Windows Active Directory DNS
Hallo zusammen,
Ich habe ein Mikrotik Firewall-Verbund (VRRP). Dieser ist für DHCP, DNS und Routing/Internet zuständig.
Dann ist ein AD-Server dazugekommen, welcher auf einem Server mittels SAMBA läuft. Es gibt aktuell nur einen AD-Server. Mir ist bewusst, dass dies nicht Best Practice ist.
Die DNS-Records für das AD sind manuell auf dem Mikrotik als statische Einträge erfasst. Das funktioniert grösstenteils, scheint aber vermutlich der schlechteste Weg dafür zu sein.
Nun frage ich mich, ob dieses Vorhaben besser ist:
- Den AD-Server als primären DNS-Server via DHCP verteilen. Der SAMBA forwarded DNS auf die Mikrotik.
- Den Mikrotik als sekundären DNS-Server einrichten, für den Fall, dass der AD-Server ausfällt. Ich möchte nicht, dass Internet & Co. ausfällt, wenn der AD-Server nicht erreichbar ist.
Macht das so Sinn für meine Situation?
Ich habe ein Mikrotik Firewall-Verbund (VRRP). Dieser ist für DHCP, DNS und Routing/Internet zuständig.
Dann ist ein AD-Server dazugekommen, welcher auf einem Server mittels SAMBA läuft. Es gibt aktuell nur einen AD-Server. Mir ist bewusst, dass dies nicht Best Practice ist.
Die DNS-Records für das AD sind manuell auf dem Mikrotik als statische Einträge erfasst. Das funktioniert grösstenteils, scheint aber vermutlich der schlechteste Weg dafür zu sein.
Nun frage ich mich, ob dieses Vorhaben besser ist:
- Den AD-Server als primären DNS-Server via DHCP verteilen. Der SAMBA forwarded DNS auf die Mikrotik.
- Den Mikrotik als sekundären DNS-Server einrichten, für den Fall, dass der AD-Server ausfällt. Ich möchte nicht, dass Internet & Co. ausfällt, wenn der AD-Server nicht erreichbar ist.
Macht das so Sinn für meine Situation?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4479077707
Url: https://administrator.de/contentid/4479077707
Ausgedruckt am: 19.12.2024 um 04:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
In einem AD ist es immer die sinnvollste/ einfachste Variante, wenn der/ die DCs auch als DNS-Server für alle Clients (wozu auch Server etc. zählen) dienen. Wenn man weiß, was man tut, kann man das auch auseinander rupfen
Nun frage ich mich, ob dieses Vorhaben besser ist:
- Den AD-Server als primären DNS-Server via DHCP verteilen. Der SAMBA forwarded DNS auf die Mikrotik.
Ja, bitte so!- Den AD-Server als primären DNS-Server via DHCP verteilen. Der SAMBA forwarded DNS auf die Mikrotik.
- Den Mikrotik als sekundären DNS-Server einrichten, für den Fall, dass der AD-Server ausfällt. Ich möchte nicht, dass Internet & Co. ausfällt, wenn der AD-Server nicht erreichbar ist.
Nein, den Mikrotik bitte nicht als zweiten DNS hinterlegen. Windows geht nicht „von oben nach unten“ die DNS-Server durch. Da gibt es eine andere Logik. Ich weiß aber gerade nicht genau, ob per Zufallsprinzip oder ob der verwendet wird, der am schnellsten antwortet und dann auch weiterhin primär verwendet wird.In einem AD ist es immer die sinnvollste/ einfachste Variante, wenn der/ die DCs auch als DNS-Server für alle Clients (wozu auch Server etc. zählen) dienen. Wenn man weiß, was man tut, kann man das auch auseinander rupfen
Macht das so Sinn für meine Situation?
Zur Hälfte Zitat von @em-pie:
Windows geht nicht „von oben nach unten“ die DNS-Server durch. Da gibt es eine andere Logik.
Nein, nichts was ich wüsste.Windows geht nicht „von oben nach unten“ die DNS-Server durch. Da gibt es eine andere Logik.
Windows geht immer die Reihenfolge der konfigurierten DNS-Server durch. Wenn an mehreren NICs unterschiedliche DNS-Server angegeben sind (z.B. durch DHCP), dann wird die Gesamtliste in der NIC-Reihenfolge gebildet und abgearbeitet.
Erst wenn ein DNS-Server nicht reagiert wird der nächste in der Liste versucht. Das Timeout für "nicht reagieren" ist hier sehr hoch, ohne dass ich jetzt genau sagen kann, wie lange. Aber min. 10-15 Sekunden würde ich sagen.
