Zum Inhalt springen

Active Directory mit DNS und DHCP


Empfohlene Beiträge

Geschrieben (bearbeitet)

Ich beschäftige mich zur Zeit mit den oben genannten Themen

und bin noch ziemlich am Anfang.

Ich hätte ein paar Praxisfragen dazu.

Wenn man in einem lokalen Netzwerk 30 Clients über einen Server

verwalten möchte, könnte man ja z.B: einen Windows Server 2003

einsetzen.

Alle Clients könnten ihre IP über DHCP vom Server bekommen.

Des weiteren den Domänennamen (Rechnername).

Wenn ich es richtig verstanden habe, kann man dort für jeden Client

die Rechte (Z.B. Internetzugang) in einer Datenbank verwalten.

Wenn nun der einzelne Client sich erstmals am Server anmeldet,

wird dann auf dem Client lokal automatisch

ein Verzeichnis mit den entsprechenden Benutzereigenschaften angelegt,

oder muss man das manuell bei jedem Client einrichten ?

Wenn der Server kaputt geht, würde nichts mehr gehen.

Empfehlenswert wäre also ein redundanter Server mit den gleichen

Einstellungen.

Geht das mit einem zweiten Windows Server 2003.

Bearbeitet von Eleu
Geschrieben

Hallo,

du kannst für deine Clients eine Group Policy auf dem Domaincontroller einrichten (GPMC.MSC). DIe Policy wird dann auf dem Domaincontroller gespeichert, du kannst sie dan exportieren und kannst es immer wieder importieren, falls du nur einen domaincontroller hast, der mal kaputt geht.

gruss

Geschrieben
du kannst für deine Clients eine Group Policy auf dem Domaincontroller einrichten (GPMC.MSC). DIe Policy wird dann auf dem Domaincontroller gespeichert, du kannst sie dan exportieren und kannst es immer wieder importieren, falls du nur einen domaincontroller hast, der mal kaputt geht.

Und was ist mit den FSMO Rollen? Was ist mit dem AD insgesamt?

Das was du vorschlägst ist in meinen Augen grob fahrlässig und ersetzt kein (!!) Systembackup des Domaincontrollers!

Ich antworte mal detaillierter auf die Fragen im Thread:

Wenn man in einem lokalen Netzwerk 30 Clients über einen Server

verwalten möchte, könnte man ja z.B: einen Windows Server 2003

einsetzen.

Ja.

Alle Clients könnten ihre IP über DHCP vom Server bekommen.
Ja.

Des weiteren den Domänennamen (Rechnername).

Bitte stell die Frage genauer.

Wenn ich es richtig verstanden habe, kann man dort für jeden Client

die Rechte (Z.B. Internetzugang) in einer Datenbank verwalten.

Im Prinzip ja, das geht mit Gruppenrichtlinien und die "Datenbank" ist das Active Directory.

Wenn nun der einzelne Client sich erstmals am Server anmeldet,

wird dann auf dem Client lokal automatisch

ein Verzeichnis mit den entsprechenden Benutzereigenschaften angelegt,

oder muss man das manuell bei jedem Client einrichten ?

Jein. Ein Client muss von einem Admin in die Domain aufgenommen werden, das Userprofil wird automatisch beim ersten Login des Users erstellt.

Wenn der Server kaputt geht, würde nichts mehr gehen.

Empfehlenswert wäre also ein redundanter Server mit den gleichen

Einstellungen.

Geht das mit einem zweiten Windows Server 2003.

Ja, einfach einen zweiten Server ins Netz aufnehmen und zu einem Domaincontroller in der gleichen Domain hochstufen.

Achtung aber bei den FSMO-Rollen!

Unterwegs im Net - Was man über FSMO Rollen wissen sollte ....

Geschrieben

Bitte stell die Frage genauer.

Jeder Client schaut in die Datei "hosts" oder "lmhosts"

im Verzeichnis "windows\system32\drivers\etc"

Wenn dort in den Dateien keine Rechnername zur IP Adresse steht,

fragt der Client am Domaincontroller an.

Dort werden alle Clients

mit ihren Rechnernamen (Domänennamen zur IP Adresse )

verwaltet.

Mit anderen Worten, der eigentliche Domäne Name Server (DNS)

Von dort bekommt der Client dann auch seinen eigenen

Rechnernamen zugewiesen.

