Hallo,
ich benötige mal etwas Unterstützung bei der Konfiguration des DNS.
Ausgangssituation:
Jede Firma hat ihre eigene Domäne (firma1.com, firma2.com) und jeweils einen Windows Server mit eigenem AD und aktivierten DNS-Server. Der LC stellt einen gemeinsam benutzten Internetzugang, sowie DHCP und DNS bereit. Der DNS-Server am Windows-Server ist erstmal für die eigene Domäne zuständig, falls er nicht auflösen kann leitet er an den LC weiter. Dieser soll zuerst prüfen, ob er die Adresse kennt (netbios, DHCP, DNS) und ggf. an den DNS des Providers weiterleiten.
Somit soll erreicht werden, dass stat. DNS-Einträge bequem am LC für alle Domänen möglich sind, der DNS des Windows Servers alle Besonderheiten für das AD bereitstellt, den DNS vom LC aber als übergeordneten DNS betrachtet.
Meine Fragen lauten nun:
Wie verwalte ich 2 Domänennamen am LC? Soll ich hierfür 2 IP-Netzwerke anlegen, damit ich jedem Netzwerk dann eine eigene Subdomän zuweisen kann?
Und was gebe ich dann beim DNS-Server unter "eigene Domäne" ein? Nichts, damit nacher nur die Endungen der Subdomäne (firma1.com, firma2.com) verwendet werden? Aber welche Endung bekommt dann der LC, oder muss ich den dann "full qualified" (lancom.firma1.com) anlegen?
Wie konfiguriere ich den DNS am Server? Als Weiterleitung die Adresse des LC? Ev. auch einen statischen Host-Eintrag für den LC in der forward-zone? Doch wie bringe ich den DNS dazu, dass er eine Adresse aus der eigenen Domäne, welche er nicht kennt trotzdem beim übergeordneten DNS (LC) nachfrägt? Muss der LC dazu als Autoritätsursprung (SOA) in der forward-zone eingetragen werden?
Wie sieht es mit dem DHCP-Pool aus? Ich möchte möglichst nur ein Subnet am Standort haben, d.h. die beiden IP-Netze beziehen sich auf das selbe Subnet. Kann ich nun eine identische DHCP-Range in jedem IP-Netzwerk haben, oder teile ich die Gesamtrange besser auf? Oder müssen die IP-Netzwerke in jedem Fall verschiedene subnets sein?
Welche DNS-Server lasse ich über DHCP verteilen? Den DNS vom Server oder vom LC? Funktioniert die Weiterleitung an den Provider-DNS noch, wenn ich per DHCP explizite DNS-Server verteilen lasse?
So hoffentlich kann mir jemand ein paar Tipps geben, da ich mich zur Zeit etwas im Kreis drehe.
Schon mal vielen Dank im voraus!
ML
DNS-Konfiguration für mehrere Firmen
Moderator: Lancom-Systems Moderatoren
mit active directory muss der windows server der dns server für die clients sein. naja, muss wahrscheinlich nicht, aber es ist dringend anzuraten das dieser es ist. des weiteren muss der dhcp server für die clients der windows server sein.
den dns server des windows server kannst du alle externen anfragen an das gateway lancom weiterleiten lassen, bei dort aktiviertem dns server.
der lancom sollte in dieser konstellation am besten garkein dhcp machen. oder nur eine notfall-range falls der ganze rest ausfällt mit sehr kurzer gültigkeit. mit der option bei anfragen auf die eigene domäne nicht mit seiner IP zu beantworten. oder am besten nur eine interne lancom domain setzen und den lancom nicht einer AD domain zuordnen. der dns server des lancom sollte per dhcp überhaupt nicht genannt werden.
für AD ist es wichtig das der domain controller die netzwerkseitige kontrolle über die clients hat. d.h. dhcp, dns - netbios und wins macht er sich daraus. wird das unterlaufen, so kann es lustige probleme geben. domain admins an solchen clients z.b. merken das schnell.
die dns weiterleitung geht client -> AD server -> lancom. aber es ist oft auch so das man den dns server auf dem AD server direkt an den gewünschten dns forwarden lässt und sich den hop mit dem 2. dns server spart, z.b. opendns.com oder so.
ich denke das mit den statischen dns namen kann losgelöst von AD funktionieren.
den dns server des windows server kannst du alle externen anfragen an das gateway lancom weiterleiten lassen, bei dort aktiviertem dns server.
der lancom sollte in dieser konstellation am besten garkein dhcp machen. oder nur eine notfall-range falls der ganze rest ausfällt mit sehr kurzer gültigkeit. mit der option bei anfragen auf die eigene domäne nicht mit seiner IP zu beantworten. oder am besten nur eine interne lancom domain setzen und den lancom nicht einer AD domain zuordnen. der dns server des lancom sollte per dhcp überhaupt nicht genannt werden.