Der Knackpunkt ist, dass ein "halb reagierender" Server u.U. als negative Antweort gewertet werden kann, was dafür sorgt, dass kein weiterer Server aus der Liste gefragt wird. Aber das ist kein Mircosoft-spezielles Problem sondern allgemein DNS.
In einem AD ist es immer die sinnvollste/ einfachste Variante, wenn der/ die DCs auch als DNS-Server für alle Clients (wozu auch Server etc. zählen) dienen.
Das würde ich jetzt nicht so pauschal unterschreiben. Es kommt ja immer drauf an, was man sonst noch so am Laufen hat bzw. schon etabliert hat, wenn man AD enführt. Warum sollte man ein bestehdes, funktionierendes DNS einreißen oder "degradieren", bloß weil man ein AD integriert?Erst wenn ein DNS-Server nicht reagiert wird der nächste in der Liste versucht
Korrekt, so kenne ich das auch. Allerdings schwenkt Windows meines Wissens nicht einfach so auf den primären zurück, sondern verweilt beim sekundären, bis dieser mal nicht flott genug reagiert. Und wenn der zweite kein AD-DNS ist, könnte das natürlich doof sein, wenn man auf DNS-Records aus der Domäne angewiesen ist...Allerdings hätte man ohne zweiten AD-DNS-Server ja auch keine alternative an der man die Records abfragen könnte :D
Ich würde vermutlich den Mikrotik als zweiten DNS nutzen, und am Mikrotik die Domänen-DNS an den SAMBA verweisen. Also im Prinzip so wie du das aktuell hast, nur nicht für einzelene Records sondern die gesamte Zone.
Grüße
Moin,
Genau so ist es. Der Client merkt sich, bei welchem DNS er Erfolg hatte und bleibt bei dem. Das ist auch gut so. Stellen wir uns mal ein Szenario vor, in dem der erste in der Liste im Haupthaus steht und der zweite in der Filiale. Das wäre zwar nicht schön konfiguriert (in der Filiale), kommt aber vor. Dann wäre es ja blöd, wenn jeder Client erst einmal den langsam reagierenden DNS im Haupthaus probieren würde ...
Allerdings hätte man ohne zweiten AD-DNS-Server ja auch keine alternative an der man die Records abfragen könnte :D
Ich würde vermutlich den Mikrotik als zweiten DNS nutzen, und am Mikrotik die Domänen-DNS an den SAMBA verweisen. Also im Prinzip so wie du das aktuell hast, nur nicht für einzelene Records sondern die gesamte Zone.
Von Mikrotik habe ich keine Ahnung. Aber wenn es geht, würde ich die ganze Zone übertragen und den DNS als secondary konfigurieren (für die Zone). Dann hätte der TO die Ausfallsicherheit, die er gerne möchte.
Liebe Grüße
Erik
Zitat von @Michi91:
Erst wenn ein DNS-Server nicht reagiert wird der nächste in der Liste versucht
Korrekt, so kenne ich das auch. Allerdings schwenkt Windows meines Wissens nicht einfach so auf den primären zurück, sondern verweilt beim sekundären, bis dieser mal nicht flott genug reagiert. Und wenn der zweite kein AD-DNS ist, könnte das natürlich doof sein, wenn man auf DNS-Records aus der Domäne angewiesen ist...Genau so ist es. Der Client merkt sich, bei welchem DNS er Erfolg hatte und bleibt bei dem. Das ist auch gut so. Stellen wir uns mal ein Szenario vor, in dem der erste in der Liste im Haupthaus steht und der zweite in der Filiale. Das wäre zwar nicht schön konfiguriert (in der Filiale), kommt aber vor. Dann wäre es ja blöd, wenn jeder Client erst einmal den langsam reagierenden DNS im Haupthaus probieren würde ...
Allerdings hätte man ohne zweiten AD-DNS-Server ja auch keine alternative an der man die Records abfragen könnte :D
Ich würde vermutlich den Mikrotik als zweiten DNS nutzen, und am Mikrotik die Domänen-DNS an den SAMBA verweisen. Also im Prinzip so wie du das aktuell hast, nur nicht für einzelene Records sondern die gesamte Zone.
Von Mikrotik habe ich keine Ahnung. Aber wenn es geht, würde ich die ganze Zone übertragen und den DNS als secondary konfigurieren (für die Zone). Dann hätte der TO die Ausfallsicherheit, die er gerne möchte.
Liebe Grüße
Erik