10
DNS Konzept mit 3 Server und 3 Zonen
Hallo zusammen
Wir haben einige DNS Probleme die ich mir nicht erklären kann und habe vor Kurzem bereits eine Frage hier im Forum platziert. Da die Server nie dokumentiert wurden liegt es nun an mir eine funktionierende Lösung zu erarbeiten.
Aktuell sieht die Situation ungefähr so aus wie in der Skizze im Anhang.
- 2 Standorte
- 3 DNS Server
- 3 Zonen/Domains
- 2 DHCP Server
Die Domäne B.int würde ich am liebsten komplett abschaffen, bin aber durch interne Abhängigkeiten blockiert. Schlussendlich soll man egal aus welcher Domäne einen Hostnamen auflösen können ohne die Domäne angeben zu müssen, was leider aktuell nicht funktioniert (nslookup host1 statt nslookup host1.B.local). Momentan funktioniert dies nur auf den Clients, die den entsprechenden DNS Server kennen und dieser auch einen DNS Record für diese Abfrage hat. Conditional Forwarder wurden auf den Windows DNS eingerichtet, jedoch hilft das leider nicht viel.
Auch funktioniert das DDNS-Update zwischen Linux DHCP und Windows DNS Server nicht, finde nur Anleitungen mit Linux-Linux oder Windows-Windows.
Welche Einstellungen muss ich beachten damit die DNS Server sauber zusammenarbeiten?
Kennt jemand eine Anleitung für mein DDNS Update zwischen Linux und Windows?
Danke.
Wir haben einige DNS Probleme die ich mir nicht erklären kann und habe vor Kurzem bereits eine Frage hier im Forum platziert. Da die Server nie dokumentiert wurden liegt es nun an mir eine funktionierende Lösung zu erarbeiten.
Aktuell sieht die Situation ungefähr so aus wie in der Skizze im Anhang.
- 2 Standorte
- 3 DNS Server
- 3 Zonen/Domains
- 2 DHCP Server
Die Domäne B.int würde ich am liebsten komplett abschaffen, bin aber durch interne Abhängigkeiten blockiert. Schlussendlich soll man egal aus welcher Domäne einen Hostnamen auflösen können ohne die Domäne angeben zu müssen, was leider aktuell nicht funktioniert (nslookup host1 statt nslookup host1.B.local). Momentan funktioniert dies nur auf den Clients, die den entsprechenden DNS Server kennen und dieser auch einen DNS Record für diese Abfrage hat. Conditional Forwarder wurden auf den Windows DNS eingerichtet, jedoch hilft das leider nicht viel.
Auch funktioniert das DDNS-Update zwischen Linux DHCP und Windows DNS Server nicht, finde nur Anleitungen mit Linux-Linux oder Windows-Windows.
Welche Einstellungen muss ich beachten damit die DNS Server sauber zusammenarbeiten?
Kennt jemand eine Anleitung für mein DDNS Update zwischen Linux und Windows?
Danke.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456476
Url: https://administrator.de/contentid/456476
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo SIPSIP,
wird so nicht funktionieren, ich mein, wer sagt denn, ob hosta.domain nun zur domaina, b oder c gehört?
DNS Update zwischen Windows und Linux macht jeder DNS, der sauber konfiguriert ist, das ist aber auch schon das Kernproblem. Also Entweder du bereinigst das, holst dir jemanden, der dir das bereinigt, oder musst damit leben.
VG
wird so nicht funktionieren, ich mein, wer sagt denn, ob hosta.domain nun zur domaina, b oder c gehört?
DNS Update zwischen Windows und Linux macht jeder DNS, der sauber konfiguriert ist, das ist aber auch schon das Kernproblem. Also Entweder du bereinigst das, holst dir jemanden, der dir das bereinigt, oder musst damit leben.
VG
Hi,
Danke für deine rasche Rückmeldung. Leider habe ich schon fast so etwas befürchtet, hatte jedoch noch Hoffnung
. Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
Ich meine damit z.B. unter Windows in den Interface Einstellungen den alle Suffixe zu erfassen.
Danke für deine rasche Rückmeldung. Leider habe ich schon fast so etwas befürchtet, hatte jedoch noch Hoffnung
. Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?Ich meine damit z.B. unter Windows in den Interface Einstellungen den alle Suffixe zu erfassen.
