genlog
Goto Top

Windows DC - Standorte - Branch Office - mit "fremder" Domain

Hallo Leute,

ich habe nun folgendes "Problem". Meine Firma hat mehrere Standorte mit einem Hauptsitz.

An diesem Hauptsitz ist als Bsp. die Windows Domain Hauptsitz.local. Die Standorte hätte dann:

Standort1.local
Standort2.local
etc..etc...

Ein zusammführen der Domain ist nicht gewünscht. Trust zw. den Domains sollen noch kommen.

Nun haben wir in dem großen Ganzen, EIN Vertrieb.
Diese sitzen überall an allen Standorten. Nun möchte ich gerne (wegen GPOs, Softwareverteilung etc..) an jedem Standort einen DC der Hauptsitz.local haben den die Clients des Vertriebs ansprechen.

Nun habe ich mir an jedem Standort einen DC konfiguriert, dieses wird auch schön sycronisiert.

Leider funktioniert das Ganze nicht face-sad , da an den Standorten jeweils der DNS der standort1.local etc... als DNS Server verwendet wird (wird immer per DHCP verteilt).
Damit die Clients an den Standorten überhaupt die hauptsitz.local ansprechen können, habe ich mir jeweils dort eine "DNS Bedingte Weiterleitung" eingerichtet auf die hauptsitz.local.

Leider geht auch dies nicht.
Plan B wäre eine 2 DHCP Zone einzurichten und die Rechner, welcher der hauptsitz.local zugeordnet sind, den DNS Server des jeweiligen DC mit hauptsitz.local zuzuweisen - ist aber nicht so schön, da ich dann ja MAC Adressen pflegen müsste....

Hat schon einmal jemand so etwas konfiguriert? Wo ist das Problem? Bedingte DNS Weiterleitungen helfen jedenfalls leider nicht, DNS Sekundäre Zonen auch nicht (auch schon probiert), ich könnte höchstens noch eine Stubzone einrichten - hätte aber vorher gerne mal euer Feedback !

Danke im Voraus !

Content-ID: 312478

Url: https://administrator.de/contentid/312478

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

emeriks
emeriks 12.08.2016 aktualisiert um 15:32:08 Uhr
Goto Top
Hi,
  1. es gibt keine "DHCP Zonen". Du meinst sicher Bereiche (Scope). Das ist wichtig, damit man das nicht mit DNS-Zonen verwechselt.
  2. Warum soll das mit einer DNS-Weiterleitung nicht funktionieren? Der lokale DNS-Server würde dabei als DNS-Cache für die andere Zone fungieren.
  3. Könnte das Problem vielleicht sein, dass die Clients am Standort noch in der "standort.local" sind und Du versuchts, dort einen Benutzer aus "hauptsitz.local" anzumelden? Falls ja: Das geht erst, wenn eine Vetrauensstellung zwischen den Domänen ist.

Du kannst aber auch im DHCP Reservierungen für die betreffenden PC einrichten. An den Reservierungen kannst Du dann abweichende DNS-Server eintragen - also jene für "hauptsitz.local". Diese übersteuern die DNS-Einträge aus dem DHCP-Bereich und/oder des DHCP-Servers, sodass der Client dann nur diese DNS-Server konfiguriert bekommt. Dann können diese Clients der anderen Domäne betreten.

E.
ketanest112
ketanest112 13.08.2016 um 17:50:51 Uhr
Goto Top
Hallo genlog,

wie immer lautet die Standardantwort: kommt drauf an.

Prinzipiell sollte eine bedingte Weiterleitung vom DNS schon funktionieren, meistens gilt hier PIBCAC (also Konfigurationsfehler) face-wink

Sollte es wider erwarten nicht funktionieren, empfehle ich, im DHCP einen eigenen IP-Adressraum (ist dann auch besser auseinander zu halten) für die jeweiligen DCs an den Standorten einrichten und dann den Vertriebler Clients den entsprechenden DC als DNS Server reinwürgen.

Wenn die Vertriebler allerdings auch auf "normalen" Standort Clients authentifiziert werden sollen, wirst du um einen Domain Trust nicht rumkommen.

Viele Grüße
Ketanest
genlog
genlog 15.08.2016 um 08:31:00 Uhr
Goto Top
Hi,

so... falls jemand evtl. mal vor dem gleichen Problem steht:

Bei mir hat eine DNS Stubzone bei den niederlassung.local -> hauptsitz.local die Lösung gebracht. Die sekundäre Zone hat, warum auch immer, leider nicht funktioniert.

Danke für eure Hilfe !

Ps.: Ja, DNS Zonen und DHCP Scope... face-smile !
emeriks
emeriks 15.08.2016 um 18:01:32 Uhr
Goto Top
Bei mir hat eine DNS Stubzone bei den niederlassung.local -> hauptsitz.local die Lösung gebracht. Die sekundäre Zone hat, warum auch immer, leider nicht funktioniert.
Sorry, aber das passt nicht mit Deinem Fehlerbild bzw. Deiner Beschreibung davon zusammen!