DNS Konzept mit 3 Server und 3 Zonen
Hallo zusammen
Wir haben einige DNS Probleme die ich mir nicht erklären kann und habe vor Kurzem bereits eine Frage hier im Forum platziert. Da die Server nie dokumentiert wurden liegt es nun an mir eine funktionierende Lösung zu erarbeiten.
Aktuell sieht die Situation ungefähr so aus wie in der Skizze im Anhang.
- 2 Standorte
- 3 DNS Server
- 3 Zonen/Domains
- 2 DHCP Server
Die Domäne B.int würde ich am liebsten komplett abschaffen, bin aber durch interne Abhängigkeiten blockiert. Schlussendlich soll man egal aus welcher Domäne einen Hostnamen auflösen können ohne die Domäne angeben zu müssen, was leider aktuell nicht funktioniert (nslookup host1 statt nslookup host1.B.local). Momentan funktioniert dies nur auf den Clients, die den entsprechenden DNS Server kennen und dieser auch einen DNS Record für diese Abfrage hat. Conditional Forwarder wurden auf den Windows DNS eingerichtet, jedoch hilft das leider nicht viel.
Auch funktioniert das DDNS-Update zwischen Linux DHCP und Windows DNS Server nicht, finde nur Anleitungen mit Linux-Linux oder Windows-Windows.
Welche Einstellungen muss ich beachten damit die DNS Server sauber zusammenarbeiten?
Kennt jemand eine Anleitung für mein DDNS Update zwischen Linux und Windows?
Danke.
Wir haben einige DNS Probleme die ich mir nicht erklären kann und habe vor Kurzem bereits eine Frage hier im Forum platziert. Da die Server nie dokumentiert wurden liegt es nun an mir eine funktionierende Lösung zu erarbeiten.
Aktuell sieht die Situation ungefähr so aus wie in der Skizze im Anhang.
- 2 Standorte
- 3 DNS Server
- 3 Zonen/Domains
- 2 DHCP Server
Die Domäne B.int würde ich am liebsten komplett abschaffen, bin aber durch interne Abhängigkeiten blockiert. Schlussendlich soll man egal aus welcher Domäne einen Hostnamen auflösen können ohne die Domäne angeben zu müssen, was leider aktuell nicht funktioniert (nslookup host1 statt nslookup host1.B.local). Momentan funktioniert dies nur auf den Clients, die den entsprechenden DNS Server kennen und dieser auch einen DNS Record für diese Abfrage hat. Conditional Forwarder wurden auf den Windows DNS eingerichtet, jedoch hilft das leider nicht viel.
Auch funktioniert das DDNS-Update zwischen Linux DHCP und Windows DNS Server nicht, finde nur Anleitungen mit Linux-Linux oder Windows-Windows.
Welche Einstellungen muss ich beachten damit die DNS Server sauber zusammenarbeiten?
Kennt jemand eine Anleitung für mein DDNS Update zwischen Linux und Windows?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456476
Url: https://administrator.de/contentid/456476
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo SIPSIP,
wird so nicht funktionieren, ich mein, wer sagt denn, ob hosta.domain nun zur domaina, b oder c gehört?
DNS Update zwischen Windows und Linux macht jeder DNS, der sauber konfiguriert ist, das ist aber auch schon das Kernproblem. Also Entweder du bereinigst das, holst dir jemanden, der dir das bereinigt, oder musst damit leben.
VG
wird so nicht funktionieren, ich mein, wer sagt denn, ob hosta.domain nun zur domaina, b oder c gehört?
DNS Update zwischen Windows und Linux macht jeder DNS, der sauber konfiguriert ist, das ist aber auch schon das Kernproblem. Also Entweder du bereinigst das, holst dir jemanden, der dir das bereinigt, oder musst damit leben.
VG
Hallo,
Gruß,
Peter
Zitat von @SIPSIP:
Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
In wievielen Domänen ist denn dein Client beheimatet? Und wie soll dein DNS erkennen das du host1 aus domäne 1, 2 oder 3 meinst? das heute eher der FQDN genommen wird ist zwar für schreibfaule nicht so schön, aber es funktioniert sicher und gibt 100% wieder was oder wen du meinst.Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
Gruß,
Peter
Moin,
ich würde folgenden Lösungsansatz verfolgen:
1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
hth
Erik
ich würde folgenden Lösungsansatz verfolgen:
1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten.
2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
hth
Erik
Zitat von @SIPSIP:
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...
Liebe Grüße
Erik
Moin,
Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik
Zitat von @SIPSIP:
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
ISC-DHCP-Server, leider muss ich aber hierzu sagen, dass ich nicht viel Ahnung habe. Bisher habe ich versucht eine Anleitung zu finden, leider fand ich nur solche mit Bind...Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.
hth
Erik