Erstellung von Domänen
Fragestellung ob Vorgehensweise bei Domänenerstellung so korrekt oder ob es andere / bessere Wege gibt. Ist sehr wichtig für baldiges Projekt
hi zusammen,
habe eine Domäne winnet.local mit untergeordneter Domäne de.winnet.local und eine neue Domäne in separater Struktur contoso.local erstellt. Meine Frage ist nun ob so korrekt oder ob ihr was anders / besser machen würdet.
Folgende Domänencontroller sind den Domänen und somit 3 Subnetzen zugeordnet
winnet.local:
dc1.winnet.local
IP: 192.168.100.33 / 255.255.255.224
de.winnet.local
dc2.de.winnet.local
IP: 192.168.100.65 / 255.255.255.224
contoso.local
dc3.contoso.local
IP: 192.168.100.97 / 255.255.255.224
von winnet.local habe ich im dns eine Delegierung in der Forward-Lookup-Zone auf de.winnet.local erstellt. Von de.winnet.local eine normale Weiterleitung zu winnet.local. Zwischen winnet.local und contoso.local habe ich jeweils Weiterleitungen im dns eingerichtet.
Die Reverse-Lookup-Zone habe ich unter winnet.local erstellt und als Replizierung den Punkt "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur "winnet.local"" gewählt, damit diese auf die anderen Domänen repliziert wird. Die anderen Server der anderen Domänen haben die Reverse-Lookup-Zonen auch erhalten und sich dort eingetragen.
Erstellung der Domänen mit dcpromo über Start-Ausführen-dcpromo.
Router:
Da für jede Domäne ein eigenes Subnetz eingerichtet wurde habe ich zur Kommunikation zwischen den Subnetzen einen Router auf einer separaten Maschine mittels Routing und Ras konfiguriert. Bei Installation habe ich "Lan-Routing" und "NAT" unter benutzerdefinierten Einstellungen gewählt, da mein Router neben den Netzwerkkarten mit einer IP-Adresse und Subnetz-Mask der jeweiligen Subnetze auch eine Netzwerkkarte besitzt welches in ein Netz mit Internet-Router besitzt. Dadurch können die Server / Clients aller Subnetze ebenfalls ins Internet.
Den Router habe ich in die Domäne winnet.local integriert
hi zusammen,
habe eine Domäne winnet.local mit untergeordneter Domäne de.winnet.local und eine neue Domäne in separater Struktur contoso.local erstellt. Meine Frage ist nun ob so korrekt oder ob ihr was anders / besser machen würdet.
Folgende Domänencontroller sind den Domänen und somit 3 Subnetzen zugeordnet
winnet.local:
dc1.winnet.local
IP: 192.168.100.33 / 255.255.255.224
de.winnet.local
dc2.de.winnet.local
IP: 192.168.100.65 / 255.255.255.224
contoso.local
dc3.contoso.local
IP: 192.168.100.97 / 255.255.255.224
von winnet.local habe ich im dns eine Delegierung in der Forward-Lookup-Zone auf de.winnet.local erstellt. Von de.winnet.local eine normale Weiterleitung zu winnet.local. Zwischen winnet.local und contoso.local habe ich jeweils Weiterleitungen im dns eingerichtet.
Die Reverse-Lookup-Zone habe ich unter winnet.local erstellt und als Replizierung den Punkt "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur "winnet.local"" gewählt, damit diese auf die anderen Domänen repliziert wird. Die anderen Server der anderen Domänen haben die Reverse-Lookup-Zonen auch erhalten und sich dort eingetragen.
Erstellung der Domänen mit dcpromo über Start-Ausführen-dcpromo.
Router:
Da für jede Domäne ein eigenes Subnetz eingerichtet wurde habe ich zur Kommunikation zwischen den Subnetzen einen Router auf einer separaten Maschine mittels Routing und Ras konfiguriert. Bei Installation habe ich "Lan-Routing" und "NAT" unter benutzerdefinierten Einstellungen gewählt, da mein Router neben den Netzwerkkarten mit einer IP-Adresse und Subnetz-Mask der jeweiligen Subnetze auch eine Netzwerkkarte besitzt welches in ein Netz mit Internet-Router besitzt. Dadurch können die Server / Clients aller Subnetze ebenfalls ins Internet.
