Active Directory DNS

Hallo,
folgendes Szenario es bestehen 2 Active Dirrctory domänencontroller (Primary/Secondary), die darin eingerichtet Domäne in der Organisation nennt sich „BSP-DOM.firma.net“ nun habe ich über meinen Domain Registrar die Domain „Firma.net“ registriert. Nun die Frage, kann ich die neu registrierte Domain über die Windows AD DNS Server verwalten und diese dann bei meinem Registrar als Authorative DNS Server hinterlegen? Wenn ja wie muss ich da vorgehen, die Winserver stehen hinter einer Opnsense und es ist möglich per 1:1 NAT eine öffentliche IP drauf zu Routen.
 

Whistler

Blog Benutzer
Ja klar kann man das.
Du trägst einfach beim Registrar von "firma.net" folgendes ein:
Code:
BSP-DOM.firma.net. IN NS {öffentliche IP deines AD-Controllers}
Damit werden alle Hostnamen extern darüber aufgelöst.

Problem könnte höchstens sein, daß Du nur eine IP hast und die unterschiedlichen Server (AD-Controller, Fileserver etc.) hinter einer IP maskiert werden müssen. Viele verwendete Pprotokolle (LDAP, Kerberos, CIFS) unterstützen das leider wesentlich schlechter als z.B. HTTP.

Schöner wäre es übrigens, die SRV-Records für die unbedingt benötigten Dienste (siehe oben) direkt beim Provider zu hinterlegen, falls er das unterstützt.
 
Ich kann jedem AD Controller über 1:1NAT eine öffentliche IP geben. Also muss ich bei Hetzner bei der Domain als Primary und Secondary nur meine AD Server eintragen? Was meinst du mit den SRV Records? Dadurch das ich die DNS Server ja selber betreibe muss ich doch keine eintragen?
 

Whistler

Blog Benutzer
Bei Microsoft gibt es endlos Dokumentation zum Thema DNS, z.B. hier.
Du brauchst Records wie
Code:
_kerberos._tcp.{Standardname-des-ersten-Standorts}._sites.BSP-DOM.firma.net.
aber sicherlich nicht alle, die Microsoft auflistet.
 

danton

Debian User
Bedenke, dass du durch diese Massnahme auch die kompletten intern im DNS registrierten Geräte in deiner AD-Domäne damit ggfl. öffentlich zugänglich machst. Außerdem solltest du zumindest noch irgendwo im Internet einen sekundären Nameserver für firma.net haben, denn was bringen dir zwei DNS-Server im FIrmen-LAN, wenn die Internet-Verbindung mal zusammenbricht oder deine Opensense ausfällt. Dann wäre keine Namensauflösung für firma.net mehr möglich und somit auch ggfl. vorhandene Systeme, die nicht im Firmen-LAN stehen, sondern z.B. bei Hetzner.
 
Ok, die AD Server stehen schon mal an zwei Standorten. Dann werde ich die Domain wohl extern auf den Hetzner DNS Servern hosten und die MX Einträge für Exchange auf diesen setzen
 
Top