Also für mich ist der Rechnername und der Domänenname

ein und das Selbe ?

Ist das so richtig ?

Geschrieben
Ist das so richtig ?
Nein.

Jeder Client schaut in die Datei "hosts" oder "lmhosts"

im Verzeichnis "windows\system32\drivers\etc"

Prinzipiell richtig. Nur veraltet.

Wenn dort in den Dateien keine Rechnername zur IP Adresse steht,

fragt der Client am Domaincontroller an.

Nein, er fragt am DNS an.

Dort werden alle Clients

mit ihren Rechnernamen (Domänennamen zur IP Adresse )

verwaltet.

Im Prinzip ja, aber... ich glaub, du hast was nicht verstanden.

Mit anderen Worten, der eigentliche Domäne Name Server (DNS)
Nein, DNS ist das Domain Name System. Bitte verwende die richtigen Begrifflichkeiten. Ein DNS Server hat mit einer Active Directory Domain erstmal nichts zu tun, dein DSL Router zu Hause hat auch einen DNS Server.

Domain Name System ? Wikipedia

Also für mich ist der Rechnername und der Domänenname

ein und das Selbe ?

Nein.

Der FQDN eines Rechners wäre PC001.Domain.local.

Bitte lies dir erst einmal die Grundlagen über das Active Directory an.

Geschrieben

Nein.

Der FQDN eines Rechners wäre PC001.Domain.local.

Bitte lies dir erst einmal die Grundlagen über das Active Directory an.

O.k. Werde ich machen und vielen Dank erst mal für die umfangreichen Infos.

Trotzdem doch noch mal ein paar Fragen zum Verständnis:

Meinst Du mit "PC001.Domain.local." den Rechnernamen des Windows 2003 Servers ?

Für den einzelnen Client wäre doch der "Fully-Qualified Host Name" entscheidend und nicht der FQDN ?

Beziehe mich hierbei auf den beigefügten Wikipedia Beitrag: Fully-Qualified Host Name ? Wikipedia

D.h. ein Domain Name ist immer ein Server ?

Die ihm untergliederten Clients sind host ?

Also Server = PC001.Domain.local.

Client 1 = Client1.PC001.Domain.local.

Client 2 = Client2.PC001.Domain.local.

usw.

Werden der FQDN und die FQHN vom Admin auf dem DNS - Server der Windows 2003 Servers manuell angelegt ?

Geschrieben

Sorry, ja, FQHN; nicht FQDN.

Allerdings ist der Domain-Name nicht der Servername. Wäre bei grösseren Netzen mit mehreren Domaincontrollern auch nicht möglich.

Auch Server haben einen FQHN, in der Form Servername.Domainname.TLD.

Ich erweitere mal das Beispiel.

Der Server heisst DC001

Ein Client heisst WS001

Die Domain heisst firma.local.

Der FQHN des Servers ist dann DC001.firma.local

Der Client heisst dann WS001.firma.local.

Ein weiterer Server wäre dann DC002.firma.local.

Im DNS müssen Hostnamen in den seltensten Fällen gepflegt werden, die Updates im DNS geschehen automatisch.

Geschrieben

Ich glaube jetzt habe ich es vom Grundsatz her kapiert.

Wobei ich noch dazu gelernt habe, dass innerhalb der FQHN auch Subnetze mit aufgeführt werden.

Also wenn Server und Clients in unterschiedlichen Subnetzen liegen

würden diese im FQHN auch mit auftauchen.

Also um bei dem von Dir genannten Beispiel zu bleiben:

DC001.Subnetz1.firma.local.

oder

WS001.Subnetz2.firma.local.

Geschrieben

Korrekterweise müsste man in dem Beispiel aus der Wikipedia von einem Subnetz sprechen, was deckungsgleich mit einer Subdomain ist. Im Grunde genommen kann es Sinn machen, Subnetze für Subdomains zu verwenden, muss man aber nicht. Sie haben generell erst einmal nichts miteinander zu tun.

Geschrieben

Ich bin nicht sicher, ob ich es richtig verstanden habe ?

Die logische Struktur von Active Directory besteht aus

- Objekte

- Domänen

- Strukturen

- Gesamtstrukturen

- Organisationseinheiten

In dem Beispiel mit den zwei Servern und 30 Clients hätte ich

30 Objekte (30 Clients mit ihren individuellen Benutzereigenschaften der user.

Diese Benutzereigenschaften sind im Active Directory hinterlegt)

Ich hätte nur eine Domäne (firma.lokal).

