Split DNS auf ReadOnly DC
Ich habe eine externe und eine interne Zone. In der internen Zone stehen zwei ReadWrite DC´s sowie zwei ReadOnly DCs. Es handelt sich um eine AD-integrated Konfiguration mit DNS. In dieser internen Zone, werden nur VMs zur Verfügung stehen die für den Management/Administrationszweck benötigt werden. In der externen Zone wird es VMs geben die spezielle Anwendungen zur Verfügung stellen. Die beiden Zonen sind strikt voneinander abgetrennt und aus dem Grund benötige ich in der externen Zone eine eigene AD/DNS.
FQDN der Internen Zone: intern.domain.com
FQDN der Externen Zone: extern.domain.com
1. Ich wollte hierfür ein Split-DNS konfigurieren und in der externen Zone zwei Read Only DCs einsetzen. Oder gibt es andere Alternativen?
2. Ist es ausreichend wenn ich im externen Teil nur 2 ReadOnly DCs einsetze?
3. Was sollte ich bei einem externen DNS noch beachten?
FQDN der Internen Zone: intern.domain.com
FQDN der Externen Zone: extern.domain.com
1. Ich wollte hierfür ein Split-DNS konfigurieren und in der externen Zone zwei Read Only DCs einsetzen. Oder gibt es andere Alternativen?
2. Ist es ausreichend wenn ich im externen Teil nur 2 ReadOnly DCs einsetze?
3. Was sollte ich bei einem externen DNS noch beachten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272916
Url: https://administrator.de/forum/split-dns-auf-readonly-dc-272916.html
Ausgedruckt am: 05.04.2025 um 12:04 Uhr
15 Kommentare
Neuester Kommentar
Hi,
heißt denn "Extern" und "Intern" auch, dass der Zugriff von extern über andere IP-Adressen erfolgt, als von intern? Und dass Du für Extern die maßgebende DNS-Zone hostest? Falls nein, dann hat das hier doch nichts mit Split-DNS zu zun?
Könnte es sein, dass es Dir gar nicht so sehr darauf ankommt, die DNS-Zonen in extern und intern zu trennen, sondern eher im AD je eine getrennte Domäne für die externen und internen Server zu haben? Oder gar nur, die Subnetze zu trennen?
Jedenfalls scheint es mir nonsens, falls Du wirklich nur eine zweite DNS-Zone haben willst, dafür dann aber extra eine eigenes AD aufsetzen willst, bloß damit diese DNS-Zonen AD-intergriert sind. Wenn ich Dich denn richtig verstanden habe.
E.
heißt denn "Extern" und "Intern" auch, dass der Zugriff von extern über andere IP-Adressen erfolgt, als von intern? Und dass Du für Extern die maßgebende DNS-Zone hostest? Falls nein, dann hat das hier doch nichts mit Split-DNS zu zun?
Könnte es sein, dass es Dir gar nicht so sehr darauf ankommt, die DNS-Zonen in extern und intern zu trennen, sondern eher im AD je eine getrennte Domäne für die externen und internen Server zu haben? Oder gar nur, die Subnetze zu trennen?
Jedenfalls scheint es mir nonsens, falls Du wirklich nur eine zweite DNS-Zone haben willst, dafür dann aber extra eine eigenes AD aufsetzen willst, bloß damit diese DNS-Zonen AD-intergriert sind. Wenn ich Dich denn richtig verstanden habe.
...und aus dem Grund benötige ich in der externen Zone eine eigene AD/DNS.
E.
Hi,
ich habe immer noch ein kleines Verständnisproblem:
Was meinst Du mit "Zone"? DNS-Zone oder DMZ?
Willst Du tatsächlich getrennte DNS-Zonen? "Getrennte" DNS-Namen? Also z.B. der Name "paul.intern.de" soll extern nicht auflösbar sein? Oder soll von extern nicht erreichbar sein?
Oder willst Du, dass der ein und dieselbe IP-Adresse (sprich der Host) von extern über "paul.extern.de" und von intern über "paul.intern.de" aufgelöst werden soll?
