-Adresse, Externe, Reverse Einträge. Wie alt die die Domäne? Welches Serverversion etc)
- Auf Tipps von uns warten ODER
- Einen AD-Profi das Problem lassen ODER
- Die komplette AD neu aufsetzen, wenn das Problem tiefer liegt, werdet ihr es sonst nicht dauerhaft los
Michi91
die korrekten Wege lauten:
- Uns ausreichend Infos liefern (also was genau kann nicht aufgelöst werden? Interne DNS-Adresse, Externe, Reverse Einträge. Wie alt die die Domäne? Welches Serverversion etc)
- Auf Tipps von uns warten ODER
- Einen AD-Profi das Problem lassen ODER
- Die komplette AD neu aufsetzen, wenn das Problem tiefer liegt, werdet ihr es sonst nicht dauerhaft los
Michi91
Moin,
Wie sind denn die NICs der DCs im Hinblick auf die zu nutzenden DNS-Server eingestellt?
Ich hoffe doch, dass dort ausschließlich die IPs der beiden DCs hinterlegt sind, und nichts anderes.
Dabei als ersten DNS den anderen "DC" und als zweiten DNS sich selbst.
Wenn das nicht gegeben ist: womöglich löst das schon euer Kernproblem!?
Zitat von @Hubert.N:
Wenn Du Probleme mit dem AD hast und dieses nicht mehr korrekt repliziert, dann solltest Du primär dieses Problem lösen.
+1Wenn Du Probleme mit dem AD hast und dieses nicht mehr korrekt repliziert, dann solltest Du primär dieses Problem lösen.
Wie sind denn die NICs der DCs im Hinblick auf die zu nutzenden DNS-Server eingestellt?
Ich hoffe doch, dass dort ausschließlich die IPs der beiden DCs hinterlegt sind, und nichts anderes.
Dabei als ersten DNS den anderen "DC" und als zweiten DNS sich selbst.
Wenn das nicht gegeben ist: womöglich löst das schon euer Kernproblem!?
Moin...
na der MS DNS Server und ein AD was sauber läuft!
also fixe die Fehler, und es läuft alles sauber!
wie und wer hat gesucht?
Frank
Aus diesem Grund möchten wir die DNS-Verwaltung künftig nicht mehr über das Active Directory abwickeln. Wir stehen nun vor der Frage, welche Alternative sich hierfür am besten eignet:
na der MS DNS Server und ein AD was sauber läuft!
also fixe die Fehler, und es läuft alles sauber!
Die genaue Ursache konnten wir bislang nicht eindeutig identifizieren.
warum nicht?wie und wer hat gesucht?
Frank
Hi
der Klassiker. Schlecht aufgesetztes AD und mangelndes Verständnis wie man das korrigiert.
Die Replikationsfehler kommen vermutlich von den DNS Problemen.
In jedem Fall: DNS im Windows AD ist Pflicht. Dir bleibt also nichts übrig als dir das genauer anzusehen und das Problem zu beheben.
Fang mal damit an was über deine Umgebung zu erzählen. Wie gross ist sie. Sind die DCs im selben Netz?
Wie sind die DNS Settings der DCs (also primary und secondary DNS auf der NIC)
Wie ist der Output von
Repadmin /Queue
Repadmin /replsummary
Repadmin /Showrepl
der Klassiker. Schlecht aufgesetztes AD und mangelndes Verständnis wie man das korrigiert.
Die Replikationsfehler kommen vermutlich von den DNS Problemen.
In jedem Fall: DNS im Windows AD ist Pflicht. Dir bleibt also nichts übrig als dir das genauer anzusehen und das Problem zu beheben.
Fang mal damit an was über deine Umgebung zu erzählen. Wie gross ist sie. Sind die DCs im selben Netz?