Nur eine Struktur, da nur eine Domäne.

Hier hätte ich eine Frage:

Wie sähe in dem Beispiel eine zweite Struktur aus ?

Wäre das dann z.B. ein dritter Server, der eine neue Unterdomäne aufbaut,

mit separatem neuen Domänencontroller

(Beispiel: Niederlassung1.fima.lokal) ?

Wäre eine Gesamtstruktur der nächste höhere level ?

Beispiel: (firma2.lokal)

Diese "neue Struktur" könnte wieder völlig separate ein oder mehrere Domänen bilden.

Also ein vierter Server mit einer ganz neuer Hauptdomäne

Hat dieser Server dann ein ganz neues separates Active Directory, welches ich als Admin

nur an diesem Server bearbeiten kann?

Oder kann auf allen Servern alles bearbeitet werden, da es ja

immer noch die Stammdomäne (lokal) gibt ?

Eine Organisationseinheit bietet die Möglichkeit zum Erstellen von Verwaltungsbereichen in einer Domäne.

Bedeutet das, dass ich in der Domäne (fima.lokal) z.B.: 15 Objekte für den Admin 1 (Person) zur Bearbeitung

an (DC001.firma.lokal) freigeben kann und die restlichen 15 Objekte dem Admin 2 ?

Gruß

Eleu

Geschrieben
Nein, DNS ist das Domain Name System. Bitte verwende die richtigen Begrifflichkeiten. Ein DNS Server hat mit einer Active Directory Domain erstmal nichts zu tun, dein DSL Router zu Hause hat auch einen DNS Server.

Ja aber was verwendet man denn, wenn man ein Active Directory auf einem Windows 2003 Server einrichtet.

Den DNS-Server oder die Active Directory Domäne ?

Beim DNS Server wäre "Niederlassung1" in der Domäne "Niederlassung1.firma.lokal" eine Subdomain.

Beim Active Directory wäre "Niederlassung1" eine Struktur ?

Geschrieben

Deine Antwort verstehe dafür aber um so besser als die Erklärung in dem Buch:

"Entwerfen einer Win. Server 2003 AD - und Netzwerkinfrastuktur"

Dort steht zum Thema "Verwendung von DNS in AD" unter anderem:

AD und DNS sind eng miteinander integriert und verwenden sogar

einen gemeinsamen Namespace.

DNS ist der von AD (und vielen anderen Windows - Komponenten)

verwendete Locatordienst.

AD stellt seine Dienste durch deren Veröffentlichung in DNS zur Verfügung.

Wenn ein Domänencontroller installiert wird (oder ihm andere Dienste hinzugefügt

werden), registriert der Domänencontroller seine Dienste mithilfe dynamischer

Aktualisierungen als SRV-Einträge in DNS.

Ich habe irgendwie Verständnisschwierigkeiten bei dieser Erklärung.

Was bedeutet "sogar einen gemeinsamen Namespace" ?

Was versteht man unter einem Locatordienst ?

Was sind denn dynamische Aktualisierungen als SRV-Einträge in DNS ?

Geschrieben
Was bedeutet "sogar einen gemeinsamen Namespace" ?

blazilla.site und sub.blazilla.site gehören zu einem Namespace. Der Name eines Active Directory ist immer ein FQDN.

Was versteht man unter einem Locatordienst ?

DNS, Hosts, NIS usw.

Was sind denn dynamische Aktualisierungen als SRV-Einträge in DNS ?

Wenn ein Client sich an der Domäne blazilla.site anmelden will, dann fragt er im DNS einen sog. SRV Record ab, in dem Fall _tcp.dc._msdcs.blazilla.site. Dahinter steht dann eine IP, die vom DC, oder von einem DC. Das geht noch weiter, wenn man z.B. mit AD Standorten arbeiten. Damit wird dann z.B. sichergestellt, dass die Clients DCs fragen, die im gleichen Standort stehen.

Geschrieben

Wenn ein Client sich an der Domäne blazilla.site anmelden will, dann fragt er im DNS einen sog. SRV Record ab, in dem Fall _tcp.dc._msdcs.blazilla.site. Dahinter steht dann eine IP, die vom DC, oder von einem DC. Das geht noch weiter, wenn man z.B. mit AD Standorten arbeiten. Damit wird dann z.B. sichergestellt, dass die Clients DCs fragen, die im gleichen Standort stehen.

