none
Wer liegt falsch BPA oder ich? - DNS Server im Einserver LAN RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    evtl. ist es ein Warmup dieses Betrags

    http://social.technet.microsoft.com/Forums/de-DE/72114b87-6dfd-4e40-a05c-6b6e80686019/bpa-dnsserver-fehler-loopbackadresse-nicht-oder-als-erster-eintrag-konfiguriert?forum=windows_Serverde

    trotzdem wäre für mich eine Klärung aus wirklich wissendem Munde wichtig.

    Glaubt man obigen Beitrag liegt der BPA falsch. Da es sich bei mir um W2012 R2 handelt würde ich trotzdem die Frage nochmals aufwärmen um es mal für mich (und evtl. andere) definitiv zu klären.

    Es geht um einen Windows 2012 R2 mit Essent. Role - dieser Server ist der einzige im Netzwerk, es ist DC/ADC, DNS, DHCP und Dateiserver. Im Netzwerk hängen nur Clienten W7/W8 PCs, ein paar interne LAN Drucker und ein Router (Marke LANCOM) für den Internetzugang.

    Der Server hat nur eine LAN Karte (zumindest logisch nur eine aktiviert). Diese LAN Karte hat folgende Einstellungen:

    IP Adresse: 192.168.100.1 (also der Server selbst)
    Maske: 255.255.255.0
    Gateway: 192.168.100.254 (LANCOM Router)

    DNS 1: 192.168.100.1 (der Server selbst)
    DNS 2: 127.0.0.1 (Loopback)

    keine weiteren DNS Server

    Wäre diese Einstellung das optimal oder nur suboptimal?

    Lt. BPA für DNS sollte die Loopback nicht an erster Stelle stehen - OK. Aber die 192.168.100.1 ist ja quasi auch ein Loopback auf sich selbst. Daher meckert (vermutlich) der BPA quasi jede Variante an. Egal ob die 127.0.0.1 an 1. Stelle steht oder nicht.

    2. Frage:
    Der LANCOM Router hat und kann auch DNS ist aber nicht AD integriert. In wieweit macht es Sinn den LANCOM als zweiten DNS bei der LAN Karte im Server zu hinterlegen? Aus meiner Sicht machte es keinen, da der LANCOM eh nur extern sieht und intern weder Server noch Clienten auflöst und auch nicht mit dem AD integrierten DNS synchronisiert.

    Wer könnte mir mit einem "wahren" Best Practices helfen?

    Danke und liebe Grüße Oliver Richter

    Donnerstag, 4. September 2014 07:56
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Am 04.09.2014 um 09:56 schrieb "Oliver Richter":

    Der LANCOM Router hat und kann auch DNS ist aber nicht AD integriert.

    ... und deswegen kann er das nicht :-)
    Nein, der Grund ist: Der DNS muss die SRV Records des AD kennen, diese Funktion ist bei dem meisten Routern nicht integriert. Die machen nur "externe Namensauflösung", haben aber keine eigene interne Zone, die sie verwalten und in der man die SRV Records eintrgagen könnte.

    Der Lancom kann als Forwarder im DNS genutzt werden, oder dein AD DNS fragt direkt den DNS deines ISP.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 4. September 2014 08:07
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hi Oliver,

    Best Practice wäre, einen zweiten DC zu installieren und den dann als sekundären DNS zu verwenden, dann sollte der BPA auch nicht meckern. Dem geht es wahrscheinlich primär darum, dass Du nur einen DC hast und im Fehlerfall die gesamte Domäne ausfällt.

    ich verstehe aber durchaus, dass man nicht immer einen zweiten Seever bereitstellen kann... ;-)

    Gruß
    Ben
    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 4. September 2014 09:09
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Am 04.09.2014 um 11:09 schrieb Ben-neB:

    ich verstehe aber durchaus, dass man nicht immer einen zweiten Seever bereitstellen kann... ;-)

    Hemmmungslos als VM auf dem DC selber oder auf einem Win8 Client ... !?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 4. September 2014 09:12
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Deswegen ja die Konjunktive - es wäre am Besten, ist aber nicht in jedem Szenario realisierbar (könnte ja beispielsweise im einfachsten Fall über einen Extra-PC gelöst werden, Du glaubst nicht, was ich alles schon für wirre Konstruktionen gesehen habe... :-)

    Gruß
    Ben
    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 4. September 2014 09:49
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Am 04.09.2014 um 11:12 schrieb "Mark Heitbrink [MVP]":
    > Hemmmungslos als VM auf dem DC selber oder auf einem Win8 Client ... !?
     
    Auf nem Client geht - dann aber Zeitsync deaktivieren und auch den
    "Ruhezustand-Shutdown" von W8 abschalten, sonst läuft die Uhrzeit auf
    diesem 2. DC schnell weg... Und wenn dieser 2. DC nicht PDC ist, holen
    sich Clients blöderweise die Zeit von dem, und die paßt dann nicht mehr
    zum ersten. Frag mich mal, woher ich das weiß :-)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 10:27
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Am 09.09.2014 um 12:27 schrieb "Martin Binder [MVP]":

    Frag mich mal, woher ich das weiß :-)

    Woher weist du das? Du bist ja ein Fundus von unendlichem Wissen, das keiner haben will :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. September 2014 11:57
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Danke an alle.

