Frage zu DNS

von Robert Gerster » Samstag, 31. Dezember 2005



Hallo.

Ich bin mir etwas unsicher und möchte einfach nur wissen wie es korrekt ist.
Funktionieren tun ja viele Möglichkeiten.

Angenommen ich habe ein Netz mit zwei DNS-Server. Einer auf dem DC und einer
auf dem Zweiten oder einem Memberserver. Ausserdem einen DSL-Router, mit
DNS-Server (abschaltbar). Was trägt man denn in der Netzwerkumgebung der
Server unter DNS-Server nun ein? 127.0.0.1 oder jeweils den anderen oder gar
beide? Auch den Router? Oder besser eine Weiterleitung auf den Router? Wie
läuft es am besten?

Wenn man jetzt noch einen Dritten DC mit DNS-Server in der gleichen Domäne
hätte aber in einem anderen Subnetz, angebunden über VPN, wei schaut es dann
aus?

Ich weiss sind viellei8cht seltsame Fragen, und im Grunde läuft ja auch
alles, aber möchte nur gerne wissen wie es technisch korrekt sein sollte.

Vielleicht erkärt sich ja einer bereit und schreibt drei vier Sätze dazu.

Danke Robert





Re: Frage zu DNS

von Winfried Sonntag » Samstag, 31. Dezember 2005







Richtig dafür nicht viele. ;-)


AFAIK bei den Clients den 1. DC als 1. DNS. Auf dem DNS machst Du eine
Weiterleitung zum DNS Deines Vertrauens (ISP). Wenn der 2. DNS ein
Memberserver ist, dann trägst Du den 1.DC als 1.DNS ein. Die 127.0.0.1
solltest Du *nicht* verwenden. Wenn der 2.DNS ein DC ist, kannst Du
den 1. DC ebenfalls als 2. DNS eintragen.

Das hier düfte für Dich vielleicht auch interessant sein:
http://www.faq-o-matic.net/content/view/126/45/

Servus
Winfried
--
Win2000-FAQ: http://w2k-faq.ebend.de
Richtig zitieren: http://einklich.net/usenet/zitier.htm
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm



Re: Frage zu DNS

von Yusuf Dikmenoglu » Samstag, 31. Dezember 2005



Hallo,


auf den DCs wo DNS installiert ist, trägst Du in den
TCP/IP-Einstellungen der DCs
sich selbst mit der *echten* IP ein und nicht mit der Localhost
(127.0.0.1).
Idealerweise ist DNS AD-integriert.
Dann trägst Du in Deinem DNS eine Weiterleitung zu Deinen Router ein.
Auch auf Deinem dritten DC trägst Du Ihn selbst in seinen TCP/IP
Einstellungen als DNS ein.
Dann noch Round-Robin und Netzwerkmaskenanforderung aktivieren.


Hier etwas zum lesen ;-)
http://www.microsoft.com/germany/technet/datenbank/articles/600090.mspx
http://www.microsoft.com/germany/technet/datenbank/articles/600840.mspx
http://www.microsoft.com/germany/technet/datenbank/articles/600534.mspx



--

Viele Grüße aus Mainz
Yusuf Dikmenoglu

One World - One Community
http://www.unterwegs-im.net




Re: Frage zu DNS

von Robert Gerster » Samstag, 31. Dezember 2005



Hallo.

Danke für die schnellen Antworten. Dann habe ich es ja genau richtig
gemacht.

Gruss Robert








Re: Frage zu DNS

von Daniel Melanchthon [MSFT] » Samstag, 31. Dezember 2005






Ich biete mal eine Videoanleitung:

DNS und WINS in einem Active Directory für NT-Umsteiger
http://techfiles.de/dmelanchthon/webcasts/118764033.zip

Guten Rustch!
--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: Frage zu DNS

von Robert Gerster » Sonntag, 1. Januar 2006



Hallo Daniel.

Den Webcast kenne ich, Habe ich mir angeschaut. In den Anleitungen wird zwar
immer erklärt wie was richtig ist, beantworten aber in den seltensten Fällen
meine Fragen.

