charlyxl
Goto Top

DNS Struktur Frage

Hallo,

bei größeren Unternehmen hat man manchmal mit merkwürdigen Netzwerkstrukturen zu kämpfen. Ich habe folgendes Problem.

- jedes Gerät im Netzwerk bekommt die IP über DHCP vom Rechenzentrum
- eigenen DHCP Server aufbauen --> verboten bzw. geblockt
- DNS-Server steht im Rechenzentrum
- IP Adresse vom DNS-Server im Rechenzentrum wird über DHCP dem Client mitgeteilt
- DNS Name des Clients auf diesem DNS-Server client.struktur.domäne.de

soweit so gut, jetzt kommt unsere Außenstelle

- eigener DC inkl. DNS-Server
- Domänenname (vom Rechenzentrum vergeben) ad.name.domäne.de
- alle unsere Clients in der Außenstelle sind an unserem DC angemeldet und bekommen IP vom DHCP aus dem Rechenzentrum, auch die IP von deren DNS Server

Problem:

Der Client hat jetzt zwei DNS-Name - client.struktur.domäne.de und client.ad.name.domäne.de. Den DNS-Server im Rechenzentrum kann ich nicht beschreiben. Bei einigen Servern haben ich jetzt schon unseren und den DNS-Server aus dem Rechenzentrum eingetragen um einige Problem zu beheben.

Hat jemand eine Idee, wie ich das Problem generell sinnvoll lösen kann? Bei jedem Client alle DNS Server manuell eintragen? --> Nützt bei Laptops nicht viel.

Ich hoffe ich konnte das Problem halbwegs klar rüberbringen. =o)

Vielen Dank für eure Hilfe.

VG Charly

Content-ID: 255928

Url: https://administrator.de/contentid/255928

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

Chonta
Chonta 26.11.2014 um 10:58:27 Uhr
Goto Top
Hallo,

dann muss mal dem DHCP im RZ (warum steht sowas im Rechenzentrum?) mal gesagt werden das es verscheidene Standortr / IP Bereiche und Namensbereiche geben soll und der jeh nachdem von wo was kommt was anderes vergeben soll incl welcher DNS verwendet werden soll.
(z.B. den neuen IP Raum für das VPN xyz oder für die MAC-Adressen vom Standort)

Jeder Domänenclinet braucht einen Domänen DNS-Server sonst geht das nicht gut. Wenn die DNS im RZ auch Domänen DNS sind, müssen die ja die Domäne der Zweitstelle kennen und eine Weiterleitung für eben diesen Namensraum machen bzw auch komplett auflösen können.
Der DC im anderen Standort muss natürlich für den Rest der Domäne auf die anderen DNS Server verweisen.

Die Frage ist hier, ist das AD überhaupt sauber aufgesetzt mit eigenen Standorten und und und oder am anderen Standort einfach eine neu Domäne hochgezogen worden?

Gruß

Chonta
SlainteMhath
SlainteMhath 26.11.2014 um 11:35:57 Uhr
Goto Top
Moin,

Hat jemand eine Idee, wie ich das Problem generell sinnvoll lösen kann?
Indem du die Admins im RZ bittest für euer IP Subnet euren DNS per DHCP mitzugeben, alles andere ist Gefrickel und führt früher oder später zu Problemen.

um einige Problem zu beheben.
was für Probleme hast du denn? Normalerweise sollte der DNS im RZ wissen das er Anfragen für die Domäne "ad.name.domäne.de" bei euren DNS nachragen muss.

lg,
Slainte
chiefteddy
chiefteddy 26.11.2014 um 12:02:09 Uhr
Goto Top
Hallo,

Deine Beschreibung deutet darauf hin, dass ihr einige grundsätzliche Probleme in eurer AD/DNS-Struktur habt. Das zentrale AD (und damit der zentrale DNS) scheint nicht korrekt von der Domäne in der Außenstelle informiert zu sein (Konfigurationsproblem! hat @Chonta ja schon dargestellt).

Entweder die Admins im RZ wußten bei der Aufnahme der Außenstelle ins AD nicht was sie tun (eher unwahrscheinlich) oder irgendjemand hat die Außenstelle "irgendwie" mit ins Netz genommen und das RZ nicht richtig informiert.

Eine Außenstelle sollte ihre IPs nicht über WAN vom DHCP im RZ bekommen, Wenn WAN ausfällt ist die gesamte Außenstelle tot, da es keine IPs gibt!! Also lokaler DHCP mit eigenem Adressbereich.

