sipsip
Goto Top

DNS Konzept mit 3 Server und 3 Zonen

Hallo zusammen

Wir haben einige DNS Probleme die ich mir nicht erklären kann und habe vor Kurzem bereits eine Frage hier im Forum platziert. Da die Server nie dokumentiert wurden liegt es nun an mir eine funktionierende Lösung zu erarbeiten.

Aktuell sieht die Situation ungefähr so aus wie in der Skizze im Anhang.
- 2 Standorte
- 3 DNS Server
- 3 Zonen/Domains
- 2 DHCP Server

Die Domäne B.int würde ich am liebsten komplett abschaffen, bin aber durch interne Abhängigkeiten blockiert. Schlussendlich soll man egal aus welcher Domäne einen Hostnamen auflösen können ohne die Domäne angeben zu müssen, was leider aktuell nicht funktioniert (nslookup host1 statt nslookup host1.B.local). Momentan funktioniert dies nur auf den Clients, die den entsprechenden DNS Server kennen und dieser auch einen DNS Record für diese Abfrage hat. Conditional Forwarder wurden auf den Windows DNS eingerichtet, jedoch hilft das leider nicht viel.

Auch funktioniert das DDNS-Update zwischen Linux DHCP und Windows DNS Server nicht, finde nur Anleitungen mit Linux-Linux oder Windows-Windows.

Welche Einstellungen muss ich beachten damit die DNS Server sauber zusammenarbeiten?
Kennt jemand eine Anleitung für mein DDNS Update zwischen Linux und Windows?

Danke.
skizze

Content-ID: 456476

Url: https://administrator.de/contentid/456476

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

certifiedit.net
certifiedit.net 28.05.2019 um 16:08:49 Uhr
Goto Top
Hallo SIPSIP,

wird so nicht funktionieren, ich mein, wer sagt denn, ob hosta.domain nun zur domaina, b oder c gehört?

DNS Update zwischen Windows und Linux macht jeder DNS, der sauber konfiguriert ist, das ist aber auch schon das Kernproblem. Also Entweder du bereinigst das, holst dir jemanden, der dir das bereinigt, oder musst damit leben.

VG
SIPSIP
SIPSIP 28.05.2019 um 16:17:50 Uhr
Goto Top
Hi,

Danke für deine rasche Rückmeldung. Leider habe ich schon fast so etwas befürchtet, hatte jedoch noch Hoffnung face-smile. Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
Ich meine damit z.B. unter Windows in den Interface Einstellungen den alle Suffixe zu erfassen.
Pjordorf
Pjordorf 28.05.2019 um 16:36:09 Uhr
Goto Top
Hallo,

Zitat von @SIPSIP:
Aber wie ist es den, wenn ich den Client die DNS Suffixe mitteile, versuchen die dann nicht den Hostname mit allen Suffixen/Domains aufzulösen?
In wievielen Domänen ist denn dein Client beheimatet? Und wie soll dein DNS erkennen das du host1 aus domäne 1, 2 oder 3 meinst? das heute eher der FQDN genommen wird ist zwar für schreibfaule nicht so schön, aber es funktioniert sicher und gibt 100% wieder was oder wen du meinst.

Gruß,
Peter
erikro
erikro 28.05.2019 aktualisiert um 16:45:44 Uhr
Goto Top
Moin,

ich würde folgenden Lösungsansatz verfolgen:

1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten. face-wink

2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.

3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?

hth

Erik
SIPSIP
SIPSIP 28.05.2019 aktualisiert um 16:47:19 Uhr
Goto Top
Hallo,

In wievielen Domänen ist denn dein Client beheimatet? Und wie soll dein DNS erkennen das du host1 aus domäne 1, 2 oder 3 meinst? das heute eher der FQDN genommen wird ist zwar für schreibfaule nicht so schön, aber es funktioniert sicher und gibt 100% wieder was oder wen du meinst.

Der Client ist genau in einer Domäne aber ab einer gewissen Menge an Servern wird es schwer sich zu merken in welcher Domäne der Server ist. Also würde es Fehler vermeiden, wenn man nicht den ganzen FQDN eintragen muss. Dazu kommen noch viele Scripts die mit nur einer Domäne funktioniert haben, nun müssten alle angepasst werden.

Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.
erikro
erikro 28.05.2019 um 16:59:00 Uhr
Goto Top
Zitat von @SIPSIP:
Mhm, muss ja nicht sein, dass der DNS das erkennen soll, sondern die Clients mit jedem Suffix versuchen. In Windows scheint das zu funktionieren, da ich auch eine Prio der Suffixe mitgeben kann, nur Linux tut sich schwer.

Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...