Oder dass ein Host von extern über "paul.extern.de" auf Adresse A und von intern über "paul.intern.de" auf Adresse B aufgelöst werden soll?
Das sind alles verschiedene Szenarien.
E.
ich habe immer noch ein kleines Verständnisproblem:
Was meinst Du mit "Zone"? DNS-Zone oder DMZ?
Willst Du tatsächlich getrennte DNS-Zonen? "Getrennte" DNS-Namen? Also z.B. der Name "paul.intern.de" soll extern nicht auflösbar sein? Oder soll von extern nicht erreichbar sein?
Oder willst Du, dass der ein und dieselbe IP-Adresse (sprich der Host) von extern über "paul.extern.de" und von intern über "paul.intern.de" aufgelöst werden soll?
Oder dass ein Host von extern über "paul.extern.de" auf Adresse A und von intern über "paul.intern.de" auf Adresse B aufgelöst werden soll?
Das sind alles verschiedene Szenarien.
E.
Hostest Du die DNS-Zone für den Zugriff von extern selbst oder macht das der ISP?
Wenn die Host, welche von extern erreichbar sind, von extern über andere IP-Adressen angesprochen werden als von intern, jedoch jeweils über den gleichen FQDN, dann benötigst Du zwei DNS-Server, welche jeweils nur für extern bzw. nur für intern auflösen. Der externe entweder beim ISP oder bei Dir in der externen DMZ. Auf dem internen DNS-Server benötigst Du dann eine DNS-Zone für die externe DNS-Zone, welche die Namen auf die internen Adressen auflöst. Das wäre dann der Split-DNS-Fall.
Wenn der Zugriff von intern auch über die externen Adressen erfolgt, dann benötigst Du vom internen DNS-Server eine bedingte Weiterleitung für die betreffende DNS-Zone zum externen DNS-Server.
Wenn die DNS-Server für extern in Deiner externen DMZ stehen und die Zonen AD integriert sein sollen, dann müssen die DNS-Server DC sein. RDC, wie Du schon schreibst. Jedoch sind die RDC ansich selbst in der internen DNS-Zone. Sie müssen nur ein Replikat der externen DNS-Zone erhalten. Ich nehme an, sie sollen kein Replikat der internen DNS-Zone erhalten. Dafür erstellst Du eine DNS-Anwendungspartition, fügst dieser die internen DC's hinzu un lässt die interne DNS-Zone nur innerhalb dieser Anwendungspartition replizieren. Die externe DNS-Zone lässt Du auf alle DC der Domäne replizieren.
Das mit der DNS-Anwendungspartition für die interne Zone gilt auch dann, wenn der ISP die externe DNS-Zone hostet und in der externen DMZ RDC stehen sollen.
E.
Wenn die Host, welche von extern erreichbar sind, von extern über andere IP-Adressen angesprochen werden als von intern, jedoch jeweils über den gleichen FQDN, dann benötigst Du zwei DNS-Server, welche jeweils nur für extern bzw. nur für intern auflösen. Der externe entweder beim ISP oder bei Dir in der externen DMZ. Auf dem internen DNS-Server benötigst Du dann eine DNS-Zone für die externe DNS-Zone, welche die Namen auf die internen Adressen auflöst. Das wäre dann der Split-DNS-Fall.
Wenn der Zugriff von intern auch über die externen Adressen erfolgt, dann benötigst Du vom internen DNS-Server eine bedingte Weiterleitung für die betreffende DNS-Zone zum externen DNS-Server.
Wenn die DNS-Server für extern in Deiner externen DMZ stehen und die Zonen AD integriert sein sollen, dann müssen die DNS-Server DC sein. RDC, wie Du schon schreibst. Jedoch sind die RDC ansich selbst in der internen DNS-Zone. Sie müssen nur ein Replikat der externen DNS-Zone erhalten. Ich nehme an, sie sollen kein Replikat der internen DNS-Zone erhalten. Dafür erstellst Du eine DNS-Anwendungspartition, fügst dieser die internen DC's hinzu un lässt die interne DNS-Zone nur innerhalb dieser Anwendungspartition replizieren. Die externe DNS-Zone lässt Du auf alle DC der Domäne replizieren.
