[WIN2008] AD+DNS ook gebruiken voor NS als domeinnaam

Goede avond tweakerds! ,

Ik heb sinds kort mijn domein (tim427.net) verhuisd naar transip vanwege de mogelijkheid; het gebruik van eigen NameServers. (zie ander topic )

Afijn, alles naar behoren en keurig verhuisd, kon ik beginen met de setup voor de NS.

Een maatje van me heeft een Win2k3 draaien + DNS, ik zelf heb Win2k8 draaien met AD+DNS.
De DNS van mijn maatje heeft mijn domein als secundary ingesteld. Na wat testen werkt dit perfect, zoals het hoort: Ik maak een wijziging in mijn DNS, 15 minuten later wordt zijn DNS ook geupdate.

Dit heb ik uit eindelijk ook met de NS van transip gedaan (ns1.transip.net), deze update zich zelf ook iedere 20 minuten

So far so good, de NameServers werken dus naar behoren, en mijn DNS is als primary NS ingesteld, dit is ook terug te vinden in de WHOIS.

Dus al iemand subdomein.tim427.net wil openen wordt er keurig eerst in mijn DNS gekeken.


MAAR, nu het probleem:

Als ik mijn domein laat checken bij; checkdns.net

Krijg ik de error's:
- Master DNS defined by SOA (tim-server.tim427.net) was not found among NS records.
- NS list mismatch: registration authority reports that domain is hosted on the following servers: 'ns1.tim427.net; ns2.tim427.net; ns1.transip.net', but DNS server ns1.tim427.net reports domain to be hosted on 'ns1.tim427.net; ns2.tim427.net; tim-server.tim427.net; ns1.transip.net'. Please make sure that you configure the same DNS servers in registrar database and on your DNS

Dus ik in mijn DNS kijken, alle nameservers in mijn DNS gewijzigd naar ns1.tim427.net (mijn thuis ip). ns2.tim427.net (dns van een maatje), ns1.transip.net (dns van transip, ns3.tim427.net naar hetzelfde ip als ns1.transip.net wil niet werken , maar dat ter zijde)

Ook heb ik alle interne IP's eruit gehaald en alleen tim-server.tim427.net is nog gekoppeld aan mijn server-interne ip!

Ook een (same as parent folder) A record aan gemaakt naar mijn thuis ip. Dus dat betekend: www.tim427.net is gekoppeld aan mijn thuis ip maar OOK tim427.net....

Een probleem is dus dit: ieder uur ofzo, komt er dood leuk 3 (same as parent folder) recors te staan: thuis-ip, lokaal ip 1, lokaal ip 2.......

Dus als ik naar http://tim427.net/ ga dan duurt het een eeuwigheid voordat de site geladen wordt, en http://www.tim427.net/ weer niet .....


Mijn vraag is dus: hoe kan ik het beste de DNS (onder een AD) configureren voor een NameServer???

Ik kan wel een nieuwe zone aanmaken, maar ik wil tim427.net als internet-domein ÉN als AD-domein!!

Iemand ervaring

alt-92 schreef op zondag 09 maart 2008 @ 00:41:
Zeg, grappenmaker, je beseft toch hopelijk wel dat dat geintje van jou alleen maar gaat werken als je ook poortje 53 voor DNS requests van buitenaf náár jouw Domain controller opzenzet he?

Alles staat open toch

Heb een FULL-DMZ naar die server, firewall staat, automatisch, poort 53 goed

De andere NS-Server kunnne prima updaten

Of zie ik iets over het hoofd

alt-92 schreef op zondag 09 maart 2008 @ 00:51:
Ach, als jij het prima vindt dat iedereen op de wereld jouw interne AD DNS namespace kan zien en (potentieel) bijwerken, wie ben ik dan om daar wat van te zeggen ?

Maar dat kan ik instellen toch? Door middel van: Niemand mag aanpassen behalve deze ip's

En jij kunt dus mijn AD-DNS aanpassen Probeer het eens, hij draait nu toch nog Vitrueel voordat ik dit in het echt ga toepassen!

[ Voor 15% gewijzigd door tim427 op 09-03-2008 00:58 ]

Maar niemand (zo ver je weet zegmaar), gebruikt hetzelfde internet-domein voor zijn AD-domein?

Mij leek dit wel mooi? Is er geen mogelijkheid om dit gewoon goed dicht te timmeren!?!

Dit draait BTW (nog) niet in het echt! Het is nog maar test omgeving!

Het kan toch als proof-of-concept worden beschouwd en gewoon geprobeerd worden?

Maar mutsje,

Jij hebt (zoals ik kan zien in de tutorials), datacrash.net als domein en als internet domein.

