5
Partitionierung und Einrichtung des DNS auf einem Win2k3 Server
Ich möchte gerne eine Windows 2003 Domäne auf einem Enterprise Server aufsetzen und danach auf diesem Server noch einen Proxyserver (ASG) als virtuelle Maschine laufen lassen.
Die zweite Netzwerkkarte ist eingebaut und nun habe ich vor der Konfiguration noch einige Fragen:
1. Wie sollte die Partitionierung aussehen, es ist doch sicher sinnvoll eine zweite Partition anzulegen, da später eventuell noch Freigaben hinzukommen werden und dann bei einem BS-Ausfall diese noch auf d: gespeichert sind.
Welche weiteren Vorteile hat eine zweite Partition noch?
2. Wie sieht das mit dem DNS aus? Wenn ich einen DNS auf dem W2k3 Server einrichte, brauche ich doch keinen mehr auf dem Proxyserver einzurichten, oder?
Kann ich dann bei der Installation des Win2k3 Servers zunächst bei IP-Einstellungen das Gateway & DNS unseres Routers eintragen, um eine Verbindung ins Internet zu bekommen und danach Windows zu aktivieren? Wenn ich dann mit der Installation fertig bin, kann ich doch problemlos den DNS installieren und die IP des DNS wird dann später auf den Clients in den Netzwerkeinstellungen (falls DCHP deaktiviert ist) eingetragen,oder?
3. Muss ich bei vor der Installation des Domänencontrollers zwingend noch einen DNS installieren oder wird dieser automatisch, nach dem ausführen von dcpromo, vor der Installation des DCs eingerichtet?
Gibt es sonst noch etwas, was ich zu beachten habe?
Die zweite Netzwerkkarte ist eingebaut und nun habe ich vor der Konfiguration noch einige Fragen:
1. Wie sollte die Partitionierung aussehen, es ist doch sicher sinnvoll eine zweite Partition anzulegen, da später eventuell noch Freigaben hinzukommen werden und dann bei einem BS-Ausfall diese noch auf d: gespeichert sind.
Welche weiteren Vorteile hat eine zweite Partition noch?
2. Wie sieht das mit dem DNS aus? Wenn ich einen DNS auf dem W2k3 Server einrichte, brauche ich doch keinen mehr auf dem Proxyserver einzurichten, oder?
Kann ich dann bei der Installation des Win2k3 Servers zunächst bei IP-Einstellungen das Gateway & DNS unseres Routers eintragen, um eine Verbindung ins Internet zu bekommen und danach Windows zu aktivieren? Wenn ich dann mit der Installation fertig bin, kann ich doch problemlos den DNS installieren und die IP des DNS wird dann später auf den Clients in den Netzwerkeinstellungen (falls DCHP deaktiviert ist) eingetragen,oder?
3. Muss ich bei vor der Installation des Domänencontrollers zwingend noch einen DNS installieren oder wird dieser automatisch, nach dem ausführen von dcpromo, vor der Installation des DCs eingerichtet?
Gibt es sonst noch etwas, was ich zu beachten habe?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110962
Url: https://administrator.de/contentid/110962
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
ad 1.: Zweite (oder mehr) Partition ist sinnvoll, aus dem von Dir genannten Grund, und, z.B. damit ein wildgewordener Prozess (WSUS mit allen Updates z.B.) nicht die Systempartition vollschreibt und dann das System steht.
ad 2.: Jein. Der DNS auf dem W2k3-Server kann ja nur die Adressen auflösen, die bei ihm eingetragen sind. Er braucht aber die Möglichkeit, die Anfragen, die er nicht beantworten kann, weiterzureichen. Ein 2. DNS im eigenen Netzwerk ist aber überflüssig, da der ja das gleiche Problem hat. Da Du aber von "Proxy" schreibst, gehe ich davon aus, dass Du keinen 2. DNS-Server betreiben willst, sondern einen Router o.ä. mit DNS-Proxy betreibst. Der muss dann weiterlaufen und im W2k3-DNS als Forwarder eingetragen werden. Alternativ kann man auf dem Router o.ä. den DNS-Port (tcp+udp) für ausgehende Verbindungen öffnen und den DNS des Providers oder einen öffentlichen DNS als Forwarder auf dem W2k3 eintragen. Bitte nicht direkt die Rootserver eintragen, die sind auch nur Computer und brauchen eine gewisse Schonung...
ad 3.: Weiß ich leider auch nicht.