Das mit der DNS-Anwendungspartition für die interne Zone gilt auch dann, wenn der ISP die externe DNS-Zone hostet und in der externen DMZ RDC stehen sollen.
E.
Also sprich: Wenn ich auf meinem PDC zwei Zonen aufbaue, einmal intern und einmal extern dann habe ich ein Split DNS?!
Wenn das zwei DNS-Zonen für den selben Namespace sind, ja.Das was du in deinem ersten Abschnitt ansprichst genauso will ich das machen. Mein interner DNS dienst als ReadWrite DC in meiner
internen DMZ und dort werde ich eine interne DNS und eine externe DNS Zone haben. In der externen DMZ Zone werden dann zwei
ReadOnly DNS Server stehen und sich mit dem Primary Domain Controller replizieren.
Ich fürchte, so einfach geht das mit Deinem Plan nicht. Ein RODC kann eine Zone nicht ohne einen DNS-Server-Partner mit einer schreibbaren Kopie der Zone verwalten. Sprich, Du benötigst von der externen Zone auf den RODC im internen Netz mindestens eine Kopie auf einem RWDC. (Du willst ja AD-integrierte Zonen). Wenn Du also extern nur zwei RODC und intern einen RWDC betreibst, und alle in einer Domäne, dann kann es keinen dieser DC geben, der beide Varaianten der externen Zone gleichzeitig hält. Selbst wenn Du da mit DNS-Anwendungspartitionen arbeitest kann jeder DNS eine Zone immer nur genau einmal hosten.internen DMZ und dort werde ich eine interne DNS und eine externe DNS Zone haben. In der externen DMZ Zone werden dann zwei
ReadOnly DNS Server stehen und sich mit dem Primary Domain Controller replizieren.
Du benötigst intern min. 3 RWDC.
RWDC A -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC B -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC C -> externe Variante der externen Zone in Anwendungspartition B
RODC D -> externe Variante der externen Zone in Anwendungspartition B + bedingte Weiterleitung für interne Zone auf interne DNS
RODC E -> externe Variante der externen Zone in Anwendungspartition B + bedingte Weiterleitung für interne Zone auf interne DNS
Warum müssen es für die externe DNS-Zone unbedingt AD-integrierte Zonen sein? Benötigst Du den dort dynamische Updates?
Wenn es auch Primär-Sekundär-Zonen sein können, dann ginge auch:
RWDC A -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
RWDC B -> interne Zone in Anwendungspartition A + interne Variante der externen Zone in Anwendungspartition A
Member C -> externe Variante der externen Zone als primäre Zone
RODC D -> externe Variante der externen Zone als sekundäre Zone + bedingte Weiterleitung für interne Zone auf interne DNS
RODC E -> externe Variante der externen Zone als sekundäre Zone + bedingte Weiterleitung für interne Zone auf interne DNS
E.
Hi winlin,
nichts für ungut, bitte.
1. hättest Du das so gleich in Deiner Frage geschrieben, dann wäre das ein kleines Bisschen einfacher geworden. (aber nur ganz wenig)
2. ist das immer noch nicht schlüssig.
Du hast laut Deinen Amgaben nur DC's für die Domäne "domain.com". Wie - bitte schön - hast Du dann Maschinen in "intern.domain.com" "gejoint"? Reden wir überhaupt von Windows Maschinen und falls ja, sind diese Domain Member? Falls nein, warum dann ständig die RW/RO-DC's erwähnt?
Ich weiß, dass man Computer in Domäne "domain.com" aufnehmen und gleichzeitig auf diesen einen Dienst unter "intern.domain.com" oder "extern.domain.com" betreiben/veröffentlichen kann. Falls es bei Dir so sein sollte: Es ist keine Schande, dann wegen fehlender Fachkenntnis diesen Thread mit ungenauen Angaben so "hinauszuzögern". Wegen Faulheit aber schon! Ich hoffe doch für Dich, das es an ersterem liegt.