Wie sind die DNS Settings der DCs (also primary und secondary DNS auf der NIC)
Wie ist der Output von
Repadmin /Queue
Repadmin /replsummary
Repadmin /Showrepl
Selbst, wenn ihr nun einen externen DNS Server einsetzt, wird Euch das AD und die Replikation ständig um die Ohren fliegen. Deswegen würde ich erst einmal das vorhandene System entstören, bevor ihr noch mehr Sachen einbaut.
Es gibt eigentlich nur 3 verschiedene Probleme, wenn die Replikation nicht läuft:
1) DNS Einstellungen
2) DNS Einstellungen
3) DNS Einstellungen
4) Und evtl noch Firewall und Routing, falls sie sich nicht im selben Subnetz befinden
Beschreibe doch mal was Du hast:
Es gibt eigentlich nur 3 verschiedene Probleme, wenn die Replikation nicht läuft:
1) DNS Einstellungen
2) DNS Einstellungen
3) DNS Einstellungen
4) Und evtl noch Firewall und Routing, falls sie sich nicht im selben Subnetz befinden
Beschreibe doch mal was Du hast:
- DNS Einstellungen vom Betriebssystem DC1
- DNS Einstellungen vom DNS Server Dienst auf DC1
- DNS Einstellungen vom Betriebssystem DC2
- DNS Einstellungen vom DNS Server Dienst auf DC2
- Domain Name (nur um zu sehen wie viel Punkte im Namen sind und ob es mit evtl .local endet)
Hi,
Was gibt denn ein dcdiag so aus?
lazyadmin.nl/it/dcdiag/
Kaufst ja auch kein neues Auto, nur weil Du die Räder nicht festgenug angezogen hast.
wiederholt zu Replikations- und Berechtigungsproblemen kommt, vermuten wir, dass hier noch ein tieferliegendes Problem besteht.
Das kann man durchaus vermuten. Wird sogar so sein.Was gibt denn ein dcdiag so aus?
lazyadmin.nl/it/dcdiag/
Wenn Du Probleme mit dem AD hast und dieses nicht mehr korrekt repliziert, dann solltest Du primär dieses Problem lösen.
This und nur this.Kaufst ja auch kein neues Auto, nur weil Du die Räder nicht festgenug angezogen hast.
Die Probleme (Replikation und DNS) lassen sich sicher in zwei Stunden remote komplett lösen.
Kann ich mir gerne anschauen. Wenn nach zwei Stunden nicht gelöst, gibt es keine Rechnung.
Wenn Interesse, dann gerne melden.
Ein alternativer DNS löst das AD-Thema auf keinen Fall und behandelt nur die Symptome der fehlerhaften Auflösung.
Kann ich mir gerne anschauen. Wenn nach zwei Stunden nicht gelöst, gibt es keine Rechnung.
Wenn Interesse, dann gerne melden.
Ein alternativer DNS löst das AD-Thema auf keinen Fall und behandelt nur die Symptome der fehlerhaften Auflösung.
Hallo MadMax,
wir haben uns vor vielen Jahren dazu entschieden das Thema DNS vom Windows Server zu trennen.
Ich habe dies noch keine Minute bereut.
Wir setzen auf Infoblox, welche du physisch, wie auch virtuell kaufen kann.
Wir haben den 1. DNS als Cluster (physisch), also 2 Boxen, welche die gleich IP haben.
Die 2 IP ist dann eine virtuelle Box.
DHCP und NTP kommt logischerweise auch von der Box, da es eine IPAM Lösung ist.
Der grosse Vorteil.
der DNS reagiert SOFORT; also kein Kaffee holen, bis eine Anpassung mal zieht.
Nie mehr DNS/DHCP Sorgen, bei einem DC ersetzen.
Wir verhindern, dass Server selbst DNS Registrierungen machen dürfen, was ein grosses Sicherheitsplus darstellt.
- keine Manipulation von einem Server aus möglich.
- klar lassen wir es da zu, wo es nötig ist, was aber in der Regel nur Cluster Server (WFC) sind.
Logisch kostet es etwas, aber ehrlich, man spart sich damit sehr viele grauen Haare.
hope it helps
Gruss Roland
wir haben uns vor vielen Jahren dazu entschieden das Thema DNS vom Windows Server zu trennen.