Viele Grüße
ad 1.: Zweite (oder mehr) Partition ist sinnvoll, aus dem von Dir genannten Grund, und, z.B. damit ein wildgewordener Prozess (WSUS mit allen Updates z.B.) nicht die Systempartition vollschreibt und dann das System steht.
ad 2.: Jein. Der DNS auf dem W2k3-Server kann ja nur die Adressen auflösen, die bei ihm eingetragen sind. Er braucht aber die Möglichkeit, die Anfragen, die er nicht beantworten kann, weiterzureichen. Ein 2. DNS im eigenen Netzwerk ist aber überflüssig, da der ja das gleiche Problem hat. Da Du aber von "Proxy" schreibst, gehe ich davon aus, dass Du keinen 2. DNS-Server betreiben willst, sondern einen Router o.ä. mit DNS-Proxy betreibst. Der muss dann weiterlaufen und im W2k3-DNS als Forwarder eingetragen werden. Alternativ kann man auf dem Router o.ä. den DNS-Port (tcp+udp) für ausgehende Verbindungen öffnen und den DNS des Providers oder einen öffentlichen DNS als Forwarder auf dem W2k3 eintragen. Bitte nicht direkt die Rootserver eintragen, die sind auch nur Computer und brauchen eine gewisse Schonung...
ad 3.: Weiß ich leider auch nicht.
Viele Grüße
Zu 3: Der wird automatisch mitinstalliert...
Allerdings: Ich bin sicher kein Freund von "1 Service pro Server" - aber auf einem DC eine VMWare zu installieren ist schon mehr als mutig!
Deine VMWare legt dir nämlich lustige virtuelle Netzwerkkarten an - die dann auch im DNS registriert werden. Führt dann zu ganz lustigen ergebnissen. Nehmen wir an dein Server hat die IP 192.168.0.1, die erste Virtuelle Netzwerkkarte hat 192.168.176.1,... Jetzt kann es passieren das die 176.1 auch im DNS registriert wurde - und dein Client bei einer DNS-Anfrage nach dem Servernamen als Antwort bekommt das der Server die 176.1 hat. Und jetzt rate mal was passiert wenn die Workstation 0.2 sich an der Domäne anmeldet und erfährt das der DC die IP 176.1 hat? Stimmt - NIX! Eine Anmeldung wird fehlschlagen (wenn dann nur eine lokale Anmeldung), Richtlinien werden nicht übernommen usw...
Daher in diesem Fall: Entweder du nimmst dir gleich nen ESX und lässt beide Server parallel als VM laufen oder du holst dir für deine Astatro (ich vermute du meinst mit ASG ne Astaro Security Gateway) irgendeine kleine eigene Maschine. Ansonsten handelst du dir mehr DNS-Probleme ein als du möchtest (bin ich mir sicher - wir hatten den Aufbau auch mal ne Zeitlang...)
Allerdings: Ich bin sicher kein Freund von "1 Service pro Server" - aber auf einem DC eine VMWare zu installieren ist schon mehr als mutig!
Deine VMWare legt dir nämlich lustige virtuelle Netzwerkkarten an - die dann auch im DNS registriert werden. Führt dann zu ganz lustigen ergebnissen. Nehmen wir an dein Server hat die IP 192.168.0.1, die erste Virtuelle Netzwerkkarte hat 192.168.176.1,... Jetzt kann es passieren das die 176.1 auch im DNS registriert wurde - und dein Client bei einer DNS-Anfrage nach dem Servernamen als Antwort bekommt das der Server die 176.1 hat. Und jetzt rate mal was passiert wenn die Workstation 0.2 sich an der Domäne anmeldet und erfährt das der DC die IP 176.1 hat? Stimmt - NIX! Eine Anmeldung wird fehlschlagen (wenn dann nur eine lokale Anmeldung), Richtlinien werden nicht übernommen usw...
Daher in diesem Fall: Entweder du nimmst dir gleich nen ESX und lässt beide Server parallel als VM laufen oder du holst dir für deine Astatro (ich vermute du meinst mit ASG ne Astaro Security Gateway) irgendeine kleine eigene Maschine. Ansonsten handelst du dir mehr DNS-Probleme ein als du möchtest (bin ich mir sicher - wir hatten den Aufbau auch mal ne Zeitlang...)
Schonmal vielen Dank für eure Antworten !!
Ist das nicht ein Widerspruch in sich und eher ein Nachteil der Partitionierung? Wenn partitioniert wird, steht doch wenig Speicherplatz zur Verfügung und deshalb ist doch die Gefahr größer, dass c:/ vollgeschrieben wird, oder habe ich dich da jetzt falsch verstanden?
Werde aber doch auf jeden Fall partitionieren.