Z. B. Stellt sich nach allen Ratschlägen, Erklärungen und lesen von Dokus mi
immer noch die Frage weshalb trage ich bei zwei oder gar drei DSN-Servern
nicht immer jeweils den/die anderen mit ein? Macht für mich Sinn. Nach dem
Motto " Was er selber nicht weiss vielleicht der andere".

Was macht es für einen Sinn bei sich selbst einzutragen, weiss doch
schliesslich das er DNS-Server ist?

Kleiner "Differenzen" zwischen den Zonen auf den einzelnen Server behebe ich
immer manuell, was ist an der Konfiguration falsch? Sollte doch eigentlich
automatisch gehen.

Weshalb finden sich immer wieder alte Maschinen, die es schon ein Weile
nicht mehr gibt in der DSN wieder?

Kann ich eine "domainfremde" Maschine in der lokalen Zone miit eintragen,
ähnlich wie in der Hosts, oder muss ich dazu die entsprechende Zone anlegen?

Fragen über Fragen.

Danke. Robert

"Daniel Melanchthon [MSFT]" < XXXX@XXXXX.COM > schrieb im







Re: Frage zu DNS

von Daniel Melanchthon [MSFT] » Montag, 2. Januar 2006






Nein. Da hast Du bisher die DNS-Namensauflösung nicht verstanden. Die
DNS-Server werden der Reihe nach befragt. Wenn der erste eine Antwort
liefert (die auch "Gibt es nicht" lauten kann), dann fragt er nicht die
weiteren. Die sind nur für Failover da, wenn der Server in der Reihenfolge
davor nicht antwortet.


Kannst Du die Frage noch mal überarbeiten? So verstehe ich sie nicht ;-)


Was sind denn "kleinere Differenzen"? Wie genau sieht Deine Konfiguration aus?


Weil die bei DNS normalerweise nicht automatisch gelöscht werden. Schau Dir
mal die Optionen zur Alterung und zum Aufräumen an.


Dazu mußt Du die entsprechende Zone anlegen, was bedeutet, daß Du alle
Server der entsprechenden Zone eintragen mußt. Viel wichtiger ist aber die
Frage nach dem Warum? Warum willst Du das machen? Wäre eventuell
conditional forwarding oder die Konfiguration als Secondary für die Zone
bei Deinem Problem die bessere Lösung?


In einer guten Frage steckt die halbe Antwort. Vielleicht brauchst Du
einmal ein gutes Buch über DNS?

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: Frage zu DNS

von Robert Gerster » Montag, 2. Januar 2006



Hallo Daniel.


Das erklärt schon einiges. D. h., wenn er selbst bei sich in der
Netzwerkkonfiguration drin steht und weiss es nicht, dann wird er auch
keinen weiteren der da eingetragen ist fragen. Nur den der in der
Weiterleitung drin steht.


Da konnten die Finger nicht dem Gedanken folgen. Welchen Sinn macht es einen
DNS-Server in der eigenen Netzwerkkonfiguration als DNS-Server einzutragen.
Er weiss doch selbst am besten das er einer ist.


Z. B. Clients die es nicht mehr gibt, Rechnernamen die einmal ohne und
einmal mit Domainerweiterung drin stehen, IP-Adressen die sich geändert
haben, in den Zonen und natürlich auch zwischen den Zonen.

Konfiguration. Zwei Domaincontroller mit DNS und DHCP. Windows 2000. Jetzt
kam noch ein dritter dazu. Forwar- und Reverse-Lookupzone.


Habe ich mir schon angesehen. Mangels Erfahrungswerte bisher nicht
aktiviert. Einfach die 7 Tage übernehmen? Warum ist das eigentlich von Haus
nicht aktiviert.


Mir den Umweg über die IP sparen.

Mit conditional forwarding, darüber ist auch en Deinem Webcast die Rede, und
die Konfiguration als Secpndary, kenne ich micht gar nicht aus.


Eventuell. Momentan lese ich eh schon sehr viel, leider beantwortet Bücher
nicht unbedingt immer die eigenen/speziellen/praktischen Fragen und mit
allem was ich lese kommen neue Fragen hoch.

