Split DNS auf ReadOnly DC
Ich habe eine externe und eine interne Zone. In der internen Zone stehen zwei ReadWrite DC´s sowie zwei ReadOnly DCs. Es handelt sich um eine AD-integrated Konfiguration mit DNS. In dieser internen Zone, werden nur VMs zur Verfügung stehen die für den Management/Administrationszweck benötigt werden. In der externen Zone wird es VMs geben die spezielle Anwendungen zur Verfügung stellen. Die beiden Zonen sind strikt voneinander abgetrennt und aus dem Grund benötige ich in der externen Zone eine eigene AD/DNS.
FQDN der Internen Zone: intern.domain.com
FQDN der Externen Zone: extern.domain.com
1. Ich wollte hierfür ein Split-DNS konfigurieren und in der externen Zone zwei Read Only DCs einsetzen. Oder gibt es andere Alternativen?
2. Ist es ausreichend wenn ich im externen Teil nur 2 ReadOnly DCs einsetze?
3. Was sollte ich bei einem externen DNS noch beachten?
FQDN der Internen Zone: intern.domain.com
FQDN der Externen Zone: extern.domain.com
1. Ich wollte hierfür ein Split-DNS konfigurieren und in der externen Zone zwei Read Only DCs einsetzen. Oder gibt es andere Alternativen?
2. Ist es ausreichend wenn ich im externen Teil nur 2 ReadOnly DCs einsetze?
3. Was sollte ich bei einem externen DNS noch beachten?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272916
Url: https://administrator.de/forum/split-dns-auf-readonly-dc-272916.html
Ausgedruckt am: 29.04.2025 um 02:04 Uhr
15 Kommentare
Neuester Kommentar
Hi,
heißt denn "Extern" und "Intern" auch, dass der Zugriff von extern über andere IP-Adressen erfolgt, als von intern? Und dass Du für Extern die maßgebende DNS-Zone hostest? Falls nein, dann hat das hier doch nichts mit Split-DNS zu zun?
Könnte es sein, dass es Dir gar nicht so sehr darauf ankommt, die DNS-Zonen in extern und intern zu trennen, sondern eher im AD je eine getrennte Domäne für die externen und internen Server zu haben? Oder gar nur, die Subnetze zu trennen?
Jedenfalls scheint es mir nonsens, falls Du wirklich nur eine zweite DNS-Zone haben willst, dafür dann aber extra eine eigenes AD aufsetzen willst, bloß damit diese DNS-Zonen AD-intergriert sind. Wenn ich Dich denn richtig verstanden habe.
E.
heißt denn "Extern" und "Intern" auch, dass der Zugriff von extern über andere IP-Adressen erfolgt, als von intern? Und dass Du für Extern die maßgebende DNS-Zone hostest? Falls nein, dann hat das hier doch nichts mit Split-DNS zu zun?
Könnte es sein, dass es Dir gar nicht so sehr darauf ankommt, die DNS-Zonen in extern und intern zu trennen, sondern eher im AD je eine getrennte Domäne für die externen und internen Server zu haben? Oder gar nur, die Subnetze zu trennen?
Jedenfalls scheint es mir nonsens, falls Du wirklich nur eine zweite DNS-Zone haben willst, dafür dann aber extra eine eigenes AD aufsetzen willst, bloß damit diese DNS-Zonen AD-intergriert sind. Wenn ich Dich denn richtig verstanden habe.
...und aus dem Grund benötige ich in der externen Zone eine eigene AD/DNS.
E.
extern heisst wirklich das die interne zone andere IP Adressen hat wie die externe Zone. Beides ist voneinander strikt getrennt. Die beiden Zonen sollen nicht mitinander verbunden werden. Also es ist wichtig die beiden Zonen wirklich voneinander zu trennen.
Also im Endeffekt sollen die beiden RWDCs welche sich in der internen Zone befinden mit den RODCs die sich in der externen zone befinden replizieren. Und ich will eben wissen ob ich wirklich für dieses Szenario SplitDNS brauche oder nicht????
