89371
16.12.2018
6389
10
0
DNS Einstellungen bei Domain Controllern und Clients
Hallo zusammen,
ich experimentiere mal wieder in meiner Sandbox. Im Moment überlege ich mir die DNS Einstellungen, wenn die Domain Controller sich gegenseitig finden sollen.
Aufbau:
Standort 1) home.meinedomain.de
Router, DHCP und DNS Server: sophos.home.meinedomain.de
primärer Domain Controller
dc01.home.meinedomain.de
DOMAIN: meinedomain.de
Client: meinpc.home.meinedomain.de
Client: frau-pc.home.meinedomain.de
Standort 2) elternhaus.meinedomain.de
Router, DHCP und DNS Server: sophos.elternhaus.meinedomain.de
Sekundärer Domain Controller
dc02.elternhaus.meinedomain.de
DOMAIN: meinedomain.de
Client: mutter-pc.elternhaus.meinedomain.de
Client: vater-pc.elternhaus.meinedomain.de
Jetzt habe ich im Internet viele unterschiedliche Strategien gefunden, was die DNS Einstellungen angeht.
Eine Variante ist: Beide Domain Controller und die Clients sollten als DNS1 die IP des anderen DNS Controllers eingetragen haben und als DNS2 die IP ihres Routers.
Dann gäbe es noch die Variante: Die Domain Controller bekommen als DNS1 ihre eigene IP und als DNS2 die IP des anderen Domain Controllers. Aber wo beziehen dann die Domain Controller ihre Namen aus dem Internet? Die Clients bekommen als DNS1 ihren DC und DNS2 ihren Router.
Variante 3 wäre: Alles erledigt der DNS Server im Router und die Domain Controller und Clients haben nur einen einzigen DNS1 Eintrag, die ihres Routers. Funktioniert das? Davon habe ich fast keine Information im Internet gefunden oder falsch gesucht.
Variante 3 gefällt mir am besten. Spricht was dagegen? Ich müsste halt beiden Routern als DNS Forwarder beide DC und den Internet Provider eintragen. Soweit richtig?
ich experimentiere mal wieder in meiner Sandbox. Im Moment überlege ich mir die DNS Einstellungen, wenn die Domain Controller sich gegenseitig finden sollen.
Aufbau:
Standort 1) home.meinedomain.de
Router, DHCP und DNS Server: sophos.home.meinedomain.de
primärer Domain Controller
dc01.home.meinedomain.de
DOMAIN: meinedomain.de
Client: meinpc.home.meinedomain.de
Client: frau-pc.home.meinedomain.de
Standort 2) elternhaus.meinedomain.de
Router, DHCP und DNS Server: sophos.elternhaus.meinedomain.de
Sekundärer Domain Controller
dc02.elternhaus.meinedomain.de
DOMAIN: meinedomain.de
Client: mutter-pc.elternhaus.meinedomain.de
Client: vater-pc.elternhaus.meinedomain.de
Jetzt habe ich im Internet viele unterschiedliche Strategien gefunden, was die DNS Einstellungen angeht.
Eine Variante ist: Beide Domain Controller und die Clients sollten als DNS1 die IP des anderen DNS Controllers eingetragen haben und als DNS2 die IP ihres Routers.
Dann gäbe es noch die Variante: Die Domain Controller bekommen als DNS1 ihre eigene IP und als DNS2 die IP des anderen Domain Controllers. Aber wo beziehen dann die Domain Controller ihre Namen aus dem Internet? Die Clients bekommen als DNS1 ihren DC und DNS2 ihren Router.
Variante 3 wäre: Alles erledigt der DNS Server im Router und die Domain Controller und Clients haben nur einen einzigen DNS1 Eintrag, die ihres Routers. Funktioniert das? Davon habe ich fast keine Information im Internet gefunden oder falsch gesucht.
Variante 3 gefällt mir am besten. Spricht was dagegen? Ich müsste halt beiden Routern als DNS Forwarder beide DC und den Internet Provider eintragen. Soweit richtig?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 395916
Url: https://administrator.de/forum/dns-einstellungen-bei-domain-controllern-und-clients-395916.html
Ausgedruckt am: 12.04.2025 um 10:04 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
ist das alles, was du da beschreibst in einem Netzwerk?
Gruß
maxblank
ist das alles, was du da beschreibst in einem Netzwerk?