Danke Robert






Re: Frage zu DNS

von Frank Röder » Montag, 2. Januar 2006







So ist es. Eine Stolperfalle für viele ist auch, dass wenn der
Weiterleitungsserver diese Anfrage nicht auflösen kann und deinem Server
ein "Nö, kenne ich nicht" zurückgibt, dein Server sich diese Antwort
merkt und nicht erneut nachfragt. Hier hilft nur ein "ipconfig
/flushdns" um das Gedächtnis zu löschen.



Nein, das weiss er nicht. Die eine Komponente ist der DNS Server und die
Andere der DNS Client.


Eventuell könnten die Probleme auch vom DHCP kommen. Ist der DHCP
Bereich über beide Server gesplittet? Wenn Du AD-Integrierte Zonen
einsetzt die gesicherte Aktualisierungen aktiviert haben gibt es
Probleme mit den DHCP Servern die DNS Einträge aktualisieren. Hier
müsstest Du die DHCP Server in die Gruppe DNS-UpdateProxy aufnehmen.
Dies ist aber auch ein Sicherheitsrisiko da ja scheinbar die DHCP Server
auch DCs sind die unter w2k laufen.



Weil es AFAIK nicht RFC konform ist. Die sieben Tage sind OK. Das kommt
aber auch darauf an, wie z.B. die Leasedauer des DHCPs konfiguriert ist.



Du kannst den Clients per DHCP ein "Primäres DNS Suffix" verpassen, dann
registrieren die sich auch artig in der entsprechenden DNS Zone.


Die Bücher und die Beiträge in den Webcasts / Technet sind aber supi um
Grundlagen zu legen. Du bist eventuell etwas zu ungeduldig und willst
alles sofort verstehen. Glaube mir, wenn Du die Grundlagen verstehst
dann fragt es sich einfacher und es fügt sich dann auch alles mehr und
mehr zu einem Ganzen zusammen.


--
Viele Grüße

Frank Röder
"Ex oriente lux"



Re: Frage zu DNS

von Denis Jedig » Montag, 2. Januar 2006







Die RFCs machen wenig Vorgaben zu dem, was mit den Einträgen in einer Zone
passiert - lediglich, wie eine Zone strukturiert ist oder wie die
entsprechenden Protokolle zu sein haben. Ich würde eher darauf tippen, dass
dies schlicht deshalb default ist, weil Löschen "böse" ist.

--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/



Re: Frage zu DNS

von Daniel Melanchthon [MSFT] » Montag, 2. Januar 2006







Kleine Anmerkung: Positive Caching erfolgt für 86400 Sekunden, negatives
Caching für nur 300 Sekunden. Nach 5 Minuten ist der Eintrag wieder raus
und kein "ipconfig /flushdns" mehr notwendig:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/tcpip03.mspx


So absolut würde ich das nicht sagen. Bei Windows 2003 ist ein eigener
Useraccount als DNS-Updateaccount viel sinnvoller:

http://groups.google.com/group/microsoft.public.de.german.win2000.dns/browse_frm/thread/c67fd310f87cb202/9e62dc0797847444 #9e62dc0797847444


Jupp. Da wäre es dann besser, nur einen aktiven DHCP zu nutzen oder die
Clients das Updaten durchführen zu lassen (vorausgesetzt die können das auch).


In den RFCs steht dazu imho nichts. Allerdings ist bei allen mir bekannten
DNS-Servern üblich, daß der Administrator die DNS-Zonen pflegt und es
keinen aktiven automatischen Aufräummechanismus gibt.

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: Frage zu DNS

von Daniel Melanchthon [MSFT] » Montag, 2. Januar 2006






DNS ist so angelegt, daß Du nicht mehr mit lokalen HOSTS-Dateien arbeiten
mußt. Aufgrund der Namenshierarchie findet der DNS-Server offizielle
DNS-Namen ganz allein (über die Root-Server oder einen Forwarder).