Nun zum DNS: Dieser löst doch dann quasi die Anfragen der Clients, die an ihn gehen, z.B.: srv.firma.local auf ,richtig? Nun möchte ich noch einen Proxyserver zwischen dem Router und dem W2k3-Server haben um noch einige Dinge wie Viren,Ports,URLs,etc. zu filtern. Auf dem Router (irgend ein Sinus Router) müsste ja normalerweise ein DNS laufen (sonst würde ja mom. keine Internetseiten aufgelöst werden),gelle?
Ich werde nun auch wohl, wie von maretz empfohlen den Proxy auf einem extra Rechner laufen lassen.
Meine Frage ist nun: Auf den Clients wird ja der DNS vom W2k3-Server eingetragen, auf dem wir den DNS installiert haben. Was muss nun auf dem W2k3s eingetragen werden? Genügt es, wenn ich bei als Forworder die IP-Adresse des Routers eintrage?
Kenne mich in Sachen DNS und Servern leider noch nicht so aus und mache so etwas zum ersten Mal, ich hoffe ihr habt etwas Geduld mit mir und könnt mir ein wenig helfen.
Das habe ich noch nicht so ganz verstanden, was du damit meinst. Sind denn im DNS alle Benutzer, die auf die Domäne zugreifen sollen inbegriffen? Kann man da denn nicht eine expliziete Ausnahmeregel für die IP-Adresse des Proxys vornehmen?
Aber vielen Dank für den Tipp, dass ich nicht Server und Proxy auf einem Rechner laufen lassen kann, werde dann nach der Installation des W2k3s dann auf einer neuen Maschine aufsetzen.
Das Problem ist da glaube ich nur, dass es das Astaro Security Gateway nur als virtuelle Maschine kostenfrei gibt, sonst müsste man bezahlen.
Da ich an einer kostengünstigen Lösung interessiert bin, fällt auch ein ESX raus.
Das heisst für mich nun, dass ich vorher z.B. einen WinXP Rechner und dann die virtuelle Maschine dort aufsetzen - oder eben auf ein anderes Produkt zurückgreifen müsste. Kennt jemand Alternativen, mit denen ich Virenfilterung, Portsperrung, URL-Filterung und Protokollierung einfach und ohne auf einer shell oder Skripte zu programmieren einbinden kann?
- @jhinrichs
- ad 1. Zweite (oder mehr) Partition ist sinnvoll, aus dem von Dir genannten Grund, und, z.B. damit ein wildgewordener Prozess (WSUS mit allen Updates z.B.) nicht die Systempartition vollschreibt und dann das System steht.
Ist das nicht ein Widerspruch in sich und eher ein Nachteil der Partitionierung? Wenn partitioniert wird, steht doch wenig Speicherplatz zur Verfügung und deshalb ist doch die Gefahr größer, dass c:/ vollgeschrieben wird, oder habe ich dich da jetzt falsch verstanden?
Werde aber doch auf jeden Fall partitionieren.
Nun zum DNS: Dieser löst doch dann quasi die Anfragen der Clients, die an ihn gehen, z.B.: srv.firma.local auf ,richtig? Nun möchte ich noch einen Proxyserver zwischen dem Router und dem W2k3-Server haben um noch einige Dinge wie Viren,Ports,URLs,etc. zu filtern. Auf dem Router (irgend ein Sinus Router) müsste ja normalerweise ein DNS laufen (sonst würde ja mom. keine Internetseiten aufgelöst werden),gelle?
Ich werde nun auch wohl, wie von maretz empfohlen den Proxy auf einem extra Rechner laufen lassen.
Meine Frage ist nun: Auf den Clients wird ja der DNS vom W2k3-Server eingetragen, auf dem wir den DNS installiert haben. Was muss nun auf dem W2k3s eingetragen werden? Genügt es, wenn ich bei als Forworder die IP-Adresse des Routers eintrage?
Kenne mich in Sachen DNS und Servern leider noch nicht so aus und mache so etwas zum ersten Mal, ich hoffe ihr habt etwas Geduld mit mir und könnt mir ein wenig helfen.
- @maretz
- Jetzt kann es passieren das die 176.1 auch im DNS registriert wurde - und dein Client bei einer DNS-Anfrage nach dem Servernamen als Antwort bekommt das der Server die 176.1 hat.
Das habe ich noch nicht so ganz verstanden, was du damit meinst. Sind denn im DNS alle Benutzer, die auf die Domäne zugreifen sollen inbegriffen? Kann man da denn nicht eine expliziete Ausnahmeregel für die IP-Adresse des Proxys vornehmen?
