Active Directory-integrierte Zonen / SOA-Eintrag

17/01/2009 - 23:23 von Werner Geller | Report spam
Hallo zusammen,

beim Herumspielen mit meinem Testnetzwerk haben sich mehrere Fragen ergeben.

Es existiert folgende Konfiguration:
- 1 Stammdonàne (Namenszone "domain1")
- 1 Subdomàne (Namenszone "subdomain.domain1")
- 1 Client in der Stammdomàne und 1 Client in der Subdomàne
- 1 Domaincontroller für die Stammdonàne
- 2 Domaincontroller in der Subdomàne
- alle Domaincontroller arbeiten als DNS-Server und hosten die
entsprechenden Namenszonen
- der Domaincontroller in "domain1" ist als primàrer DNS-Server konfiguriert
- in der Subdomàne habe ich die DNS-Server auf den Domaincontrollern
ebenfalls als primàre Server installiert
- auf den DNS-Servern in der Subdomàne ist "subdomain.domain1" als Active
Directory-integriert konfiguriert
- es ist sowohl eine Weiterleitung von den Subdomain-DNS-Servern zu dem
DNS-Server der Stammdonàne als auch eine Weiterleitung von dem
Stammdomànen-DNS-Server zu den Subdomain-DNS-Servern eingerichtet worden
("alle anderen DNS-Domànen)
- auf dem DNS-Server in der Domàne "domain1" habe ich die Stammhinweise
lediglich mit den Root-Server gefüllt (Standard), da er eine direkte
Verbindung zum Internet hat.
- auf den DNS-Servern in der Domàne "subdomain.domain1" habe ich alle
Stammhinweise gelöscht. Sie haben nàmlich keine Verbindung mit dem Internet

Ich denke/hoffe, dass ich meine DNS-Struktur sauber konfiguriert habe. Es
zeigt sich aber folgendes Problem:
Wenn ich auf dem Client in der Domàne "Domain1" mit nslookup Internet-Namen
(z. B. www.microsoft.de) auflösen möchte funktioniert alles wunderbar.
Versuche ich dass Gleiche auf dem Client in der Domàne "subdomain.domain1"
scheitert der Versuch.

Ich habe diesbezüglich folgende Fragen:

1. Eigentlich müssten die DNS-Server in der Domàne "subdomain.domain1" diese
Anfrage doch an den Domaincontroller in der Domàne "domain1" weiterleiten,
da sie ja keine Stammhinweise / keine Verbindung zum Internet haben und
zudem noch eine Weiterleitung an den Domaincontroller in der Domàne
"domain1" eingerichtet wurde. Reicht das nicht?

2. Wenn ich mir auf den DNS-Servern in der Domàne "subdomain.domain1" die
SOA-Eintràge anschaue fàllt mir auf, dass sich jeder Server selbst als SOA
eintràgt. Wenn ich keine Active Directory-integrierte Zone hoste weiss ich,
dass als SOA der primàre DNS-Server eingetragen sein muss. Ist das bei
Active Directory-integrierten Zonen anders? Gibt es bei
Directory-integrierten Zonen eigentlich einen primàren DNS-Server?

3. Falls es auch bei Directory-integrierten Zonen einen primàren Server
gibt: Wie mache ich ihn ausfindig?

4. Kann ich den falschen SOA-Eintrag ggf. einfach hàndisch auf den richtigen
Server "umbiegen"? Mit anderen Worten: Kann ich ggf. in einem SOA-Eintrag
manuell im Feld "primàrer Server" einfach den richtigen Server eintragen
oder sind irgenwelche vorbereitenden Maßnahmen notwendig?

5. Müssen die SOA-Eintràge auf allen DNS-Servern einer Active
Directory-integrierten Zone auf einen bestimmten (primàren) DNS-Server
zeigen, oder ist es richtig, dass die DNS-Server in den jeweiligen
SOA-Eintràgen auf sich selbst zeigen?