Also im Endeffekt sollen die beiden RWDCs welche sich in der internen Zone befinden mit den RODCs die sich in der externen zone befinden replizieren. Und ich will eben wissen ob ich wirklich für dieses Szenario SplitDNS brauche oder nicht????
Hi,
ich habe immer noch ein kleines Verständnisproblem:
Was meinst Du mit "Zone"? DNS-Zone oder DMZ?
Willst Du tatsächlich getrennte DNS-Zonen? "Getrennte" DNS-Namen? Also z.B. der Name "paul.intern.de" soll extern nicht auflösbar sein? Oder soll von extern nicht erreichbar sein?
Oder willst Du, dass der ein und dieselbe IP-Adresse (sprich der Host) von extern über "paul.extern.de" und von intern über "paul.intern.de" aufgelöst werden soll?
Oder dass ein Host von extern über "paul.extern.de" auf Adresse A und von intern über "paul.intern.de" auf Adresse B aufgelöst werden soll?
Das sind alles verschiedene Szenarien.
E.
ich habe immer noch ein kleines Verständnisproblem:
Was meinst Du mit "Zone"? DNS-Zone oder DMZ?
Willst Du tatsächlich getrennte DNS-Zonen? "Getrennte" DNS-Namen? Also z.B. der Name "paul.intern.de" soll extern nicht auflösbar sein? Oder soll von extern nicht erreichbar sein?
Oder willst Du, dass der ein und dieselbe IP-Adresse (sprich der Host) von extern über "paul.extern.de" und von intern über "paul.intern.de" aufgelöst werden soll?
Oder dass ein Host von extern über "paul.extern.de" auf Adresse A und von intern über "paul.intern.de" auf Adresse B aufgelöst werden soll?
Das sind alles verschiedene Szenarien.
E.
Also die interne und externe Zone befinden sich in der dmz. Die interne Zone ist für administrative Zwecke gedacht und die externe für Applikationen z.b. Vm as a Service, die über das Internet für den enduser bereitgestellt werden soll. Das interne dns ist nur für die nötigen dc services gedacht und das externe dns hauptsächlich für die Anwendungen. Der rwdc in der internen Zone repliziert den rodc aus der externen. Von der internen dns soll das externe verfügbar sein. Der externe bekommt eigene ip's .
Hostest Du die DNS-Zone für den Zugriff von extern selbst oder macht das der ISP?
Wenn die Host, welche von extern erreichbar sind, von extern über andere IP-Adressen angesprochen werden als von intern, jedoch jeweils über den gleichen FQDN, dann benötigst Du zwei DNS-Server, welche jeweils nur für extern bzw. nur für intern auflösen. Der externe entweder beim ISP oder bei Dir in der externen DMZ. Auf dem internen DNS-Server benötigst Du dann eine DNS-Zone für die externe DNS-Zone, welche die Namen auf die internen Adressen auflöst. Das wäre dann der Split-DNS-Fall.
Wenn der Zugriff von intern auch über die externen Adressen erfolgt, dann benötigst Du vom internen DNS-Server eine bedingte Weiterleitung für die betreffende DNS-Zone zum externen DNS-Server.
Wenn die DNS-Server für extern in Deiner externen DMZ stehen und die Zonen AD integriert sein sollen, dann müssen die DNS-Server DC sein. RDC, wie Du schon schreibst. Jedoch sind die RDC ansich selbst in der internen DNS-Zone. Sie müssen nur ein Replikat der externen DNS-Zone erhalten. Ich nehme an, sie sollen kein Replikat der internen DNS-Zone erhalten. Dafür erstellst Du eine DNS-Anwendungspartition, fügst dieser die internen DC's hinzu un lässt die interne DNS-Zone nur innerhalb dieser Anwendungspartition replizieren. Die externe DNS-Zone lässt Du auf alle DC der Domäne replizieren.
Das mit der DNS-Anwendungspartition für die interne Zone gilt auch dann, wenn der ISP die externe DNS-Zone hostet und in der externen DMZ RDC stehen sollen.
E.