Den Router habe ich in die Domäne winnet.local integriert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 121803
Url: https://administrator.de/contentid/121803
Ausgedruckt am: 30.10.2024 um 09:10 Uhr
11 Kommentare
Neuester Kommentar
Warum stellst du deine Frage zusätzlich noch in diesem Bord, wenn du es schon woanders gestellt hast.
[Erstellung von Domänen - MCSEboard.de MCSE Forum]
http://www.mcseboard.de/windows-forum-allgemein-28/erstellung-domaenen- ...
Gruß, Yusuf Dikmenoglu
[Erstellung von Domänen - MCSEboard.de MCSE Forum]
http://www.mcseboard.de/windows-forum-allgemein-28/erstellung-domaenen- ...
Gruß, Yusuf Dikmenoglu
liest sich soweit ganz gut, wenn du jedoch alle Domänen unter deiner Herrschaft hast würde ich persönlich mit Stubzonen arbeiten statt mit Weiterleitungen, dann brauch man sich um die ganzen DNS-Server-IPs nicht mehr grossartig kümmern und kann auch ein paar dazustellen oder auch beliebig ändern, das Eintragen der Änderungen erfolgt dann über die normale AD-Replikation. Da wenn ich das ganze richtig gelesen habe, der ganze DNS-Kram AD-integriert ist, hast du mit der Replizierung keine grossartigen Probleme. Weiterleitungen würde ich dann nur in fremde Netze benutzen. Das erspart einem später bei der Änderung der Struktur Arbeit und macht die ganze Sache im alltäglichen Gebrauch etwas einfacher, wenn man nicht so drauf steht ständig auf sein DNS zu achten. Ob man ne Reverse-Lookup so zwingend braucht sei mal dahingestellt, in 90% der Fälle kommt man ohne sie aus, ich wüsste jedenfalls nicht, wo es so oft vorkommt, daß man IP in Namen übersetzen soll, der übliche Weg is ja nur das umgekehrte. Aber schaden tut sie auch nix.
Eigene Grundregel, bin bisher gut mit zurecht gekommen: selbst verwaltete DNS-Zonen: Verknüpfung mittels Stubzonen; fremde Zonen: Weiterleitungen.
Eigene Grundregel, bin bisher gut mit zurecht gekommen: selbst verwaltete DNS-Zonen: Verknüpfung mittels Stubzonen; fremde Zonen: Weiterleitungen.
Moin,
Hier mal ein paar Fragen dazu:
MfG,
VW
Hier mal ein paar Fragen dazu:
- In welcher Beziehung stehen die Domänen denn Firmen-Rechtlich zueinander?
- Warum hast du zwei Gesamtstrukturen erstellt?
- Warum verwendest du so öaußergewöhnlich kleine Subnetze mit unübersichtlichen IP-Bereichen? Hast du nur das 192.168.100.0/24 Subnetz zur verfügung? Ich würde nach Möglichkeit mit /24er Subnetzmasken arbeiten.
- Replizierst du die Reverst-Lookup Zone auch irgendwie auf die Domäne contoso.local, die ja laut deinem Einleitungssatz in einer anderen Gesamtstruktur steckt?
- Wohin machst du NAT? Hoffentlich nur Richtung Internet!
MfG,
VW
Zitat von @gnoovy:
Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung
konfiguriert und dient in erster Linie der Wissenserweiterung falls
mal eine solche Konstellation auf mich zukommen sollte und für
mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige.
Neben meinem Beruf ist dieses Thema auch meine große
Leidenschaft und ich möchte soviel wie möglich darüber
wissen und testen.
Ohne mich jetzt mit Gesamtstruktur-übergreifenden Berechtigungen und Vertrauensstellungen auszukennen, würde ich sagen, dafür sollte das eine gute Möglichkeit sein. Alternativ könnte man natürlich noch eine gemeinsame Gesamtstruktur mit verschiedenen Domains nehmen.Hi VW,
1.3.