Obwohl ... Deinen kürzlichen Thread RWDC offline und RODC online trotzdem kein Login moeglich hast Du ja auch im Sande verlaufen lassen. Nicht mal auf die Antwort reagiert.
Aber um auf die Frage zurückzukommen - Die von Dir genannte Konstellation ändert nichts prinzipielles an dem, was ich bereits geschrieben habe:
Da Du extern RODC betreiben willst, und man auf diesen keine AD-integrierte DNS-Zone schreibbar verwalten kann, brauchst Du intern einen schreibbaren Master.
Und da man eine Zone, auf einem und demselben DNS-Server nur genau einmal hosten kann, brauchst Du also intern zwei DNS-Server um die Zone "extern.domain.com" zweimal hosten zu können - einmal mit den externen und einmal mit den internen Adressen.
Und weil das ja alles AD-integriert sein soll und Du jede Zone sicherlich in min. 2 Kopien vorhalten willst (Redundanz), musst du mit DNS-Anwendungspartitionen arbeiten und kommst intern nicht mit 2 DC aus.
E.
nichts für ungut, bitte.
1. hättest Du das so gleich in Deiner Frage geschrieben, dann wäre das ein kleines Bisschen einfacher geworden. (aber nur ganz wenig)
2. ist das immer noch nicht schlüssig.
Du hast laut Deinen Amgaben nur DC's für die Domäne "domain.com". Wie - bitte schön - hast Du dann Maschinen in "intern.domain.com" "gejoint"? Reden wir überhaupt von Windows Maschinen und falls ja, sind diese Domain Member? Falls nein, warum dann ständig die RW/RO-DC's erwähnt?
Ich weiß, dass man Computer in Domäne "domain.com" aufnehmen und gleichzeitig auf diesen einen Dienst unter "intern.domain.com" oder "extern.domain.com" betreiben/veröffentlichen kann. Falls es bei Dir so sein sollte: Es ist keine Schande, dann wegen fehlender Fachkenntnis diesen Thread mit ungenauen Angaben so "hinauszuzögern". Wegen Faulheit aber schon! Ich hoffe doch für Dich, das es an ersterem liegt.
Obwohl ... Deinen kürzlichen Thread RWDC offline und RODC online trotzdem kein Login moeglich hast Du ja auch im Sande verlaufen lassen. Nicht mal auf die Antwort reagiert.
Aber um auf die Frage zurückzukommen - Die von Dir genannte Konstellation ändert nichts prinzipielles an dem, was ich bereits geschrieben habe:
Da Du extern RODC betreiben willst, und man auf diesen keine AD-integrierte DNS-Zone schreibbar verwalten kann, brauchst Du intern einen schreibbaren Master.
Und da man eine Zone, auf einem und demselben DNS-Server nur genau einmal hosten kann, brauchst Du also intern zwei DNS-Server um die Zone "extern.domain.com" zweimal hosten zu können - einmal mit den externen und einmal mit den internen Adressen.
Und weil das ja alles AD-integriert sein soll und Du jede Zone sicherlich in min. 2 Kopien vorhalten willst (Redundanz), musst du mit DNS-Anwendungspartitionen arbeiten und kommst intern nicht mit 2 DC aus.
E.
Hatte bisher nicht verstanden, dass die beiden RODC's auch intern sind. Du willst also wissen, ob Du weitere RODC einrichten kannst, die dann extern stehen?
Ja, das geht. Aber auch dann wirst Du mit DNS-Anwednungspartitionen arbeiten müssen, wenn die DNS-Zonen AD-integriert sein sollen. Und von den beiden DNS-Zonen für "extern.domain.com" hälst Du dann auf je einem der RWDC das schreibbare Replikat.
E.
Ja, das geht. Aber auch dann wirst Du mit DNS-Anwednungspartitionen arbeiten müssen, wenn die DNS-Zonen AD-integriert sein sollen. Und von den beiden DNS-Zonen für "extern.domain.com" hälst Du dann auf je einem der RWDC das schreibbare Replikat.
E.