Wenn es sich allerdings um private DNS-Namensräume auf anderen Servern
handelt, dann ist es am einfachsten, dem DNS-Server zu sagen: Für alle
Rechner mit dem Domainsuffix <domain>.<tld> frage den DNS-Server
xxx.xxx.xxx.xxx und für alles andere den Server yyy.yyy.yyy.yyy. Das ist
conditional forwarding.


Dann mußt DU die Fragen präziser formulieren. Je präziser, umso genauer
wird Dir manchmal auch das Problem klar und die Lösung kommt oift von
allein. Ansonsten ist hier genug Platz für gute Fragen.

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: Frage zu DNS

von Frank Röder » Montag, 2. Januar 2006







Das ist mir durchaus bekannt, aber der OP schreibt etwas von zwei 2000er
DCs und einem weiteren DC der hinzugekommen ist ob das nun ein 2003er
hat er nicht gesagt.

Zitat:

*******************************************************************
Konfiguration. Zwei Domaincontroller mit DNS und DHCP. Windows 2000. Jetzt
kam noch ein dritter dazu. Forwar- und Reverse-Lookupzone.
*******************************************************************


Wobei ich das weniger dramatisch in einem internen LAN sehe, da die
Clients und Server ja eh in periodischen Abständen ihre DNS
Registrierungen updaten und somit die Einträge nicht entfernt werden.
Ich denke der Aufräumintervall von 7 Tagen ist OK.


--
Viele Grüße

Frank Röder
"Ex oriente lux"



Re: Frage zu DNS

von Daniel Melanchthon [MSFT] » Montag, 2. Januar 2006






Aufgrund der Sicherheitsproblematik dieser Update-Gruppe habe ich explizit
darauf nochmal hingewiesen. In meinem Absatz darunter gehe ich dann ja auch
auf Windows 2000 und Deinen Vorschlag noch mal ein.

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: Frage zu DNS

von Robert Gerster » Freitag, 6. Januar 2006



Hallo.



Sorry das die Antwort etwas auf sich warten lies, hatte ziemlich viel zutun
die letzen beiden Tage. Danke für die ausführlichen Antworten.




Konnte ich schon wieder gut gebrauchen.




Ok, dann macht es Sinn.



Nein, alle haben den selben Bereich (192.x.x.x) die eine noch 10.x.x.x.
DHCP, DNS und DC auf jeweils einer Maschine. Davon gibt es drei. Zwei in
einem Netz. Die Dritte im anderen per VPN verbunden.



Ich dachte immer das sei die beste Konfiguration? Was wird da besser wenn
die DHCP DNS-Update Proxy sind? Wo genau liegt das Sicherheitsrisiko? Die
Maschinen laufen doch nur im lokalen LAN. OK Router ist vorhanden.


Die Leasdauer nist 8 Tage.



Die betreffenden Maschinen sind alle samt Server mit festen IPs, kein
Domainmitglied oder -kontroller und nur sporadisch per VPN angebunden.. Aber
wenn ich z. B. irgendetwas von dem Server "brauche", Drucker oder ein
Netzdrive mappe, dann geht es eben mit dem NAmen schöner. NAchteile habe ich
noch keine festgestellt. Wenn man das in die Hosts einträgt, muss man es bei
allen Rechnern und es wird gerne vergessen und dann gehtdie Sucherei los
wenn was nicht klappt.



Ein gutes Buch so wie so. Nur weiss ich nicht was ich noch alles machen
soll.




So so, ich bin ungeduldig. Merkt man das? Und verstehen wollte ich schon
immer alles und am besten gleich. Ich habe eben hier Dinge einzurichten,
Problem zulösen und möchte keine Fehler machen.








Werde ich mir mal ansehen.





Im Grunde könnte man auf mindestens einen verzichten. Das ist richtig.



Ist ja kein Problem. Kann ich auch weiter so machen.






OK. Danke.





Ich werde mein Möglichstes versuchen.






OB kenne ich. Aber was ist ein OP. Das ich gemeint bin ist klar.



Danke. Robert



PS: Ganz schön langer Post. Machen wir gerade Tofu?








If you have any questions, you can contact us: admin#mofeel.net     Spam Report