Hallo,
Gruß,
Peter
Zitat von @SIPSIP:
Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
In wievielen Domänen ist denn dein Client beheimatet? Und wie soll dein DNS erkennen das du host1 aus domäne 1, 2 oder 3 meinst? das heute eher der FQDN genommen wird ist zwar für schreibfaule nicht so schön, aber es funktioniert sicher und gibt 100% wieder was oder wen du meinst.Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
Gruß,
Peter
Moin,
ich würde folgenden Lösungsansatz verfolgen:
1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
hth
Erik
ich würde folgenden Lösungsansatz verfolgen:
1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
hth
Erik
Hallo,
Der Client ist genau in einer Domäne aber ab einer gewissen Menge an Servern wird es schwer sich zu merken in welcher Domäne der Server ist. Also würde es Fehler vermeiden, wenn man nicht den ganzen FQDN eintragen muss. Dazu kommen noch viele Scripts die mit nur einer Domäne funktioniert haben, nun müssten alle angepasst werden.
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
In wievielen Domänen ist denn dein Client beheimatet? Und wie soll dein DNS erkennen das du host1 aus domäne 1, 2 oder 3 meinst? das heute eher der FQDN genommen wird ist zwar für schreibfaule nicht so schön, aber es funktioniert sicher und gibt 100% wieder was oder wen du meinst.
Der Client ist genau in einer Domäne aber ab einer gewissen Menge an Servern wird es schwer sich zu merken in welcher Domäne der Server ist. Also würde es Fehler vermeiden, wenn man nicht den ganzen FQDN eintragen muss. Dazu kommen noch viele Scripts die mit nur einer Domäne funktioniert haben, nun müssten alle angepasst werden.
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
Zitat von @SIPSIP:
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...
Liebe Grüße
Erik
Moin Erik,
Besten Dank für deine ausführliche Antwort.
Hierzu habe ich aber noch grosse Probleme mit all den Linux Clients, die die Suffixe nicht vom DHCP Server übernehmen, bin seit Stunden ohne Erfolg eine Lösung am Suchen. Option 119 auf dem isc-dhcp-server muss ich aus meiner Sicht wie folgt machen, funktioniert jedoch nicht...
Grüsse
Besten Dank für deine ausführliche Antwort.
ich würde folgenden Lösungsansatz verfolgen:
1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
Die GPO habe ich bereits konfiguriert und es scheint entsprechend zu funktionieren. Dank Namenskonvention ist es gar nicht möglich, dass bei uns zwei Server den selben Namen haben und sonst wäre da noch die Firewall aber danke fürs Aufmerksam machen.1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
Hierzu habe ich aber noch grosse Probleme mit all den Linux Clients, die die Suffixe nicht vom DHCP Server übernehmen, bin seit Stunden ohne Erfolg eine Lösung am Suchen. Option 119 auf dem isc-dhcp-server muss ich aus meiner Sicht wie folgt machen, funktioniert jedoch nicht...
option domain-name "B.local";
option domain-search "A.int", "B.int"; 2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
Klingt gut, ich hatte bereits auf dem einen Windows DNS den Linux DNS als Conditional forwarder konfiguriert, was funktioniert hat. Muss noch schauen ob ich dabei bleibe oder besser als sekundäre Zone konfiguriere.Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
ISC-DHCP-Server, leider muss ich aber hierzu sagen, dass ich nicht viel Ahnung habe. Bisher habe ich versucht eine Anleitung zu finden, leider fand ich nur solche mit Bind...Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
hth
Erik
Erik
Grüsse
Zitat von @erikro:
Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...
Liebe Grüße
Erik
Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...
Liebe Grüße
Erik
Sind alles Ubuntu 14.04-18.04 LTS, jedoch bei allen das selbe Problem. Hab in meiner vorherigen Antwort noch die DHCP Optionen geschrieben, die ich verwendet habe.
Edit: wenn ich IP und alles auf den Ubuntu Server manuell konfiguriere und entsprechend alle Domänen eintrage funktionieren alle Abfragen wie gewollt. Scheint hier wirklich ein Problem mit DHCP zu sein.
Grüsse
Moin,
Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik
Zitat von @SIPSIP:
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
ISC-DHCP-Server, leider muss ich aber hierzu sagen, dass ich nicht viel Ahnung habe. Bisher habe ich versucht eine Anleitung zu finden, leider fand ich nur solche mit Bind...Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik
Zitat von @erikro:
Moin,
Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik
Moin,
Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik
Besten Dank, ich werde mir die Doku einmal anschauen.
Grüsse