Das ganze Szenario ist erstmals nur in einer virtuellen Testumgebung
konfiguriert und dient in erster Linie der Wissenserweiterung falls
mal eine solche Konstellation auf mich zukommen sollte und für
mein MCSE-Studium in der ich das Wissen auf jeden Fall benötige.
Neben meinem Beruf ist dieses Thema auch meine große
Leidenschaft und ich möchte soviel wie möglich darüber
wissen und testen.
5. Habe NAT mittels Routing und RAS konfiguriert und unter
"NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box,
also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so
richtig sein, oder?
Klingt gut."NAT/Basisfirewall" meine Netzwerkkarte zu meiner Fritz!Box,
also im Bereich 192.168.178.0/24 reingestellt. Sollte doch dann so
richtig sein, oder?
5.1 Unter Netzwerkkarteneigenschaften habe ich die Option "An
das Internet angeschlossene,..." und NAT / Firewall aktivieren
gewählt
Klingt auch gut.das Internet angeschlossene,..." und NAT / Firewall aktivieren
gewählt
Nein die Weiterleitung ist nicht normal...da hatte ich was vergessen zu erwähnen beziehungsweise als selbstverständlich vorausgesetzt^^. Du musst in den Einstellungen der DNS-Zonen die Replizierung an die jeweils anderen Zonen erlauben. Hab den Server jetzt nicht vor mir, aber wenn ich mich richtig erinnere (2 Tage nich vor der Kiste sitzen und schon wieder alles vergessen :D ), musst du in den Eigenschaften deiner Zone im Reiter Zonenübertragung (W2k3 bzw W2k8) nen Haken setzen bei "Zonenübertragung zulassen"(oder so ähnlich) und die jeweils anderen beiden DNS-Zonen eintragen. Ansonsten ist die Replikation nicht erlaubt und findet somit auch nicht statt ;)
Die Replikation selber erfolgt nur im normalen Takt der AD-Replikation. Wenn du da etwas neu konfigurierst kann es schon mal ne Weile dauern bis das auf den anderen Servern angekommen ist. Zonen neu laden beschleunigt das zwar, aber es kann auch damit durchaus 5-10 Minuten dauern bis alles überall angekommen ist.
Ich guck morgen mal ob ich irgendwo nen Tutorial finde zum Thema DNS und Stubzonen.
Die Replikation selber erfolgt nur im normalen Takt der AD-Replikation. Wenn du da etwas neu konfigurierst kann es schon mal ne Weile dauern bis das auf den anderen Servern angekommen ist. Zonen neu laden beschleunigt das zwar, aber es kann auch damit durchaus 5-10 Minuten dauern bis alles überall angekommen ist.
Ich guck morgen mal ob ich irgendwo nen Tutorial finde zum Thema DNS und Stubzonen.
Kann es sein, da du in den Domänen ne Subnetzmaske 255.255.255.224 hast, das du die versehentlich auch in der externen Schnittstelle des NAT-Routings auf dem Server eingetragen hast? Die Fritzbox mag solche Subnetzmasken nämlich überhaupt nicht, die besteht immer auf ne /24er Maske. Ansonsten müsste es so eigentlich hinhauen aus der Ferne betrachtet.
Ohne NAT weiß deine Fritzbox nicht, wie sie das Netz erreichen soll, da sie das Subnetz ja nicht selber angeschlossen hat. Da 192.168.* nicht in das Internet weitergeleitet werden darf, verwirft die Fritzbox die Pakete einfach, statt diese auf das eigene Default Gateway (dein ISP) zu routen.
Du müsstest ohne NAT also in der Routing-Tabelle deiner FritzBox das Subnetz 192.168.100.0/24 (somit deckst du alle 3 Netze ab) auf deinen Windows-Router weiterleiten.
Du müsstest ohne NAT also in der Routing-Tabelle deiner FritzBox das Subnetz 192.168.100.0/24 (somit deckst du alle 3 Netze ab) auf deinen Windows-Router weiterleiten.