Gruß
maxblank
Moin,
ich würde bei zwei DCs den Clients nur beide DCs mitgeben.
An den DCs trägst du als erstes die externen DNS Server, bzw deinen Router, ein.
Danach die IP des jeweils anderen DCs.
Gehst du allerdings davon aus, dass mal beide offline sind, solltest du den Clients als zweite Option den Router mitgeben.
Hier würde ich dann allerdings per GPO sogar alle drei IPs an die Clients verteilen.
Es kommt eben auf dein Konzept an. Vor allem aber eben deinem Ziel.
Gruß
Spirit
ich würde bei zwei DCs den Clients nur beide DCs mitgeben.
An den DCs trägst du als erstes die externen DNS Server, bzw deinen Router, ein.
Danach die IP des jeweils anderen DCs.
Gehst du allerdings davon aus, dass mal beide offline sind, solltest du den Clients als zweite Option den Router mitgeben.
Hier würde ich dann allerdings per GPO sogar alle drei IPs an die Clients verteilen.
Es kommt eben auf dein Konzept an. Vor allem aber eben deinem Ziel.
Gruß
Spirit
Hallo,
Microsoft DCs?
vergiss Variante 3. alle Clients bekommen nur die eine IP des DCs an ihrem Standort. Sonst hast Du lauter überflüssigen DNS Traffic zwischen den Standorten.
Die zweite Variante ist auch falsch (obwohl es vielleicht funktioniert, nicht so vorgesehen). Der Router ist außen vor. Die DCs sollten einen anderen DC und dann ihre eigene IP als DNSserver bekommen. Den Router trägst Du ggf. als Forwarder (Weiterleitung) im DNS-Manager ein, falls Du gerne über die Provider-DNS-Server gehen willst. Du kannst aber auch direkt z.B. Quad9 9.9.9.9 verwenden.
So viele unterschiedliche Strategien sollte es da eigentlich nicht geben.
Welchen Windows Server verwendest Du? Starte ggf. mal die best-practice-Analyse im Servermanager.
Grüße
lcer
Microsoft DCs?
vergiss Variante 3. alle Clients bekommen nur die eine IP des DCs an ihrem Standort. Sonst hast Du lauter überflüssigen DNS Traffic zwischen den Standorten.
Die zweite Variante ist auch falsch (obwohl es vielleicht funktioniert, nicht so vorgesehen). Der Router ist außen vor. Die DCs sollten einen anderen DC und dann ihre eigene IP als DNSserver bekommen. Den Router trägst Du ggf. als Forwarder (Weiterleitung) im DNS-Manager ein, falls Du gerne über die Provider-DNS-Server gehen willst. Du kannst aber auch direkt z.B. Quad9 9.9.9.9 verwenden.
So viele unterschiedliche Strategien sollte es da eigentlich nicht geben.
Welchen Windows Server verwendest Du? Starte ggf. mal die best-practice-Analyse im Servermanager.
Grüße
lcer
Moin,
@Spirit-of-Eli
@lcer00
Gruß,
Dani
@Spirit-of-Eli
An den DCs trägst du als erstes die externen DNS Server, bzw deinen Router, ein. Danach die IP des jeweils anderen DCs.
Was muss ich beim DNS für Active Directory beachten@lcer00
vergiss Variante 3. alle Clients bekommen nur die eine IP des DCs an ihrem Standort. Sonst hast Du lauter überflüssigen DNS Traffic zwischen den Standorten.
Wie soll sonst ein Failover aussehen? Betrieb am Standort solange einstellen bis der DC wieder verfügbar ist? So viele unterschiedliche Strategien sollte es da eigentlich nicht geben.
Eigentlich nur eine, wenn mans ernst nimmt - What Is the Difference between Authoritative and Recursive DNS Nameservers?Gruß,
Dani
Nur zum Verständnis:
Ist es das gleiche, wenn ...
ich dem Client als DNS1 den DC angebe oder
wenn ich dem Client als DNS1 den Router (Sophos UTM) angebe, der dann einen DNS Forwarder auf den DC eingetragen hat?
Rein theoretisch sollte der Client dann trotzdem alles auflösen können. Oder bekommt dann der DNS im DC nicht mehr alles mit, dass Clients existieren?!?
Ist es das gleiche, wenn ...
ich dem Client als DNS1 den DC angebe oder
wenn ich dem Client als DNS1 den Router (Sophos UTM) angebe, der dann einen DNS Forwarder auf den DC eingetragen hat?