Die Beantwortung meiner Fragen würde mir sehr helfen SOA-Eintràge zu
verstehen und mein Problem zu lösen. Dafür schon mal danke. Auch Links auf
Webseiten, die den SOA-Eintrag ausführlich erklàren, würden mir sehr
helfen...


Gruss
Werner
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
18/01/2009 - 14:01 | Warnen spam
Moin,

Werner Geller schrieb:
- 1 Stammdonàne (Namenszone "domain1")



der Namensraum ist hoffentlich nur ein Beispiel - oder ist das
tatsàchlich eine Single-Label Domain ohne TLD?

- der Domaincontroller in "domain1" ist als primàrer DNS-Server konfiguriert



Warum primàr? AD-integriert ist in >99 Prozent der Fàlle die beste Wahl.

- in der Subdomàne habe ich die DNS-Server auf den Domaincontrollern
ebenfalls als primàre Server installiert
- auf den DNS-Servern in der Subdomàne ist "subdomain.domain1" als Active
Directory-integriert konfiguriert



Öh - hier gehen die Begriffe durcheinander. Was denn nun - primàr oder
AD-integriert?

- es ist sowohl eine Weiterleitung von den Subdomain-DNS-Servern zu dem
DNS-Server der Stammdonàne als auch eine Weiterleitung von dem
Stammdomànen-DNS-Server zu den Subdomain-DNS-Servern eingerichtet worden
("alle anderen DNS-Domànen)



Hm. Da wàren Conditional Forwarders oder Stub Zones vermutlich die
bessere Wahl. Es könnte sein, dass du hier eine Art Schleife gebaut
hast. Beschreib das bitte noch mal genauer.

- auf den DNS-Servern in der Domàne "subdomain.domain1" habe ich alle
Stammhinweise gelöscht. Sie haben nàmlich keine Verbindung mit dem Internet



Das ist ziemlich unnötig. Wenn die DNS-Server der Subdomain sowieso über
den DNS-Server der Stammdomàne auflösen, hàtten sie das auch mit den
Root Hints tun können.

1. Eigentlich müssten die DNS-Server in der Domàne "subdomain.domain1" diese
Anfrage doch an den Domaincontroller in der Domàne "domain1" weiterleiten,
da sie ja keine Stammhinweise / keine Verbindung zum Internet haben und
zudem noch eine Weiterleitung an den Domaincontroller in der Domàne
"domain1" eingerichtet wurde. Reicht das nicht?



Doch, ein Forwarder reicht. Aber insgesamt hört sich deine Konfig etwas
seltsam an. Bitte noch mal genau beschreiben.

Ist das bei
Active Directory-integrierten Zonen anders?



Ja. Es ist Multi-Master.

Gibt es bei
Directory-integrierten Zonen eigentlich einen primàren DNS-Server?



Nein, das ist ja der Witz daran.

4. Kann ich den falschen SOA-Eintrag ggf. einfach hàndisch auf den richtigen
Server "umbiegen"?



Du kannst vieles tun, solltes einiges davon aber bleiben lassen. Zum
Beispiel dies.

5. Müssen die SOA-Eintràge auf allen DNS-Servern einer Active
Directory-integrierten Zone auf einen bestimmten (primàren) DNS-Server
zeigen, oder ist es richtig, dass die DNS-Server in den jeweiligen
SOA-Eintràgen auf sich selbst zeigen?



Sagen wir es so: Die SOA-EIntràge verwaltet AD meist schon richtig. Wenn
das Gesamtdesign stimmt, muss/sollte man daran nicht rumbasteln.

Warum überhaupt mit Subdomains arbeiten? Es gibt kaum Gründe dafür.
Unter anderem sind die unnötig komplexen DNS-Konstrukte ein wichtiger
Grund, der dagegen spricht.

[faq-o-matic.net » Welches Domànenmodell ist das Beste für Active
Directory?]
http://www.faq-o-matic.net/2007/06/...directory/


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen