gnoovy
Goto Top

Erstellung von Domänen

Fragestellung ob Vorgehensweise bei Domänenerstellung so korrekt oder ob es andere / bessere Wege gibt. Ist sehr wichtig für baldiges Projekt

hi zusammen,

habe eine Domäne winnet.local mit untergeordneter Domäne de.winnet.local und eine neue Domäne in separater Struktur contoso.local erstellt. Meine Frage ist nun ob so korrekt oder ob ihr was anders / besser machen würdet.


Folgende Domänencontroller sind den Domänen und somit 3 Subnetzen zugeordnet
winnet.local:
dc1.winnet.local
IP: 192.168.100.33 / 255.255.255.224

de.winnet.local
dc2.de.winnet.local
IP: 192.168.100.65 / 255.255.255.224

contoso.local
dc3.contoso.local
IP: 192.168.100.97 / 255.255.255.224

von winnet.local habe ich im dns eine Delegierung in der Forward-Lookup-Zone auf de.winnet.local erstellt. Von de.winnet.local eine normale Weiterleitung zu winnet.local. Zwischen winnet.local und contoso.local habe ich jeweils Weiterleitungen im dns eingerichtet.
Die Reverse-Lookup-Zone habe ich unter winnet.local erstellt und als Replizierung den Punkt "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur "winnet.local"" gewählt, damit diese auf die anderen Domänen repliziert wird. Die anderen Server der anderen Domänen haben die Reverse-Lookup-Zonen auch erhalten und sich dort eingetragen.

Erstellung der Domänen mit dcpromo über Start-Ausführen-dcpromo.

Router:
Da für jede Domäne ein eigenes Subnetz eingerichtet wurde habe ich zur Kommunikation zwischen den Subnetzen einen Router auf einer separaten Maschine mittels Routing und Ras konfiguriert. Bei Installation habe ich "Lan-Routing" und "NAT" unter benutzerdefinierten Einstellungen gewählt, da mein Router neben den Netzwerkkarten mit einer IP-Adresse und Subnetz-Mask der jeweiligen Subnetze auch eine Netzwerkkarte besitzt welches in ein Netz mit Internet-Router besitzt. Dadurch können die Server / Clients aller Subnetze ebenfalls ins Internet.
Den Router habe ich in die Domäne winnet.local integriert

Content-ID: 121803

Url: https://administrator.de/contentid/121803

Ausgedruckt am: 30.10.2024 um 09:10 Uhr

Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 01.08.2009 um 14:45:32 Uhr
Goto Top
Warum stellst du deine Frage zusätzlich noch in diesem Bord, wenn du es schon woanders gestellt hast.

[Erstellung von Domänen - MCSEboard.de MCSE Forum]
http://www.mcseboard.de/windows-forum-allgemein-28/erstellung-domaenen- ...


Gruß, Yusuf Dikmenoglu
gnoovy
gnoovy 01.08.2009 um 15:19:28 Uhr
Goto Top
hi daim oder yusuf face-wink

naja sind doch unterschiedliche boards oder? Denke nicht, dass alle User eines Forums auch automatisch in den restlichen Foren gleicher Art anzutreffen sind. Demnach erhöhen sich doch die Chancen einer Antwort wenn man Hilfe in mehreren Foren sucht. Oder sehe ich das falsch?
RedRabbit
RedRabbit 01.08.2009 um 19:02:26 Uhr
Goto Top
liest sich soweit ganz gut, wenn du jedoch alle Domänen unter deiner Herrschaft hast würde ich persönlich mit Stubzonen arbeiten statt mit Weiterleitungen, dann brauch man sich um die ganzen DNS-Server-IPs nicht mehr grossartig kümmern und kann auch ein paar dazustellen oder auch beliebig ändern, das Eintragen der Änderungen erfolgt dann über die normale AD-Replikation. Da wenn ich das ganze richtig gelesen habe, der ganze DNS-Kram AD-integriert ist, hast du mit der Replizierung keine grossartigen Probleme. Weiterleitungen würde ich dann nur in fremde Netze benutzen. Das erspart einem später bei der Änderung der Struktur Arbeit und macht die ganze Sache im alltäglichen Gebrauch etwas einfacher, wenn man nicht so drauf steht ständig auf sein DNS zu achten. Ob man ne Reverse-Lookup so zwingend braucht sei mal dahingestellt, in 90% der Fälle kommt man ohne sie aus, ich wüsste jedenfalls nicht, wo es so oft vorkommt, daß man IP in Namen übersetzen soll, der übliche Weg is ja nur das umgekehrte. Aber schaden tut sie auch nix.

Eigene Grundregel, bin bisher gut mit zurecht gekommen: selbst verwaltete DNS-Zonen: Verknüpfung mittels Stubzonen; fremde Zonen: Weiterleitungen.
36831
36831 01.08.2009 um 22:02:50 Uhr
Goto Top
Moin,

Hier mal ein paar Fragen dazu:
  1. In welcher Beziehung stehen die Domänen denn Firmen-Rechtlich zueinander?
  2. Warum hast du zwei Gesamtstrukturen erstellt?
  3. Warum verwendest du so öaußergewöhnlich kleine Subnetze mit unübersichtlichen IP-Bereichen? Hast du nur das 192.168.100.0/24 Subnetz zur verfügung? Ich würde nach Möglichkeit mit /24er Subnetzmasken arbeiten.
  4. Replizierst du die Reverst-Lookup Zone auch irgendwie auf die Domäne contoso.local, die ja laut deinem Einleitungssatz in einer anderen Gesamtstruktur steckt?
  5. Wohin machst du NAT? Hoffentlich nur Richtung Internet!

MfG,
VW
gnoovy
gnoovy 02.08.2009 um 22:41:06 Uhr
Goto Top
Hi RedRabbit,

wow vielen Dank für die Antwort. Eine kleine Problematik ist mir noch aufgefallen und hatte sie folgendermaßen gelöst:
Hatte gemerkt, dass es manchmal Probs bei Replizierung zwischen de.winnet.local und contoso.local gab. de.winnet.local konnte per nslookup keine dns-Anfragen an contoso.local schicken. Erst als ich unter de.winnet.local eine DNS-Weiterleitung an contoso.local eingerichtet hatte, hat alles wunderbar funktioniert und es kamen auch keine Fehler mehr. Ist das normal, dass man hier eine extra Weiterleitung machen muss? Vor allem weil ich unter winnet.local und contoso.local jeweils Weiterleitungen konfiguriert habe und de.winnet.local ist ja die untergeordnete Domäne von winnet.local??

Kannst du mir zusätzlich evtl eine Anleitung schicken wie das mit den Stubzonen dann genau funktioniert?
So dritte und letzte Frage: face-wink
Habe ja oben noch einen Router erwähnt. Ist das normal, dass wenn man nur lan-routing konfiguriert er und die anderen Rechner aus den einzelnen Subnetzen nicht ins Internet können? Das Subnetz, in welchem der Fritz!Box-Router steht, lautet 192.168.178.0/24. Konnte den Router mit IP 192.168.178.254 nicht pingen, nichts. Erst als ich zusätzlich NAT eingerichtet hatte, hatte ping und Internet, etc. problemlos geklappt. Auf meinem Router habe ich die Netzwerkkarte für dieses Subnetz mit IP: 192168.178.199 und als Gateway / DNS die 192.168.178.254 eingetragen.
gnoovy
gnoovy 02.08.2009 um 22:57:22 Uhr
Goto Top
Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung konfiguriert und dient in erster Linie der Wissenserweiterung falls mal eine solche Konstellation auf mich zukommen sollte und für mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige. Neben meinem Beruf ist dieses Thema auch meine große Leidenschaft und ich möchte soviel wie möglich darüber wissen und testen.

4. Die Reverse-Lookup-Zone hatte ich auch auf contoso.local repliziert.
5. Habe NAT mittels Routing und RAS konfiguriert und unter "NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box, also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so richtig sein, oder?
5.1 Unter Netzwerkkarteneigenschaften habe ich die Option "An das Internet angeschlossene,..." und NAT / Firewall aktivieren gewählt
36831
36831 02.08.2009 um 23:06:27 Uhr
Goto Top
Zitat von @gnoovy:
Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung
konfiguriert und dient in erster Linie der Wissenserweiterung falls
mal eine solche Konstellation auf mich zukommen sollte und für
mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige.
Neben meinem Beruf ist dieses Thema auch meine große
Leidenschaft und ich möchte soviel wie möglich darüber
wissen und testen.
Ohne mich jetzt mit Gesamtstruktur-übergreifenden Berechtigungen und Vertrauensstellungen auszukennen, würde ich sagen, dafür sollte das eine gute Möglichkeit sein. Alternativ könnte man natürlich noch eine gemeinsame Gesamtstruktur mit verschiedenen Domains nehmen.
5. Habe NAT mittels Routing und RAS konfiguriert und unter
"NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box,
also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so
richtig sein, oder?
Klingt gut.
5.1 Unter Netzwerkkarteneigenschaften habe ich die Option "An
das Internet angeschlossene,..." und NAT / Firewall aktivieren
gewählt
Klingt auch gut.
gnoovy
gnoovy 02.08.2009 um 23:22:18 Uhr
Goto Top
supi... face-wink nur warum konnte mein router nicht auch schon vorher in das Subnetz meiner Fritz!-Box routen? Ist doch nichts anderes wie die anderen Subnetze oder?
RedRabbit
RedRabbit 02.08.2009 um 23:41:27 Uhr
Goto Top
Nein die Weiterleitung ist nicht normal...da hatte ich was vergessen zu erwähnen beziehungsweise als selbstverständlich vorausgesetzt^^. Du musst in den Einstellungen der DNS-Zonen die Replizierung an die jeweils anderen Zonen erlauben. Hab den Server jetzt nicht vor mir, aber wenn ich mich richtig erinnere (2 Tage nich vor der Kiste sitzen und schon wieder alles vergessen :D ), musst du in den Eigenschaften deiner Zone im Reiter Zonenübertragung (W2k3 bzw W2k8) nen Haken setzen bei "Zonenübertragung zulassen"(oder so ähnlich) und die jeweils anderen beiden DNS-Zonen eintragen. Ansonsten ist die Replikation nicht erlaubt und findet somit auch nicht statt ;)

Die Replikation selber erfolgt nur im normalen Takt der AD-Replikation. Wenn du da etwas neu konfigurierst kann es schon mal ne Weile dauern bis das auf den anderen Servern angekommen ist. Zonen neu laden beschleunigt das zwar, aber es kann auch damit durchaus 5-10 Minuten dauern bis alles überall angekommen ist.

Ich guck morgen mal ob ich irgendwo nen Tutorial finde zum Thema DNS und Stubzonen.
RedRabbit
RedRabbit 03.08.2009 um 00:09:55 Uhr
Goto Top
Kann es sein, da du in den Domänen ne Subnetzmaske 255.255.255.224 hast, das du die versehentlich auch in der externen Schnittstelle des NAT-Routings auf dem Server eingetragen hast? Die Fritzbox mag solche Subnetzmasken nämlich überhaupt nicht, die besteht immer auf ne /24er Maske. Ansonsten müsste es so eigentlich hinhauen aus der Ferne betrachtet.
36831
36831 03.08.2009 um 00:21:56 Uhr
Goto Top
Ohne NAT weiß deine Fritzbox nicht, wie sie das Netz erreichen soll, da sie das Subnetz ja nicht selber angeschlossen hat. Da 192.168.* nicht in das Internet weitergeleitet werden darf, verwirft die Fritzbox die Pakete einfach, statt diese auf das eigene Default Gateway (dein ISP) zu routen.

Du müsstest ohne NAT also in der Routing-Tabelle deiner FritzBox das Subnetz 192.168.100.0/24 (somit deckst du alle 3 Netze ab) auf deinen Windows-Router weiterleiten.