Wenn die Host, welche von extern erreichbar sind, von extern über andere IP-Adressen angesprochen werden als von intern, jedoch jeweils über den gleichen FQDN, dann benötigst Du zwei DNS-Server, welche jeweils nur für extern bzw. nur für intern auflösen. Der externe entweder beim ISP oder bei Dir in der externen DMZ. Auf dem internen DNS-Server benötigst Du dann eine DNS-Zone für die externe DNS-Zone, welche die Namen auf die internen Adressen auflöst. Das wäre dann der Split-DNS-Fall.
Wenn der Zugriff von intern auch über die externen Adressen erfolgt, dann benötigst Du vom internen DNS-Server eine bedingte Weiterleitung für die betreffende DNS-Zone zum externen DNS-Server.
Wenn die DNS-Server für extern in Deiner externen DMZ stehen und die Zonen AD integriert sein sollen, dann müssen die DNS-Server DC sein. RDC, wie Du schon schreibst. Jedoch sind die RDC ansich selbst in der internen DNS-Zone. Sie müssen nur ein Replikat der externen DNS-Zone erhalten. Ich nehme an, sie sollen kein Replikat der internen DNS-Zone erhalten. Dafür erstellst Du eine DNS-Anwendungspartition, fügst dieser die internen DC's hinzu un lässt die interne DNS-Zone nur innerhalb dieser Anwendungspartition replizieren. Die externe DNS-Zone lässt Du auf alle DC der Domäne replizieren.
Das mit der DNS-Anwendungspartition für die interne Zone gilt auch dann, wenn der ISP die externe DNS-Zone hostet und in der externen DMZ RDC stehen sollen.
E.
Das was du in deinem ersten Abschnitt ansprichst genauso will ich das machen. Mein interner DNS dienst als ReadWrite DC in meiner internen DMZ und dort werde ich eine interne DNS und eine externe DNS Zone haben. In der externen DMZ Zone werden dann zwei ReadOnly DNS Server stehen und sich mit dem Primary Domain Controller replizieren.
Also sprich: Wenn ich auf meinem PDC zwei Zonen aufbaue, einmal intern und einmal extern dann habe ich ein Split DNS?!
Also sprich: Wenn ich auf meinem PDC zwei Zonen aufbaue, einmal intern und einmal extern dann habe ich ein Split DNS?!
Also sprich: Wenn ich auf meinem PDC zwei Zonen aufbaue, einmal intern und einmal extern dann habe ich ein Split DNS?!
Wenn das zwei DNS-Zonen für den selben Namespace sind, ja.Das was du in deinem ersten Abschnitt ansprichst genauso will ich das machen. Mein interner DNS dienst als ReadWrite DC in meiner
internen DMZ und dort werde ich eine interne DNS und eine externe DNS Zone haben. In der externen DMZ Zone werden dann zwei
ReadOnly DNS Server stehen und sich mit dem Primary Domain Controller replizieren.
Ich fürchte, so einfach geht das mit Deinem Plan nicht. Ein RODC kann eine Zone nicht ohne einen DNS-Server-Partner mit einer schreibbaren Kopie der Zone verwalten. Sprich, Du benötigst von der externen Zone auf den RODC im internen Netz mindestens eine Kopie auf einem RWDC. (Du willst ja AD-integrierte Zonen). Wenn Du also extern nur zwei RODC und intern einen RWDC betreibst, und alle in einer Domäne, dann kann es keinen dieser DC geben, der beide Varaianten der externen Zone gleichzeitig hält. Selbst wenn Du da mit DNS-Anwendungspartitionen arbeitest kann jeder DNS eine Zone immer nur genau einmal hosten.internen DMZ und dort werde ich eine interne DNS und eine externe DNS Zone haben. In der externen DMZ Zone werden dann zwei
ReadOnly DNS Server stehen und sich mit dem Primary Domain Controller replizieren.
Du benötigst intern min. 3 RWDC.
RWDC A -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC B -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC C -> externe Variante der externen Zone in Anwendungspartition B
RODC D -> externe Variante der externen Zone in Anwendungspartition B + bedingte Weiterleitung für interne Zone auf interne DNS
RODC E -> externe Variante der externen Zone in Anwendungspartition B + bedingte Weiterleitung für interne Zone auf interne DNS
Warum müssen es für die externe DNS-Zone unbedingt AD-integrierte Zonen sein? Benötigst Du den dort dynamische Updates?