für AD ist es wichtig das der domain controller die netzwerkseitige kontrolle über die clients hat. d.h. dhcp, dns - netbios und wins macht er sich daraus. wird das unterlaufen, so kann es lustige probleme geben. domain admins an solchen clients z.b. merken das schnell.
die dns weiterleitung geht client -> AD server -> lancom. aber es ist oft auch so das man den dns server auf dem AD server direkt an den gewünschten dns forwarden lässt und sich den hop mit dem 2. dns server spart, z.b. opendns.com oder so.
ich denke das mit den statischen dns namen kann losgelöst von AD funktionieren.
Also aus meiner Sicht sollten sich alle Anforderungen mit Hilfe der DNS Weiterleitungstabelle lösen lassen. Das heisst, Du sorgst dafür das alle Clients den Lancom als DNS Server nutzen und machst dann enstprechende Einträge unter tcp/ip -> DNS -> Weiterleitungen in etwa wie folgt:
domain1.local -> adresse des Servers für domain1
*.domain1.local -> ebenfalls adresse des Servers für domain1
domain2.local -> adresse des Servers für domain2
*.domain2.local -> ebenfalls adresse des Servers für domain2
und so weiter. Damit errichst Du das der Lancom alle Abfragen für die jeweilige Domain an den richtigen Windows Server weiterleitet und alle anderen Namensauflösungen (Internet) an die DNS des Providers bzw. die die Du halt sonst im Lancom verwendest.
domain1.local -> adresse des Servers für domain1
*.domain1.local -> ebenfalls adresse des Servers für domain1
domain2.local -> adresse des Servers für domain2
*.domain2.local -> ebenfalls adresse des Servers für domain2
und so weiter. Damit errichst Du das der Lancom alle Abfragen für die jeweilige Domain an den richtigen Windows Server weiterleitet und alle anderen Namensauflösungen (Internet) an die DNS des Providers bzw. die die Du halt sonst im Lancom verwendest.
Liebe Grüße,
michael
michael
Hi ML
Auch aus Gründen der Sicherheit sind verschieden Netze - die auch physikalisch getrennt sind (d.h. an verschiedenen LAN-Ports hängen) - für die zwei Firmen vorzuziehen, denn sonst kann jeder aus Firma 2 die Daten von Firma 1 mitlesen.
Gruß
Backslash
genauWie verwalte ich 2 Domänennamen am LC? Soll ich hierfür 2 IP-Netzwerke anlegen, damit ich jedem Netzwerk dann eine eigene Subdomän zuweisen kann?
genauUnd was gebe ich dann beim DNS-Server unter "eigene Domäne" ein? Nichts, damit nacher nur die Endungen der Subdomäne (firma1.com, firma2.com) verwendet werden?
der LC ist mit seinem Gerätenamen unter allen Subdomains erreichbar, d.h. du nennst es nur "lancom" und kannst es dann sowohl unter "lancom.firma1.com" als auch "lancom.firma2.com" erreichen - solange die Firmennetze sich untereinander sehen dürfen. Falls die Firmennetze über Interface-Tags voneinander getrennt sind, kannst du das LANCOM nur unter der Adresse erreichen die zum Netz des anfragenden gehört, also Firma 1 sieht nur "lancom.firma1.com" und Firma 2 nur "lancom.firma2.com"Aber welche Endung bekommt dann der LC, oder muss ich den dann "full qualified" (lancom.firma1.com) anlegen?
Sinnvollerweise nimmst du für beide Netze unterschiedliche Subnetze... Das LANCOM kann zwar mit "gleichnamigen" Netzen umgehen, solange nur ausgehender Traffic vorhandenn ist, aber sobald du ein Portforwarding machen willst, müssen die Netze eh getrennt werden.Wie sieht es mit dem DHCP-Pool aus? Ich möchte möglichst nur ein Subnet am Standort haben, d.h. die beiden IP-Netze beziehen sich auf das selbe Subnet. Kann ich nun eine identische DHCP-Range in jedem IP-Netzwerk haben, oder teile ich die Gesamtrange besser auf? Oder müssen die IP-Netzwerke in jedem Fall verschiedene subnets sein?
Auch aus Gründen der Sicherheit sind verschieden Netze - die auch physikalisch getrennt sind (d.h. an verschiedenen LAN-Ports hängen) - für die zwei Firmen vorzuziehen, denn sonst kann jeder aus Firma 2 die Daten von Firma 1 mitlesen.