DNS-Server müssen von einander wissen und ihre Zonen sauber replizieren bzw. kennen (Weiterleitung der Anfragen).

Also mache einen Termin mit dem RZ und redet darüber!

Jürgen
Chonta
Chonta 26.11.2014 um 12:08:17 Uhr
Goto Top
Hallo,

ich würde soweit gehen, niemand sollte aus einem RZ seine Client IP über inen dortigen DHCP bekommen face-smile
DHCP gehören immer ins Lokale Netz, genau wie DCs face-smile

Gruß

Chonta
Anton28
Anton28 27.11.2014 um 15:50:47 Uhr
Goto Top
Hallo Chonta,

Du glaubst also wirklich, eine Firma mit 600 Außenstellen wird an jedem Standort einen DC und einen DHCP hinstellen ?

Ich würde mal davon ausgehen, das die Router der Außenstellen DHCP Relay spielen und das ganze zentral vom RZ kommt.

Es hilft nur, sich mit den Admins der IT des RZs in Verbindung zu setzen und über das Thema zu sprechen.

Gruß

Anton
Chonta
Chonta 27.11.2014 um 16:15:24 Uhr
Goto Top
Hallo,

DHCP immer loka von einem Router damit die Rechner auch ne IP haben wenn das Internet zusammenbricht.
Jeh nach aufgaben auch ein eigener Fileserver.
Über VPN eine Verbindung zur Domäne am Hauptstandort wo der DC steht.
Ein richtig konfiguriertes AD mit Standorten und so weiter.

DHCP ist nichts was auf einem DC laufen muss aber etwas das jeder Standort braucht wenn er ein fuktionierendes Lokales netzwerk will.
Das MS gerne für alle Unternemen die DC in deren Wolke mit noch leichterem rootzugriff haben will ist klar, aber man muss nicht jeden Mist mitmachen.
Man kann vieles in ein rechenzentrum auslagen, aber der Dienst über den die gesamte Rechtevergabe des Unternehmens gereglet wird sollte man nicht unbedingt aus den eigenen Händen geben, und wenn nur RODCs, dan können die zwar lesen aber nix verändern.

Gruß

Chonta
Anton28
Anton28 27.11.2014 um 16:23:33 Uhr
Goto Top
Hallo,

wer sprach denn davon das RZ sei bei einem fremden Dienstleister ?

Ich hatte das so verstanden, dass die Außenstelle mit dem eigenen RZ verbunden sei.

Ich ging jetzt mal davon aus, das RZ sei im Konzern zudem diese Außenstelle gehört.

Je nachdem was da für Anwendungen laufen, kann es durchaus sein, dass in den Ausßenstellen nur noch Thinclients laufen.
Und wer hat gesagt, das da nicht ein eingenee "WAN" läuft, ohne VPN sondern mit MPLS Strecken ?

Aber wie auch immer, jeder so wie er meint glücklich zu sein.

Aber trotzdem wird dem Kollegen nichts anderes übrig bleiben, als den Kontakt zu seinem RZ zu suchen und den richtigen Ansprechpartner zu finden.
Und mit diesem sollte dann das Problem ganzheitlich angegangen werden.
Alles andere ist Murks, wie schon wieter oben beschrieben worden ist.

Es kann natürlich auch sein, dass der Standort von einer Firma gekauft worden ist, und man sich nicht in die Struktur einfügen will/kann, weil jemanden was weg genommer worde ist. Aber das ist dann sowieso ein Kampf gegen Windmühlen, denn wir hier auch nicht lösen können.

Gruß

Anton
CharlyXL
CharlyXL 15.12.2014 um 09:05:09 Uhr
Goto Top
Vielen Dank für die vielen Hinweise. Ich habe jetzt jemanden im RZ gefunden der mir helfen konnte.
Er hat jetzt in seinem DNS Server eine Weiterleitung zu unserem DNS eingestellt. So werden alle Anfragen an unsere Domäne direkt an unseren DNS weitergeleitet. Wir haben das ganze jetzt seit ein paar Tagen laufen und es sieht sehr gut aus. Ich hoffe das somit die Probleme gelöst werden.

Ich werde nochmal einen Eintrag schreiben, ob alles läuft.

VG Charly
CharlyXL
CharlyXL 11.02.2015 um 09:06:19 Uhr
Goto Top
Hier noch mal eine Statusmeldung nach einem 2 mehrmonatig Test. Es läuft alles super. Das Problem ist somit gelöst.
Danke für die Hilfe.