Aber vielen Dank für den Tipp, dass ich nicht Server und Proxy auf einem Rechner laufen lassen kann, werde dann nach der Installation des W2k3s dann auf einer neuen Maschine aufsetzen.
Das Problem ist da glaube ich nur, dass es das Astaro Security Gateway nur als virtuelle Maschine kostenfrei gibt, sonst müsste man bezahlen.
Da ich an einer kostengünstigen Lösung interessiert bin, fällt auch ein ESX raus.
Das heisst für mich nun, dass ich vorher z.B. einen WinXP Rechner und dann die virtuelle Maschine dort aufsetzen - oder eben auf ein anderes Produkt zurückgreifen müsste. Kennt jemand Alternativen, mit denen ich Virenfilterung, Portsperrung, URL-Filterung und Protokollierung einfach und ohne auf einer shell oder Skripte zu programmieren einbinden kann?
Moin,
Pkt. 1) Benutzer haben im DNS nichts verloren - aber alle IPs die dein Server bekommt. Da du auf dem Server deine VMWare installierst werden dort ja auch zusätzliche Netzwerkkarten angelegt. Diese bekommen von VMWare automatisch IP-Adressen zugewiesen - welche dann im DNS aufschlagen.
Erst wenn sich dann ein Benutzer versucht anzumelden macht der PC ja nen DNS-Lookup (welche IP hat der Server?). Hier kann es passieren das der Server dann die IP einer VMWare-Karte zurückgibt und der Client somit nix mehr sieht...
Die ASG kannst du auch komplett runterladen und mit einer gratis-Lizenz (max 10 Devices hinter der ASG) betreiben... Bin ich mir sicher - habe das nämlich am laufen ;)
Der ESXi ist ebenfalls umsonst - es muss ja nicht immer gleich der große ESX sein ;)
Alternativen? Squid / Squidguard unter Linux ;)
Pkt. 1) Benutzer haben im DNS nichts verloren - aber alle IPs die dein Server bekommt. Da du auf dem Server deine VMWare installierst werden dort ja auch zusätzliche Netzwerkkarten angelegt. Diese bekommen von VMWare automatisch IP-Adressen zugewiesen - welche dann im DNS aufschlagen.
Erst wenn sich dann ein Benutzer versucht anzumelden macht der PC ja nen DNS-Lookup (welche IP hat der Server?). Hier kann es passieren das der Server dann die IP einer VMWare-Karte zurückgibt und der Client somit nix mehr sieht...
Die ASG kannst du auch komplett runterladen und mit einer gratis-Lizenz (max 10 Devices hinter der ASG) betreiben... Bin ich mir sicher - habe das nämlich am laufen ;)
Der ESXi ist ebenfalls umsonst - es muss ja nicht immer gleich der große ESX sein ;)
Alternativen? Squid / Squidguard unter Linux ;)
Zur Partitionierung: natürlich läuft eine kleinere Partition schneller voll. Der Unterschied ist, wenn z.B. die Datenpartition vollläuft (3 "l"s sehen immer noch irgendwie falsch aus...) scheitert vielleicht der WSUS (sofern das Updateverzeichnis dorthin verschoben wurde) oder Benutzer können keine Daten mehr schreiben (hier sind Quotas hilfreich). Aber der Server läuft noch, und Du kannst als Admin wieder Daten löschen. Wenn C: vollläuft besteht die Gefahr, dass das ganze System steht.
Zum DNS: Richtig, auf Clients und Server wird der Server als DNS-Server eingetragen. In der DNS-Server-Konfiguration, so wie oben beschrieben, entweder der Proxy oder ein externer DNS als Forwarder.
Portfilterung und Protokollierung sowie Mailgateway mit Viren- und Spamfilter sind recht einfach unter Linux aufzusetzen, HTTP-Virenfilterung und HTTP-URL-Filterung schon komplexer (squid etc.).
Mein Favorit bezüglich Stabilität ist hier CentOS (auch kostenlos), die ausgefeiltere grafische Konfiguration bietet aber OpenSuse.
Zum DNS: Richtig, auf Clients und Server wird der Server als DNS-Server eingetragen. In der DNS-Server-Konfiguration, so wie oben beschrieben, entweder der Proxy oder ein externer DNS als Forwarder.
Portfilterung und Protokollierung sowie Mailgateway mit Viren- und Spamfilter sind recht einfach unter Linux aufzusetzen, HTTP-Virenfilterung und HTTP-URL-Filterung schon komplexer (squid etc.).
Mein Favorit bezüglich Stabilität ist hier CentOS (auch kostenlos), die ausgefeiltere grafische Konfiguration bietet aber OpenSuse.