Rein theoretisch sollte der Client dann trotzdem alles auflösen können. Oder bekommt dann der DNS im DC nicht mehr alles mit, dass Clients existieren?!?
Der Hallo,
lies mal zur Reihenfolge der DNS-Auflösung 1
Und hier zur Registrierung der IPs durch den Client am DNS-Server 2
Die Weiterleitung am Router leitet normalerweise nur die Anfragen weiter als Forward nicht als Rekursive Anfrage. Der Client erhält auf diesem Weg nicht die Adresse des für die Zone authorativen Nameservers. Es könnte dann zu fehlenden DNS-Einträgen kommen.
Failover hin oder her, Du solltest Dich Fragen, wo Du hin willst. Normalerweise ist der DC als DNS und Anmeldeserver ein ziemlich wichtiges Stück Infrastruktur. Im geschilderten privaten Szenario sollte man kein failover für den DC brauchen ( ! ) da man das nur so einrichten sollte, wenn man es auch wieder selbst reparieren kann. Im Notfall ist ein alternativer DNS schnell eingestellt. Da hat ein konsistent funktionierendes Active Directory inclusive funktionierenden DNS Priorität, oder man braucht keine Domäne.
Ordentlich wäre natürlich: 2 DCs pro Standort auf verschiedenen Blechen. Aber darum geht es ja nicht.
Wenn auf den Clients nur der DC als DNSServer eingetragen ist, bekommt man übrigens auch jeden Fehler schnell mit.
Aber das hängt wie schon geschrieben von den Zielen ab.
Grüße
lcer
lies mal zur Reihenfolge der DNS-Auflösung 1
Und hier zur Registrierung der IPs durch den Client am DNS-Server 2
Die Weiterleitung am Router leitet normalerweise nur die Anfragen weiter als Forward nicht als Rekursive Anfrage. Der Client erhält auf diesem Weg nicht die Adresse des für die Zone authorativen Nameservers. Es könnte dann zu fehlenden DNS-Einträgen kommen.
Failover hin oder her, Du solltest Dich Fragen, wo Du hin willst. Normalerweise ist der DC als DNS und Anmeldeserver ein ziemlich wichtiges Stück Infrastruktur. Im geschilderten privaten Szenario sollte man kein failover für den DC brauchen ( ! ) da man das nur so einrichten sollte, wenn man es auch wieder selbst reparieren kann. Im Notfall ist ein alternativer DNS schnell eingestellt. Da hat ein konsistent funktionierendes Active Directory inclusive funktionierenden DNS Priorität, oder man braucht keine Domäne.
Ordentlich wäre natürlich: 2 DCs pro Standort auf verschiedenen Blechen. Aber darum geht es ja nicht.
Wenn auf den Clients nur der DC als DNSServer eingetragen ist, bekommt man übrigens auch jeden Fehler schnell mit.
Aber das hängt wie schon geschrieben von den Zielen ab.
Grüße
lcer
Danke schon mal. Die Links wurden abgekürzt und ich bekomme ein 404. Könntest Du mit das Ende der Links nochmal auflösen?
für Domain joins werden Optionen im DNS abgefragt, die nur ein Microsoft-DNS Server von alleine korrekt beantwortet.
Die müßtest du in einem Nicht-Microsoft-DNS (z.B. deinem Router) nachtragen, weil ansonsten kein DC gefunden wird.
Ansonsten stimme ich den Kollegen hier zu, als primären und sekundären DNS die beiden DC eintragen, und dort jeweils ein DNS forwared für nicht-lokale Domains.
Die müßtest du in einem Nicht-Microsoft-DNS (z.B. deinem Router) nachtragen, weil ansonsten kein DC gefunden wird.
Ansonsten stimme ich den Kollegen hier zu, als primären und sekundären DNS die beiden DC eintragen, und dort jeweils ein DNS forwared für nicht-lokale Domains.
Vielen Dank dafür.
Best practise ist also die DC's als DNS auf den Clients einzutragen. Ich bin jedoch ein Spielkind und es wäre keine Sandbox, wenn ich nicht doch versuchen würde den Sophos als DNS auf den Clients einzutragen. Ich habe nämlich auch einen Haufen Linux Clients zu Hause, bei dem der Microsoft DNS gar nicht nötig wäre (aber auch nicht stören würde). Die Sandbox besteht aus einem dicken VM Host, auf denen im Moment ein DC gehostet wird und ein paar Test-Clients (und ein zweiter DC dazu kommen soll). Da dieser viel Strom benötigt, würde ich ihn auch bei längerem Nichtgebrauch herunterfahren wollen. Ich weiss, dass der Zweite DC als Fail-Over ungeeignet ist, wie gesagt, es ist eine Sandbox zum experimentieren und lernen.