Ich habe dies noch keine Minute bereut.
Wir setzen auf Infoblox, welche du physisch, wie auch virtuell kaufen kann.
Wir haben den 1. DNS als Cluster (physisch), also 2 Boxen, welche die gleich IP haben.
Die 2 IP ist dann eine virtuelle Box.
DHCP und NTP kommt logischerweise auch von der Box, da es eine IPAM Lösung ist.
Der grosse Vorteil.
der DNS reagiert SOFORT; also kein Kaffee holen, bis eine Anpassung mal zieht.
Nie mehr DNS/DHCP Sorgen, bei einem DC ersetzen.
Wir verhindern, dass Server selbst DNS Registrierungen machen dürfen, was ein grosses Sicherheitsplus darstellt.
- keine Manipulation von einem Server aus möglich.
- klar lassen wir es da zu, wo es nötig ist, was aber in der Regel nur Cluster Server (WFC) sind.
Logisch kostet es etwas, aber ehrlich, man spart sich damit sehr viele grauen Haare.
hope it helps
Gruss Roland
die ich sehr gut nachvollziehen kann
Ich überhaupt nicht. Auch dein Post lässt seltsames erahnen.Da die Wege der Microsoft und des Windows oft unergründliche sind
... oder die des faulen Admins ....Zumal dein Vorschlag nett ist, sein Problem aber nicht lösen wird. Im Gegenteil. Noch mehr Undurchsichtigkeit und Chaos sowie weitere Points of failures (was passiert eig. wenn die externe DNS Lösung hängt? Support gibts dann nirgendwo mehr - auch nicht von MS)
Gruß
Moin,
Gruß,
Dani
der DNS reagiert SOFORT; also kein Kaffee holen, bis eine Anpassung mal zieht.
wie groß ist deine Umgebung, dass dein DNS nicht "sofort" reagiert hat?Nie mehr DNS/DHCP Sorgen, bei einem DC ersetzen.
Hat man eigentlich nie, wenn es nach Best Practice umgesetzt ist und weiß was man tut.DHCP und NTP kommt logischerweise auch von der Box, da es eine IPAM Lösung ist.
Das sind meine Lieblingsgerät. Genauso wie die ganzen unsicheren Firewall UTMs...Wir verhindern, dass Server selbst DNS Registrierungen machen dürfen, was ein grosses Sicherheitsplus darstellt.
Das kannst du bis ein gewisser Anzahl von Server und Clients machen. Danach ist es einfach nur ein ABM und macht mehr Ärger als Nutzen.- keine Manipulation von einem Server aus möglich.
Wenn es soweit ist, hast du eigentlich schon ganz andere Problem. Da machen sich die wenigsten Angreifer über den DNS her.Ich will ja nix sagen, aber der TE hat sich seit der Eröffnung (knapp ne Woche her) nicht mehr gemeldet und war seit Tagen nicht mehr im Forum.
Beitrag lass ich mal noch stehen.... evtl. einfach im Urlaub, krank, etc.Gruß,
Dani
Witzig, dass hier auf einmal manche wohl absolut Microsoft versessen sind. face-smile
Sonst wird doch eigentlich immer nur über Microsoft abgelästert. face-smile
Sonst wird doch eigentlich immer nur über Microsoft abgelästert. face-smile
Wer denn? Ich habe im Beitrag keine Versessenheit gefunden, obwohl ich eigentlich der erste bin, der Microsoft verteidigt, wenn ein Linux Nerd wieder darüber ablästert
Wenn eine AD Umgebung existiert, dann ist es auch richtig, wenn jeder empfiehlt den Microsoft DNS erst einmal in Ordnung zu bringen. Was nützt ein Linux DNS Server oben drauf, wenn sich die AD Controller nicht mehr ordentlich replizieren.
Linux ist dort ok, wo es seine stärken hat und keine Infrastruktur Verbindungen zum Microsoft AD benötigt.