kaineanung
Goto Top

Frage zur Struktur des DC-integrierten DNS-Servers einer Subdomäne

Hallo Leute,

ich habe ein kleines Problemchen bei dem ich Hilfe benötige.

Folgende IST-Situation:

Wir haben eine Domäne die wir nun MAIN-D nennen.
Wir haben eine Sub-Domäne die wir nun SUB-D nennen.
Zwischen MAIN-D und SUB-D gibt es ein Vertrauensverhältnis.

In der MAIN-D haben wir DNS-Server auf Linux-Basis (Bind9) und und in der SUB-D ist es ein DNS-Server der DC-intigriert ist.

Der Administrator der SUB-D ist nicht vom Fach und betreut es oberflächlich nebenher. Bis vor kurzem hatte dieser einen externen Partner den es nicht mehr gibt.
Bei größeren Anliegen müssn wir, also die Administratoren der MAIN-D, ran.

Wir haben nun ein kleines Problem mit DNS-Auflösungen in der SUB-D.
Wir haben kein "forwarding" eingerichtet und das bringt uns nun zu gewissen Problemen. Also muss ein Forward auf den DNS-Server in der MAIN-D eingerichtet werden.

Ich schaue mir den DNS-Server auf dem DC-Server an und verstehe nicht was ich da sehe:

1. Ich sehe erstmal was konfuses: 2 DNS-Hauptknoten. Einmal den DC-Servernamen und einmal den FQDN des gleichen Servers. Ich bilde mir daraus keinen Reim wie das zustande kommen kann? Die Struktur darunter ist in beiden Fällen gleich, also identisch.

2. Die Struktur selber ist das Hauptproblem bzw. das was ich gar nicht verstehe.
Ich sehe erst einen Knoten mitsamt der Struktur des DNS-Servers aus der MAIN-D. Darunter ein Knoten "SUB-D" mit dessen Struktur.
Also wie bei der Active-Directory User & Computer wo man aus der Haupt-Domäne auch die Sub-Domäne verwalten kann. Nur habe ich das im DNS-Server so nicht erwartet.
Dafür braucht es ja dann auch keine Weiterleitung auf den DNS-Server der MAIN-D!
ABER: die DNS-Einträge der MAIN-D sind unterschiedlich aktuell auf diesem SUB-D-DNS-Server. Ich habe A-Einträge die neuere Server aufführen und ebenfalls Einträge von uralten Servern die schon lange aus dem DNS-Server der MAIN-D entfernt wurden. Also mal hat er neuer Einträge synchronisiert, dann wiederrum andere nicht.

So, meine Frage ist nun:
Punkt 1: Was hat das zu bedeuten das ich 2 Knoten habe die auf ein und den Selben DNS-Server zeigen, jedoch einmal mit und einmal ohne FQDN?
Punkt 2: Ist es normal das die DNS-Struktur wie beschrieben ist? Also das SUB-D-DNS-Einträge als Knoten der MAIN-D unterhalb aufgelistet wird statt, wie ich gehofft hatte, nur die der SUB-D vorzufinden? Sozusagen daß die Sub-Domäne DNS nur von sich selber hat, sieht und anbietet. Braucht man dann was aus der übergeordneten Domäne -> Forward.
Punkt 3: wieso sind die DNS-Einträge in der Subdomäne (DC-intigriert) uneinheitlich was deren Status angeht (ältere A-Einträge sind da obwohl diese selber in der MAIN-D nicht mehr sind, aber neue Server werden doch aufgelistet)? Was kann ich machen? Wo kann ich schauen was wie wo und warum?


Ich hoffe wirklich auf Hilfe hier und bedanke mich schon einmal im Voraus für eure Mühe. Und wenn es auch nur für das Lesen bis hierhin ist.

Content-ID: 1000897211

Url: https://administrator.de/contentid/1000897211

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

erikro
erikro 14.07.2021 um 18:24:31 Uhr
Goto Top
Moin,

zu wissen, um welche Betriebssysteme es sich handelt, wäre hilfreich. Bind9 lässt auf ein Linux-Samba-System vermuten. Warum sonst sollte man sich sonst Bind9 in einer AD-Domain antun? "DC-integriert" lässt Windows vermuten. Bzw. ich vermute, Du meinst den DNS-Server, der bei der Installation eines AD unter Windows automatisch installiert und konfiguriert wird.

Weiter wären ein paar Screenshots zu dem, was Du da beschreibst, wirklich wünschenswert. Ebenso Screenshots der Konfiguration bzw. das config file des Bind9.

Zitat von @kaineanung:
ich habe ein kleines Problemchen bei dem ich Hilfe benötige.

Das Problem ist wohl eher ein großes.

Zwischen MAIN-D und SUB-D gibt es ein Vertrauensverhältnis.

Wenn wir von einem AD sprechen, dann besteht zwischen Haupt- und Subdomäne eine implizite, bidiretktionale Vertrauensstellung. Ja. Das ist so.

In der MAIN-D haben wir DNS-Server auf Linux-Basis (Bind9) und und in der SUB-D ist es ein DNS-Server der DC-intigriert ist.

Warum?

Der Administrator der SUB-D ist nicht vom Fach und betreut es oberflächlich nebenher. Bis vor kurzem hatte dieser einen externen Partner den es nicht mehr gibt.
Bei größeren Anliegen müssn wir, also die Administratoren der MAIN-D, ran.

Aha.