    OK, dass mit den zweiten DC wäre klar. Machen wir ja bei "größeren" Installationen immer so (evtl. auch noch einen dritten ... ;-)

    Nur bei kleinen Installationen ca. 10 PC und das war hier der implizierte Kern meiner Frage, der nicht explizit erwähnt wurde, macht es kaufmännisch nicht Sinn einen dedizierten 2.DC hinzustellen. Einen 2.DC als VM auf einen PC mit drauf zu nehmen - wäre für mich Grrrr. Hier sehe ich die große Gefahr, dass evtl. durch Störung am PC die VM einen Knacks abbekäme und dann evtl. noch das AD anknackst. OK, evtl. als ReadOnly DC?

    Wäre aus dieser Sichtweise meine obige Konfig bei kleinen Installationen als Best Practices anzusehen oder doch lieber anders?

    Danke und liebe Grüße Oliver Richter

    Dienstag, 9. September 2014 13:12
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Ich denke von MS wirst du dafür keinen "best practice"-Stempel bekommen... da "best practice" nunmal ist, dass es min. 2 DCs gibt. 

    Klar ist es nicht wirtschaftlich, in einer sehr kleinen Umgebung 2 DCs aufzustellen. Aber ist es dann überhaupt Sinnvoll eine Domäne aufzubauen? Ja... kommt auf die Umgebung und die Anforderungen an. Aber wenn die Anforderungen so sind, könnte man argumentieren: Wenn ihr eine Domäne wollt braucht ihr min. 2 DCs

    Verstehe mich nicht falsch, es läuft ja auch so... aber mit der Fehlermeldung im BPA musst du dann leben. :) Best Practice ist es aber eben nämlich nicht. Ärgerlich, aber ist leider so.

    So meine persönliche Einschätzung dazu. :)

    Dienstag, 9. September 2014 13:47
    |
  • Discussion
    Anmelden
    0
    Anmelden
    > Woher weist du das? Du bist ja ein Fundus von unendlichem Wissen, das
    > keiner haben will :-)
     
    Pfffth - ich sag nix mehr :)
     
    Spaß beiseite: Läuft bei mir zuhause so.
     
    Am Anfang hatte ich die Zeitdienste von Hyper-V vergessen, da rennt der
    CLient, der den DC hostet, gemeinsam mit diesem ruckartig von der
    PTB-Zeit weg. Zeitsync abgeschaltet -> immer noch ruckartiges Wegrennen,
    weil Hyper-V ohne Zeitsync dem DC beim "Aufwachen" des Hosts aus dem
    Hybrid-Shutdown nicht mehr die "neue" Zeit sagen kann, der DC lebt dann
    in der Vergangenheit. Und zieht dann erst mal den Host (=Client) mit zu
    sich, weil der sich ja nie die Zeit vom PDC holt, wenn es noch andere
    gibt...
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 13:49
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Am 09.09.2014 um 15:12 schrieb "Oliver Richter":

    Einen 2.DC als VM auf einen PC mit drauf zu nehmen - wäre für mich
    Grrrr.

    Nimm eine ausgemusterte Workstation, irgendwas mit 512 MB reicht.

    Hier sehe ich die große Gefahr, dass evtl. durch Störung am PC
    die VM einen Knacks abbekäme und dann evtl. noch das AD anknackst.

    Ja, es könnte aber auch die ISS auf die Firma fallen.
    Versuch mal zu erklären, wie der Knacks, ausser durch Voodoo oder PFM (Pure f***ing Magic) passieren soll.

    Schalte deinen DC aus, was passiert? der startet wieder
    Reiss den Stromstecker raus, was passiert? Der startet wieder
    Selbst wenn die VM stirbt, so what? metadatacleanup und ne neue hochziehen. Das ist nur ein "Backup DC". Auf dem wird nicht gearbeitet.

    Deine PCs machen ja auch jetzt keine DCs kaputt ...

    OK, evtl. als ReadOnly DC?

    Bitte nicht. Du willst Redundanz/Ausfallsicherheit und Backup/Sicherung des Active Directory, das ist mit dem 2ten schreibbaren DC möglich. (ähnlich Raid 1 bei Platten, mit den gleichen Nachteilen)

    Mit dem ReadOnly erreichst du genau Nichts.
    Der ist, wie der Name ReadOnly sagt, nur lesend. Wenn der erste DC abkackt, kannst du den RODC auch abschalten. Von dem kriegst du das AD nicht mehr ans Leben. Das geht immer nur von einem Schreibbaren DC.

    Am Ende geht es ja nur um Ausfallzeit. Mach täglich eine Vollbackup vom DC und alles ist gut.

    Stichwort Kaufmännisch: Die virtualiserte Lizenz hast du schon bezahlt.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. September 2014 14:01
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Danke @Marc - so machen wir das ;-)

    Danke und liebe Grüße Oliver Richter

    Dienstag, 23. September 2014 11:49
    |