Liebe Grüße

Erik
SIPSIP
SIPSIP 28.05.2019 um 17:04:24 Uhr
Goto Top
Moin Erik,

Zitat von @erikro:

Moin,
Besten Dank für deine ausführliche Antwort.
ich würde folgenden Lösungsansatz verfolgen:

1. DNS-Suffix-Liste
Das geht natürlich. Du kannst (auch per GPO) eine Liste angeben, die genau in der Reihenfolge abgearbeitet wird, wie Du sie angibst. Auf einem Client von a.local könnte die dann so aussehen: a.local,b.local,b.int. Gibt dann ein User z. B. einfach nur fileserver ein, dann wird erst der DNS-Server nach fileserver.a.local gefragt. Gibt es den dann nicht, dann wird fileserver.b.local gefragt und, sofern es den auch nicht gibt, dann fileserver.b.int. Allerdings ist das nicht wirklich sicher. Will der user in a.local den fileserver von b.local haben und, weil er normalerweise immer in b.local arbeitet, gibt wie gewohnt nur fileserver ein, dann landet er auf dem falschen Rechner. Sprich, das funktioniert nur dann sicher, wenn alle Rechnernamen domänenübergreifend eindeutig sind. Wer will das schon verwalten. face-wink
Die GPO habe ich bereits konfiguriert und es scheint entsprechend zu funktionieren. Dank Namenskonvention ist es gar nicht möglich, dass bei uns zwei Server den selben Namen haben und sonst wäre da noch die Firewall aber danke fürs Aufmerksam machen.
Hierzu habe ich aber noch grosse Probleme mit all den Linux Clients, die die Suffixe nicht vom DHCP Server übernehmen, bin seit Stunden ohne Erfolg eine Lösung am Suchen. Option 119 auf dem isc-dhcp-server muss ich aus meiner Sicht wie folgt machen, funktioniert jedoch nicht...
  option domain-name "B.local";  
  option domain-search "A.int", "B.int";  
2. DNS-Server
Ich würde evtl. einfach auf allen drei DNS-Servern die jeweils beiden fremden Zonen als sekundäre Zone einrichten. Dann können alle drei alle drei Zonen auflösen.
Klingt gut, ich hatte bereits auf dem einen Windows DNS den Linux DNS als Conditional forwarder konfiguriert, was funktioniert hat. Muss noch schauen ob ich dabei bleibe oder besser als sekundäre Zone konfiguriere.
3. DHCP (Linux) mit DDNS-Eintrag auf dem Windows-Server
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
ISC-DHCP-Server, leider muss ich aber hierzu sagen, dass ich nicht viel Ahnung habe. Bisher habe ich versucht eine Anleitung zu finden, leider fand ich nur solche mit Bind...

hth

Erik

Grüsse
SIPSIP
SIPSIP 28.05.2019 aktualisiert um 17:15:19 Uhr
Goto Top
Zitat von @erikro:
Echt? Funktioniert hier wie unter Windows. Über welches Linux sprechen wir denn? Debian? Suse? Ubuntu? Red Hat? Slackware? ...

Liebe Grüße

Erik

Sind alles Ubuntu 14.04-18.04 LTS, jedoch bei allen das selbe Problem. Hab in meiner vorherigen Antwort noch die DHCP Optionen geschrieben, die ich verwendet habe.

Edit: wenn ich IP und alles auf den Ubuntu Server manuell konfiguriere und entsprechend alle Domänen eintrage funktionieren alle Abfragen wie gewollt. Scheint hier wirklich ein Problem mit DHCP zu sein.

Grüsse
erikro
erikro 29.05.2019 um 08:23:49 Uhr
Goto Top
Moin,

Zitat von @SIPSIP:
Welcher DHCP-Daemon läuft denn da? Grundsätzliche Probleme: Ist der Linux-DHCP-Server für dynamische Updates im AD authorisiert? Spricht der Linux-DHCP-Server mit dem DNS das Kerberos-Protokoll (Windows DNS-Server) oder TSIG (BIND und deshalb unter Linux Standard)?
ISC-DHCP-Server, leider muss ich aber hierzu sagen, dass ich nicht viel Ahnung habe. Bisher habe ich versucht eine Anleitung zu finden, leider fand ich nur solche mit Bind...

Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.

hth

Erik
SIPSIP
SIPSIP 29.05.2019 um 08:35:26 Uhr
Goto Top
Zitat von @erikro:

Moin,

Jupp, der spricht im Standard TSIG. Guck mal in "Samba 4: Das Handbuch für Administratoren" von Stefan Kania (google book), Kapitel 8. Da steht, wie man das mit Samba4 macht. Sollte auch so für ein Windows-AD funktionieren.

hth

Erik

Besten Dank, ich werde mir die Doku einmal anschauen.

Grüsse