Wenn es auch Primär-Sekundär-Zonen sein können, dann ginge auch:
RWDC A -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC B -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
Member C -> externe Variante der externen Zone als primäre Zone
RODC D -> externe Variante der externen Zone als sekundäre Zone + bedingte Weiterleitung für interne Zone auf interne DNS
RODC E -> externe Variante der externen Zone als sekundäre Zone + bedingte Weiterleitung für interne Zone auf interne DNS
E.
Puuuuhhh etwas kompliziert....
Nur zur Info. Environment soll so aussehen:
Main Forest heißt : Domain.com
Subdomain: intern.domain.com
Subdomain: extern.domain.com
Es wurden zwei rwdc mit dns eingerichtet.
Rwdc1.domain.com
Rwdc2.domain.com
Dazu wurden zwei rodc eingerichtet.
Rodc1.domain.com
Rodc2.domain.com
Im dns gibt es zwei Zonen mit forward und Reverse loskupple:
Intern.domain.com
Extern.domain.com
In der Zone intern.domain.com wurden alle Maschinen fürs Management gejoint. All diese Maschinen haben ein eigenes Netzwerk und sind von der extern.domain.com durch eine Firewall getrennt.
Die externe Zone hat also auch ein eigenes Netzwerk. Und diese soll ihr eigenes dns haben.
Nun ist die Frage: reicht es wenn ich in der externen Zone zwei rodcs einrichte die sich dann mit den rwdcs der internen Zone replizieren? Ziel ist es das ich für beide Zonen eigene dns Server habe
Nur zur Info. Environment soll so aussehen:
Main Forest heißt : Domain.com
Subdomain: intern.domain.com
Subdomain: extern.domain.com
Es wurden zwei rwdc mit dns eingerichtet.
Rwdc1.domain.com
Rwdc2.domain.com
Dazu wurden zwei rodc eingerichtet.
Rodc1.domain.com
Rodc2.domain.com
Im dns gibt es zwei Zonen mit forward und Reverse loskupple:
Intern.domain.com
Extern.domain.com
In der Zone intern.domain.com wurden alle Maschinen fürs Management gejoint. All diese Maschinen haben ein eigenes Netzwerk und sind von der extern.domain.com durch eine Firewall getrennt.
Die externe Zone hat also auch ein eigenes Netzwerk. Und diese soll ihr eigenes dns haben.
Nun ist die Frage: reicht es wenn ich in der externen Zone zwei rodcs einrichte die sich dann mit den rwdcs der internen Zone replizieren? Ziel ist es das ich für beide Zonen eigene dns Server habe
Hi winlin,
nichts für ungut, bitte.
1. hättest Du das so gleich in Deiner Frage geschrieben, dann wäre das ein kleines Bisschen einfacher geworden. (aber nur ganz wenig)
2. ist das immer noch nicht schlüssig.
Du hast laut Deinen Amgaben nur DC's für die Domäne "domain.com". Wie - bitte schön - hast Du dann Maschinen in "intern.domain.com" "gejoint"? Reden wir überhaupt von Windows Maschinen und falls ja, sind diese Domain Member? Falls nein, warum dann ständig die RW/RO-DC's erwähnt?
Ich weiß, dass man Computer in Domäne "domain.com" aufnehmen und gleichzeitig auf diesen einen Dienst unter "intern.domain.com" oder "extern.domain.com" betreiben/veröffentlichen kann. Falls es bei Dir so sein sollte: Es ist keine Schande, dann wegen fehlender Fachkenntnis diesen Thread mit ungenauen Angaben so "hinauszuzögern". Wegen Faulheit aber schon! Ich hoffe doch für Dich, das es an ersterem liegt.
Obwohl ... Deinen kürzlichen Thread RWDC offline und RODC online trotzdem kein Login moeglich hast Du ja auch im Sande verlaufen lassen. Nicht mal auf die Antwort reagiert.