Woran erkennt man denn, dass der Name ( _tcp.dc._msdcs.blazilla.site.)

nur zu einer einzigen Domäne gehört ?

Nämlich zur Domäne ( blazilla.site )

_tcp.dc._msdcs. könnten doch auch weitere Domänen sein, die

der gleichen Domänenstruktur der Domäne (blazilla.site) angehören.

Geschrieben

Ok, anders gefragt

- Welchen vollständigen Namen hätte eine x-beliebige OU in der Domäne blazilla.site ?

- Welchen vollständigen Namen hätte ein Client in einer x-beliebigen subdomain der Domäne blazilla.site?

Geschrieben
Ok, anders gefragt

- Welchen vollständigen Namen hätte eine x-beliebige OU in der Domäne blazilla.site ?

- Welchen vollständigen Namen hätte ein Client in einer x-beliebigen subdomain der Domäne blazilla.site?

Jetzt musst du mal zwischen DNS und LDAP trennen. Eine Subdomain wäre z.B. subdomain.blazilla.site. Eine OU wird aber nicht im DNS abgebildet. Der distinguished Name einer OU wäre z.B. OU=benutzer,DC=blazilla,DC=site.

Geschrieben (bearbeitet)

Das ist sehr schwierig zu verstehen.

Ich werde es aber mal so hinnehmen

Warum sagt man denn, dass ein AD und DNS den gleichen Namespace verwenden, wenn das doch nicht für alles gilt.

Die workstation01 aus Chief Wiggum`s Antwort wäre doch

als vollständiger Name auch mit AD im DNS enthalten.

workstation01.subdomain.blazilla.site.

In der Domäne heisst sie aber auch

CN=workstation01,OU=technik,DC=blazilla,DC=site

Bearbeitet von Eleu
Geschrieben

Und eines noch:

Wenn man dann auf die dumme Idee kommt und der Domäne (blazilla.site.) eine weitere

Domäne mit Namen subdomain hinzufügt. Also (subdomain.blazilla.site.)

ist die Verwirrung perfekt.

Denn dann hat diese Domäne den gleichen Namen wie die Subdomain

subdomain.blazilla.site. aus der Domäne blazilla.site.

Könnt ihr mir noch folgen ?

Geschrieben
Das ist sehr schwierig zu verstehen.

Ich werde es aber mal so hinnehmen

Nein, gar nicht.

Warum sagt man denn, dass ein AD und DNS den gleichen Namespace verwenden, wenn das doch nicht für alles gilt.

DNS und LDAP sind zwei Komponenten von Active Directory. Ist doch gar nicht so schwer... Du musst zwischen dem Teil "Namensauflösung" und "Verzeichnisdienst" trennen.

Wenn man dann auf die dumme Idee kommt und der Domäne (blazilla.site.) eine weitere Domäne mit Namen subdomain hinzufügt. Also (subdomain.blazilla.site.) ist die Verwirrung perfekt.

Nein, warum? Ist doch im distinguished Name enthalten. CN=workstation01,OU=Computers,DC=subdomain,DC=blazilla,DC=site.

Könnt ihr mir noch folgen ?

Nein.

Geschrieben

Durch die Antworten die ihr hier abgebt, wird es für mich auf jeden Fall deutlicher.

Erst mal besten Dank dafür.

Die Komponente LDAP muss ich mir wohl doch noch mal etwas genauer ansehen

Bis hierher glaube ich jedenfalls verstanden zu haben, dass eine eindeutige Zuordnung im AD erst durch den distinguished Name möglich wird ?

Mit schwierig meinte ich, dass z.B. der Name (disp1.blazilla.site) z.B. eine Workstation der Domäne (blazilla.site) sein kann.

disp1.blazilla.site könnte aber auch der Name von zwei Domänen der gleichen Domänenstruktur sein.

Die Aussage mit der Verwendung des gleichen Namespace von

AD und DNS hat mich irgendwie durcheinandergebracht.

Vielleicht meint man mit der Verwendung des gleichen Namespace wie beim DNS nur die Strukturierung der einzelnen Domänen untereinander ?

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...