ubuntuusers.de

Hallo Leute,

ich hätte da mal wieder eine spezielle Frage: Wir haben bisher leider nur 1x DC in unserer Domäne und dieser ist uralt (W2K3). Jetzt kommt ein 2. Dazu und zuerst wird der erste auf W2K16 migriert. Das alles will ich gerade in meinem virutellen Netzwerk testen bevor es wirklich losgeht.

So, jetzt haben wir uns ja vor einiger Zeit dafür entschieden auf ein Bind9-Server als DNS-Server zu setzen und auf ein isc-dhcp-server als DHCP-Server ebenfalls. Letzter aktualisiert per ddns-update den DNS-Server. Und hier kommt nun meine Frage: Ein AD DC behauptet immer er solle unbedingt der DNS-Server in einer Domäne sein. Bisher hat es auch ohne diesen funktioniert da ich alle Dienst-Namensauflösungen im Bind übertragen habe (per Zonentransfer Master → Slave und danach den Slave zum Master gemacht und den vorherigen Master abgestellt).

Wenn ich aber nun einen weiteren AD DC-Server aufnehme, dann weiß ja der Bind9 nichts davon! Wenn sich der 1. DC nun auf den 2. DC repliziert, dann muss doch laut meinen Verständnis nach das Netzwerk davon informiert werden so daß die Clients vom 'neuen DC' auch wissen, richtig? Geschieht dies nicht per DNS-Server? Wenn ja, dann habe ich doch nun ein Problem, richtig?

Ich bin sicherlich nicht der Einzige der auf Bind9 als DNS-Server setzt. Sicherlich auch nicht der Einzige der dies in einer Windows-Domäne macht. Dafür bin ich sicherlich der Einzige der dies bisher mit nur einem DC gemacht hat (weil dies falsch und total abweichend von der Domänen-Lehre ist).

Kann mir jemand hier erklären wie das nun ist einen weiteren DC in die Domäne aufzunehmen in Verbindung mit dem Bind9-DNS?

NixBlix schrieb:

Ein AD DC behauptet immer er solle unbedingt der DNS-Server in einer Domäne sein. Bisher hat es auch ohne diesen funktioniert da ich alle Dienst-Namensauflösungen im Bind übertragen habe (per Zonentransfer Master → Slave und danach den Slave zum Master gemacht und den vorherigen Master abgestellt).

Sinnvoll ist es, wenn man den bind als Nameserver für die gesamte Zone betreibt, und die AD-Server für eine Subzone verantwortlich macht, beispielsweise ad.example.org oder ad.firma.local. Mit so einem Setup hatten wir bisher die wenigsten Probleme. Prinzipiell sollte es aber auch möglich sein, bind9 alles bedienen zu lassen.

Wenn ich aber nun einen weiteren AD DC-Server aufnehme, dann weiß ja der Bind9 nichts davon! Wenn sich der 1. DC nun auf den 2. DC repliziert, dann muss doch laut meinen Verständnis nach das Netzwerk davon informiert werden so daß die Clients vom 'neuen DC' auch wissen, richtig? Geschieht dies nicht per DNS-Server? Wenn ja, dann habe ich doch nun ein Problem, richtig?

Warum solltest du ein Problem haben? Du lässt den Bind den Name deiner Domäne einfach auf beide IPs der DCs auflösen.

@misterunknown

Warum solltest du ein Problem haben? Du lässt den Bind den Name deiner Domäne einfach auf beide IPs der DCs auflösen.

Der der AD keine Einträge in bind9 machen kann (habe ich zumindest nicht so eingerichtet) sondern nur der DHCP-Server (isc-dhcp-server), muss dies wohl ich manuell erledigen, richtig? Nehme ich jeden Eintrag der auf meinen jetzigen DC verweist und dupliziere diesen und ändere lediglich das Ziel auf den neuen DC? Reicht das so aus?

NixBlix schrieb:

Der der AD keine Einträge in bind9 machen kann (habe ich zumindest nicht so eingerichtet) sondern nur der DHCP-Server (isc-dhcp-server), muss dies wohl ich manuell erledigen, richtig?

Stimmt, aber da die DCs ja sowieso feste IPs haben sollten, ist das ok. Du hast dann eben für deine Domain zwei A-Records. So setzen wir das zumindest um.

Nehme ich jeden Eintrag der auf meinen jetzigen DC verweist und dupliziere diesen und ändere lediglich das Ziel auf den neuen DC?

Der Eintrag für die AD-Domain muss eben auf beide Server zeigen. Ich verstehe nicht ganz, was du mit "jeden Eintrag" meinst...

misterunknown schrieb:

Nehme ich jeden Eintrag der auf meinen jetzigen DC verweist und dupliziere diesen und ändere lediglich das Ziel auf den neuen DC?