Aber um auf die Frage zurückzukommen - Die von Dir genannte Konstellation ändert nichts prinzipielles an dem, was ich bereits geschrieben habe:
Da Du extern RODC betreiben willst, und man auf diesen keine AD-integrierte DNS-Zone schreibbar verwalten kann, brauchst Du intern einen schreibbaren Master.
Und da man eine Zone, auf einem und demselben DNS-Server nur genau einmal hosten kann, brauchst Du also intern zwei DNS-Server um die Zone "extern.domain.com" zweimal hosten zu können - einmal mit den externen und einmal mit den internen Adressen.
Und weil das ja alles AD-integriert sein soll und Du jede Zone sicherlich in min. 2 Kopien vorhalten willst (Redundanz), musst du mit DNS-Anwendungspartitionen arbeiten und kommst intern nicht mit 2 DC aus.
E.
nichts für ungut, bitte.
1. hättest Du das so gleich in Deiner Frage geschrieben, dann wäre das ein kleines Bisschen einfacher geworden. (aber nur ganz wenig)
2. ist das immer noch nicht schlüssig.
Du hast laut Deinen Amgaben nur DC's für die Domäne "domain.com". Wie - bitte schön - hast Du dann Maschinen in "intern.domain.com" "gejoint"? Reden wir überhaupt von Windows Maschinen und falls ja, sind diese Domain Member? Falls nein, warum dann ständig die RW/RO-DC's erwähnt?
Ich weiß, dass man Computer in Domäne "domain.com" aufnehmen und gleichzeitig auf diesen einen Dienst unter "intern.domain.com" oder "extern.domain.com" betreiben/veröffentlichen kann. Falls es bei Dir so sein sollte: Es ist keine Schande, dann wegen fehlender Fachkenntnis diesen Thread mit ungenauen Angaben so "hinauszuzögern". Wegen Faulheit aber schon! Ich hoffe doch für Dich, das es an ersterem liegt.
Obwohl ... Deinen kürzlichen Thread RWDC offline und RODC online trotzdem kein Login moeglich hast Du ja auch im Sande verlaufen lassen. Nicht mal auf die Antwort reagiert.
Aber um auf die Frage zurückzukommen - Die von Dir genannte Konstellation ändert nichts prinzipielles an dem, was ich bereits geschrieben habe:
Da Du extern RODC betreiben willst, und man auf diesen keine AD-integrierte DNS-Zone schreibbar verwalten kann, brauchst Du intern einen schreibbaren Master.
Und da man eine Zone, auf einem und demselben DNS-Server nur genau einmal hosten kann, brauchst Du also intern zwei DNS-Server um die Zone "extern.domain.com" zweimal hosten zu können - einmal mit den externen und einmal mit den internen Adressen.
Und weil das ja alles AD-integriert sein soll und Du jede Zone sicherlich in min. 2 Kopien vorhalten willst (Redundanz), musst du mit DNS-Anwendungspartitionen arbeiten und kommst intern nicht mit 2 DC aus.
E.
hallöchen und sorry erstmal!
bin ehrlich gesagt in dieses Thema hineingeschupst worden
Also es ist so das es aktuell in der AD eine einzige Domain gibt, die domain.com. Die is eben so gegliedert das es auch noch einige OU´s gibt wie z.B. die intern-zone und die extern-zone. Im DNS gibt es dafür aber drei Zones: domain.com, intern.domain.com und die extern.domain.com.
Wenn Maschinen gejoint werden, werden die natürlich immer gegen die domai.com gejoint und zwar in die OU wo sie reingehören. DNS-technisch ebenfalls also z.B. kommt der Rechner hosntame01.intern.domain.com in die Domäne domain.com und die OU intern-zone\Computers. Im DNS dann in die Zone extern.domain.com.
In der aktuellen Umgebung also zwei RWDCs und zwei RODCs funktioniert das bisher echt gut. Diese Umgebung nenne ich die INTERNE ZONE. Diese Zone ist mit der EXTERNEN Zone durch eine FW getrennt - also beide in verschiedenen Netzwerken. Nun ist es eben so das ich im INTERNEN Bereich fertig bin mit der Einrichtung der DC-AD/DNS mit zwei RWDCs und zwei RODCs. Nun muss ich die externe Zone aufbauen.