Ich konnte mit einem Versuchsaufbau, in dem der Sophos als DNS Server dient und an den Domain Controller nur den Domain Namen forwarded (also z.B. nur den meinedomain.de) , bereits einen Client in die Domäne joinen, wenn dieser nur den Sophos als DNS Server eingetragen bekommen hat. Bei diesem wusste ich natürlich wie die Domain heisst, und der Client konnte explizit danach suchen/auflösen.
Im zweiten Versuch habe ich einen Mailserver (Kopano) installiert, der die Domains selbstständig durchsucht und dieser hat meine existierende Domain nicht gefunden. Da gab es auch keine Möglichkeit den Domain Namen einzugeben. Für so einen Fall sind vermutlich diese genannten SRV Einträge wichtig.
Wenn ich mir nun die DNS Einträge auf dem Domain Controller ansehe, finde ich einen ganzen Haufen von Sachen, die auf dem Sophos nicht existieren:
DC1 ->
Forward Lookupzonen ->
meinedomain.de ->
_msdcs
_sites
_tcp
_udp
_domaindnszones
_foresdnszones
und einige zig Unterordner darin
Müsste ich alle diese manuell auf den Sophos übertragen? Und diese müsste ich dann nur ergänzen, wenn ein neuer Domain Controller dazu kommen würde?
Best practise ist also die DC's als DNS auf den Clients einzutragen. Ich bin jedoch ein Spielkind und es wäre keine Sandbox, wenn ich nicht doch versuchen würde den Sophos als DNS auf den Clients einzutragen. Ich habe nämlich auch einen Haufen Linux Clients zu Hause, bei dem der Microsoft DNS gar nicht nötig wäre (aber auch nicht stören würde). Die Sandbox besteht aus einem dicken VM Host, auf denen im Moment ein DC gehostet wird und ein paar Test-Clients (und ein zweiter DC dazu kommen soll). Da dieser viel Strom benötigt, würde ich ihn auch bei längerem Nichtgebrauch herunterfahren wollen. Ich weiss, dass der Zweite DC als Fail-Over ungeeignet ist, wie gesagt, es ist eine Sandbox zum experimentieren und lernen.
Ich konnte mit einem Versuchsaufbau, in dem der Sophos als DNS Server dient und an den Domain Controller nur den Domain Namen forwarded (also z.B. nur den meinedomain.de) , bereits einen Client in die Domäne joinen, wenn dieser nur den Sophos als DNS Server eingetragen bekommen hat. Bei diesem wusste ich natürlich wie die Domain heisst, und der Client konnte explizit danach suchen/auflösen.
Im zweiten Versuch habe ich einen Mailserver (Kopano) installiert, der die Domains selbstständig durchsucht und dieser hat meine existierende Domain nicht gefunden. Da gab es auch keine Möglichkeit den Domain Namen einzugeben. Für so einen Fall sind vermutlich diese genannten SRV Einträge wichtig.
Wenn ich mir nun die DNS Einträge auf dem Domain Controller ansehe, finde ich einen ganzen Haufen von Sachen, die auf dem Sophos nicht existieren:
DC1 ->
Forward Lookupzonen ->
meinedomain.de ->
_msdcs
_sites
_tcp
_udp
_domaindnszones
_foresdnszones
und einige zig Unterordner darin
Müsste ich alle diese manuell auf den Sophos übertragen? Und diese müsste ich dann nur ergänzen, wenn ein neuer Domain Controller dazu kommen würde?
Wie wäre es, wenn du es einfach testest.
Ich mache bei mir einen domain overwrite an meiner firewall für die Windows Domäne.
Somit landen alle Anfrage für die Domäne bei den Windows DNS Servern.
Auch ein domain join stellt so kein Thema da.
Gruß
Spirit
Ich mache bei mir einen domain overwrite an meiner firewall für die Windows Domäne.
Somit landen alle Anfrage für die Domäne bei den Windows DNS Servern.
Auch ein domain join stellt so kein Thema da.
Gruß
Spirit