Der Eintrag für die AD-Domain muss eben auf beide Server zeigen. Ich verstehe nicht ganz, was du mit "jeden Eintrag" meinst...

Naja, es gibt z.B. eine Menge an

__ldap.First-Site-irgendwas.dc._msdc.blabla    A 192.168.0.5
__kerberos.firmenname.domain    A 192.168.0.5
# usw..
# und natürlich die FQDN-Auflösung zum Server selber:
server-dc                 A 192.168.0.5

(DC-Server wäre in diesem Beispiel der 192.168.0.5)

Ich gehe mal davon aus daß die Einträge beginnend mit '_' die AD-Einträge zur Auflösung von Diensten in der Domäne wie LDAP usw. sind. Wenn ich jetzt jeden Einzelnen manuell dupliziere und lediglich die IP des neuen Servers ersetzte, dürfte dies ausreichend sein?

__ldap.First-Site-irgendwas.dc._msdc.blabla    A 192.168.0.5
__ldap.First-Site-irgendwas.dc._msdc.blabla    A 192.168.0.8

__kerberos.firmenname.domain    A 192.168.0.5
__kerberos.firmenname.domain    A 192.168.0.8

# usw..

server-dc                 A 192.168.0.5
server-dc1                A 192.168.0.8

Das meinte ich mit 'ich dupliziere jeden eintrag der zum aktuellen DC gehört und setze lediglich die Adresse des neuen DCs rein. Sollte dies ausreichend sein? Oder wie macht dies der MS-DC-DNS-Server?

NixBlix schrieb:

Naja, es gibt z.B. eine Menge an

__ldap.First-Site-irgendwas.dc._msdc.blabla    A 192.168.0.5
__kerberos.firmenname.domain    A 192.168.0.5
# usw..
# und natürlich die FQDN-Auflösung zum Server selber:
server-dc                 A 192.168.0.5

Also da würde ich gleich mal auf CNAMEs umstellen^^ Dafür sind die ja da. Also alles per CNAME auf server-dc zeigen lassen, und dort einen zweiten A-Record mit der neuen IP eintragen.

misterunknown schrieb:

Also da würde ich gleich mal auf CNAMEs umstellen^^ Dafür sind die ja da. Also alles per CNAME auf server-dc zeigen lassen, und dort einen zweiten A-Record mit der neuen IP eintragen.

Wie du vielleicht bemerkt hast: ich bin da noch nicht so fit... Also CNames kann ich mir als Platzhalter vorstellen auf den alles verweist und an anderer Stelle in der gleichen Zonen-Datei lege ich dann lediglich fest auf welche IP-Adresse dieser CNAME verweist? Und das kann ich dann gleich doppelt machen damit auch der 2. DC darauf verweist? Das hört sich echt gut an. Muss ich mich gleich mal einlesen.

Das wäre ja eigentlich die gleiche Vorgehensweise wie ich dies vermutet hatte ausser daß ich mir die Arbeit verkürzen kann indem ich das alles mit CNAME 'zentralisiere'...

Wieso hat der MS-DNS-Server eigentlich nicht diese CNAMES verwendet? Das was ich in meinen Zonendateien habe, ist ja vom MS-DNS auf Bind genau so transferiert worden? Das frage ich nur aus Interesse, das mit den CNAMES hört sich jedenfalls sehr gut an!

NixBlix schrieb:

Also CNames kann ich mir als Platzhalter vorstellen auf den alles verweist und an anderer Stelle in der gleichen Zonen-Datei lege ich dann lediglich fest auf welche IP-Adresse dieser CNAME verweist?

Richtig.

Und das kann ich dann gleich doppelt machen damit auch der 2. DC darauf verweist? Das hört sich echt gut an. Muss ich mich gleich mal einlesen.

Ich würde das in der Art machen:

__ldap.First-Site-irgendwas.dc._msdc.blabla  IN  CNAME  server-dc
__ldap.First-Site-irgendwas.dc._msdc.blabla  IN  CNAME  server-dc
...
server-dc                                    IN  A      1.2.3.4
server-dc                                    IN  A      1.2.3.5

Wieso hat der MS-DNS-Server eigentlich nicht diese CNAMES verwendet? Das was ich in meinen Zonendateien habe, ist ja vom MS-DNS auf Bind genau so transferiert worden?

Keine Ahnung. Wir lassen die DCs immer für ihre Sub-Zone autoritative Nameserver spielen, das heißt der Bind-Verbund ist für example.org zuständig, und ad.example.org wird von den DCs bedient.