Was ich wissen wollte ist:
1. Reicht es wenn ich in der externen Zone nur zwei RODCs einrichte die mit dem AD der internen Zone verbunden sind, aber einen eigenen DNS mitbringen?
2. Oder muss ich immer wenn ich so eine Zone aufbaue einen RWDC mit dazuinstallieren?
bin ehrlich gesagt in dieses Thema hineingeschupst worden
Also es ist so das es aktuell in der AD eine einzige Domain gibt, die domain.com. Die is eben so gegliedert das es auch noch einige OU´s gibt wie z.B. die intern-zone und die extern-zone. Im DNS gibt es dafür aber drei Zones: domain.com, intern.domain.com und die extern.domain.com.
Wenn Maschinen gejoint werden, werden die natürlich immer gegen die domai.com gejoint und zwar in die OU wo sie reingehören. DNS-technisch ebenfalls also z.B. kommt der Rechner hosntame01.intern.domain.com in die Domäne domain.com und die OU intern-zone\Computers. Im DNS dann in die Zone extern.domain.com.
In der aktuellen Umgebung also zwei RWDCs und zwei RODCs funktioniert das bisher echt gut. Diese Umgebung nenne ich die INTERNE ZONE. Diese Zone ist mit der EXTERNEN Zone durch eine FW getrennt - also beide in verschiedenen Netzwerken. Nun ist es eben so das ich im INTERNEN Bereich fertig bin mit der Einrichtung der DC-AD/DNS mit zwei RWDCs und zwei RODCs. Nun muss ich die externe Zone aufbauen.
Was ich wissen wollte ist:
1. Reicht es wenn ich in der externen Zone nur zwei RODCs einrichte die mit dem AD der internen Zone verbunden sind, aber einen eigenen DNS mitbringen?
2. Oder muss ich immer wenn ich so eine Zone aufbaue einen RWDC mit dazuinstallieren?
Hatte bisher nicht verstanden, dass die beiden RODC's auch intern sind. Du willst also wissen, ob Du weitere RODC einrichten kannst, die dann extern stehen?
Ja, das geht. Aber auch dann wirst Du mit DNS-Anwednungspartitionen arbeiten müssen, wenn die DNS-Zonen AD-integriert sein sollen. Und von den beiden DNS-Zonen für "extern.domain.com" hälst Du dann auf je einem der RWDC das schreibbare Replikat.
E.
Ja, das geht. Aber auch dann wirst Du mit DNS-Anwednungspartitionen arbeiten müssen, wenn die DNS-Zonen AD-integriert sein sollen. Und von den beiden DNS-Zonen für "extern.domain.com" hälst Du dann auf je einem der RWDC das schreibbare Replikat.
E.
Genau das werde ich jetzt machen, setze die beiden rodc auf und dann erstelle ich im dns die anwendungspartition und stelle die Repliken ein, habe zwar ne Anleitung gefunden aber eher eine allgemeine hast du mir nen Tipp wo ich eine ausführliche und gute finde?
Super danke dir echt
Hab noch ne grundlegende Frage:
Wenn ich nun die beiden rodc in der externen Zone einrichte reicht es dann wenn ich nur die dns Rolle installiere oder muss die ad Rolle auch rein? Wie gesagt dns im ext. Bereich is eigen soll aber die ad der int. Zone nutzen....und dann beim installieren add to existing domain ???
Hab noch ne grundlegende Frage:
Wenn ich nun die beiden rodc in der externen Zone einrichte reicht es dann wenn ich nur die dns Rolle installiere oder muss die ad Rolle auch rein? Wie gesagt dns im ext. Bereich is eigen soll aber die ad der int. Zone nutzen....und dann beim installieren add to existing domain ???
Willst Du mich jetzt veralbern? Oder bist Du vielleicht der erste, der es schaffen könnte, einen RODC ohne AD-Rolle zu installieren?