Du weist den für die jeweilige Firma zustängen Windows-DNS-Server zu.Welche DNS-Server lasse ich über DHCP verteilen? Den DNS vom Server oder vom LC?
Solange du den Windows-DNS-Servern das LANCOM als übergeordneten DNS-Server zuweist: jaFunktioniert die Weiterleitung an den Provider-DNS noch, wenn ich per DHCP explizite DNS-Server verteilen lasse?
Gruß
Backslash
Erstmal vielen Dank für all die Tipps.
@Backslash:
Einige Fragen habe ich zu Deinen Ausführungen noch:
Wo sollte der DHCP-Server laufen: Am LC oder besser am Server?
Wie sieht es mit den Außenstellen aus, die keinen Server haben? Bisher habe ich dort DNS und DHCP über den LC laufen, damit auch bei Störung der VPN-Verbindung noch ein Betrieb möglich ist. Die LC´s in den Außenstellen haben einen frei definierten Domännamen und (natürlich) ein eigenes subnet. Sollte besser der Domänname der Zentrale verwendet werden? Und kann DHCP und DNS in der Außenstelle vom LC gemacht werden?
Der DNS des Windows Servers sieht sich als Autorität für die eigene Domäne. Wenn er aber den Host nicht kennt (weil dieser z.B. über den LC statisch eingetragen wurde oder von einem LC der Außenstellen kommt), wie kommt der DNS des Servers dann darauf beim DNS von LC nachzufragen? Frägt er unbekannte Hosts der eigenen Domäne überhaupt bei einem übergeordneten DNS nach?
Danke für alle Hinweise!
ML
@Backslash:
Einige Fragen habe ich zu Deinen Ausführungen noch:
Wo sollte der DHCP-Server laufen: Am LC oder besser am Server?
Wie sieht es mit den Außenstellen aus, die keinen Server haben? Bisher habe ich dort DNS und DHCP über den LC laufen, damit auch bei Störung der VPN-Verbindung noch ein Betrieb möglich ist. Die LC´s in den Außenstellen haben einen frei definierten Domännamen und (natürlich) ein eigenes subnet. Sollte besser der Domänname der Zentrale verwendet werden? Und kann DHCP und DNS in der Außenstelle vom LC gemacht werden?
Der DNS des Windows Servers sieht sich als Autorität für die eigene Domäne. Wenn er aber den Host nicht kennt (weil dieser z.B. über den LC statisch eingetragen wurde oder von einem LC der Außenstellen kommt), wie kommt der DNS des Servers dann darauf beim DNS von LC nachzufragen? Frägt er unbekannte Hosts der eigenen Domäne überhaupt bei einem übergeordneten DNS nach?
Danke für alle Hinweise!
ML
Hi ML
Gruß
Backslash
Das ist eigentlich egal. Wenn der DNS-Server auf dem LANCOM läuft, dann kennt er auch alle Hosts, die sich ihre IP-Adresse per DHCP vom LANCOM holen.Wo sollte der DHCP-Server laufen: Am LC oder besser am Server?
Sinnvollerweise sollte sich eine räumliche Trennung auch im Domänennamen wiederspiegeln. Denn nur wenn die Filialen unterschiedliche Domänen haben, kann man DNS-Anfragen auch gezielt weiterleitenDie LC´s in den Außenstellen haben einen frei definierten Domännamen und (natürlich) ein eigenes subnet. Sollte besser der Domänname der Zentrale verwendet werden?
könnte schon, dennoch ist es m.E. sinnvoller das System verteilt zu lassenUnd kann DHCP und DNS in der Außenstelle vom LC gemacht werden?
du müßtest ihn schon so konfigureieren, daß er ggf. Anfragen an unbekannte Hosts aus seiner eigenen Domain an das LANCOM weiterleitet. Wie das beim Windows-Server geht, kann ich dir allerdings nicht sagen. Wenn du hingegen deinen Rechnern den DNS-Server des LANCOMs zuweist, dann brauchst du nur einen Eintrag in der Weiterleitungstabelle für die eigene Domain (z.B. *.intern) zu machen und schon schickt das LANCOM nicht auflösbare Anfragen an den Windows-Server weiter. Als Weiterleitungsziel können nicht nur WAN-Gegenstellen, sondern auch IP-Adressen eingegeben werden.Der DNS des Windows Servers sieht sich als Autorität für die eigene Domäne. Wenn er aber den Host nicht kennt (weil dieser z.B. über den LC statisch eingetragen wurde oder von einem LC der Außenstellen kommt), wie kommt der DNS des Servers dann darauf beim DNS von LC nachzufragen? Frägt er unbekannte Hosts der eigenen Domäne überhaupt bei einem übergeordneten DNS nach?
Gruß
Backslash