Wir haben nun ein kleines Problem mit DNS-Auflösungen in der SUB-D.
Wir haben kein "forwarding" eingerichtet und das bringt uns nun zu gewissen Problemen. Also muss ein Forward auf den DNS-Server in der MAIN-D eingerichtet werden.

Warum? Warum keine Weiterleitung auf externe Server?


Ich schaue mir den DNS-Server auf dem DC-Server an und verstehe nicht was ich da sehe:

1. Ich sehe erstmal was konfuses: 2 DNS-Hauptknoten. Einmal den DC-Servernamen und einmal den FQDN des gleichen Servers. Ich bilde mir daraus keinen Reim wie das zustande kommen kann? Die Struktur darunter ist in beiden Fällen gleich, also identisch.

Das ist imho normal. Warum auch immer das so ist. Wenn es Dich stört, dann nimm halt einen von beiden aus der Konsole raus. face-wink

2. Die Struktur selber ist das Hauptproblem bzw. das was ich gar nicht verstehe.
Ich sehe erst einen Knoten mitsamt der Struktur des DNS-Servers aus der MAIN-D. Darunter ein Knoten "SUB-D" mit dessen Struktur.

Was ist daran nicht zu verstehen. Der DNS ist SOA für die Domain und damit auch für die Subdomain. Wäre doch echt doof, wenn der DNS-Server der Subdomain das nicht wüsste. Was mich zu der Frage führt: Wie ist das denn eingerichtet? Ist der DNS des Hauptdomäne zuständiger DNS für die Subdomain oder ist das an die Subdomain delegiert?

Also wie bei der Active-Directory User & Computer wo man aus der Haupt-Domäne auch die Sub-Domäne verwalten kann. Nur habe ich das im DNS-Server so nicht erwartet.

Warum nicht? Es ist doch diesselbe Domain. In einer Domain ist erst einmal der/die NS die entscheidende Instanz. Die NS der Subdomains verwalten nichts, sondern kopieren die Informationen aus der Hauptdomäne. Erstmal. Deshalb ja auch die Frage gerade: Wurde die Verwaltung an die Subdomain delegiert?

Dafür braucht es ja dann auch keine Weiterleitung auf den DNS-Server der MAIN-D!

Natürlich nicht. Es ist ja dieselbe Domain. Da kennt man sich. face-wink

ABER: die DNS-Einträge der MAIN-D sind unterschiedlich aktuell auf diesem SUB-D-DNS-Server. Ich habe A-Einträge die neuere Server aufführen und ebenfalls Einträge von uralten Servern die schon lange aus dem DNS-Server der MAIN-D entfernt wurden. Also mal hat er neuer Einträge synchronisiert, dann wiederrum andere nicht.

Das klingt nicht gut.

So, meine Frage ist nun:
Punkt 1: Was hat das zu bedeuten das ich 2 Knoten habe die auf ein und den Selben DNS-Server zeigen, jedoch einmal mit und einmal ohne FQDN?

Nichts. face-wink

Punkt 2: Ist es normal das die DNS-Struktur wie beschrieben ist? Also das SUB-D-DNS-Einträge als Knoten der MAIN-D unterhalb aufgelistet wird statt, wie ich gehofft hatte, nur die der SUB-D vorzufinden? Sozusagen daß die Sub-Domäne DNS nur von sich selber hat, sieht und anbietet. Braucht man dann was aus der übergeordneten Domäne -> Forward.

Ja, das ist normal. S. o.

Punkt 3: wieso sind die DNS-Einträge in der Subdomäne (DC-intigriert) uneinheitlich was deren Status angeht (ältere A-Einträge sind da obwohl diese selber in der MAIN-D nicht mehr sind, aber neue Server werden doch aufgelistet)? Was kann ich machen? Wo kann ich schauen was wie wo und warum?

Auch s. o. Da müssen wir wohl in den Konfigurationen rumwühlen. Und so hybride Systeme machen das nicht unbedingt leichter. face-wink

Liebe Grüße

Erik
emeriks
emeriks 14.07.2021 aktualisiert um 20:31:16 Uhr
Goto Top
Hi,
wenn die DNS-Zonen auf dem DC/DNS der SUB-D AD-integriert sind, dann synchronisieren sie sich nicht mit dem Bind-DNS Server. Es sei denn, da läuft eine AD/DC-Emulation, welche ebenfalls eine AD-integrierte Zone mittels des Bind-Servers bereitstellt. Aber mit Linux kenn ich mich nicht so aus.
Eher könnte sein, dass der BIND-Server der MAIN-D sekundäre Zonen von den AD-integrierten Zonen des DC/DNS der SUB-D bereitstellt und synchronisiert.

... Der Administrator der SUB-D ist nicht vom Fach ...
... Bei größeren Anliegen müssn wir, also die Administratoren der MAIN-D, ran. ...
... ein DNS-Server der DC-intigriert ist ...
So groß kann Dein Vorsprung bzgl. AD und AD-DNS-Integration nicht sein, wenn Du diese Frage hier so in dieser Form stellst.
Bist Du eher in Linux fit?

Es gibt keine DC-integrierten DNS-Server. Aber es gibt DNS-Server, welche auf DCs laufen. Und es gibt DNS-Zonen, welche im AD gespeichert werden (statt in Dateien) (AD-integriert sind).

Ich würde auch vorschlagen, dass Du Deine Fragen bitte mit Screenshots untermalst. Sonst ist das nicht klar genug.

E.