Nou zie ik dat je de internet-domein niet zelf draait! Maar hoe ZOU jij het oplossen

Misschien op een andere server NOG een DNS server draaien?

Niemand een idee ?

Of is het wel mogelijk wat ik doe, maar dan moet ik alles dicht timmeren, en vervolgens alleen het IP van mijn maatje en van transip toelaten

Is het echt mogelijk dat nu jan-en-alleman ((alt-92)) mijn DNS kan aan passen Hoe doen ze dat dan?

alt-92 schreef op zondag 09 maart 2008 @ 12:36:
[...]

Mag Tim ook zelf doen, daar heb je mij niet voor nodig toch?

[...]

Split DNS, niet zo moeilijk. Maar het nut van een maatje die secondary draait voor je webhosting DNS ontgaat me een beetje als je ISP al twee gescheiden nameservers draait en je die zone ook al zelf kan beheren..

Dat met dat maatje; wij vinden het leuk om alles zoveel mogelijk zelf te draaien . Ik kan idd ook ns0, ns1 en ns2.transip.net gebruiken.... Maar het lijkt ons leuker om zelf idere een dns + 1 van transip.net.......

En hoe zou jij die DNS splitten dan Letterlijk splitten naar een anderer server? Of een apparte zone maken in mijn DNS?

Is het eingelijk mogelijk om 2 zones te maken: tim427.local en tim427.net

Maar dat dan wel de AD-users zo inloggen: user@tim427.net

alt-92 schreef op woensdag 12 maart 2008 @ 19:20:
Kwestie van een UPN aanmaken

Er is wel een manier om te doen wat jij wilt (namelijk een change doorvoeren op je AD integrated DNS en die laten propageren naar een read-only secondary DNS buiten je domain - bijvoorbeeld in een DMZ) maar dan moet je netwerk daar ook de gelegenheid voor bieden

Dus dan krijg je dit:

Server1: AD+DNS(dns opgeslagen in de AD) -> domein: tim427.net hiermee kan ik dus gewoon mee inloggen enz.

Server2: DNS-Secondary van DNS (server1).....

En dan.... als ik iets wijzig aan DNS (server1) dan gaat DNS(server2) vrolijk mee veranderen? Of moet ik dat updaten dan verhinderen

Dan kan ik toch net zo goed 2x DNS Master draaien met iedere tim427.net.... de ene voor intern en de andere voor DMZ naar buiten

Maar dat is toch ook wel op te lossen met 1 DNS server

Jazzy schreef op woensdag 12 maart 2008 @ 20:59:
Nog even over hoe anderen dat doen... Je publieke DNS gebruik je een aparte DNS voor waar alleen records in staan die voor de buitenwereld relevant zijn, zoals www, mail en dergelijke. Bij voorkeur gebruik je hier de DNS server van de provider die je domeinnaam host.

In je AD DNS server hebben buitenstaanders niets te zoeken.

Maar dat is nou het punt (ik weet: ik ben eigenwijs ), maar dit is nou wat ik wil: mijn eigen DNS zaken THUIS regelen van mijn domein...

Vind ik persoonlijk leuker dan zo'n web-based domein beheer.

Of bestaat er niet zoiets dat je de DNS server puur als edit tool voor de ISP DNS gebruikt

Want de DNS van mij werkt nu prima als NS voor mijn domein.. Maar ik wil dit ook gebruiken als AD-domein....

Is het niet mogelijk om bepaalde rechten te maken Bijv: WWW > Jij komt van buiten af dus jij krijgt mijn buiten IP...... > Jij komt van dit netwerk dus jij krijgt een intern IP.... Zodat je ook de AD gerelateerde dingen kunt afschermen...

En nog een klein afwijkend vraagje..... (ik weet dat je met hostheaders kunt werken..): Is het mogelijk om te zeggen: mail.tim427.net MOET naar intern ip van server2 en www.tim427.net MOET naar intern ip van server1? Met hostheaders (bindings in IIS7) werken perfect op dezelfde server...
Of moet ik daarvoor een ISA server/Proxy server voor opzetten

Hmmm... Ik heb het allemaal wel werkend.... Maar het enigste probleem is dat hij iedere 15 minuten de Nameserver van de buitenstaande naar de binnen ip adres wijzigd.....

Nu bedacht ik mij het volgende (nog niet uit te voeren):

Ik hang mijn modem aan LAN NIC 1...

Die krijgt dan een directe buiten IP (bij mulikabel krijg je dat, geen gedoe met ingebouwde dhcp/router)...

Dan heeft de server als zijnde een vast IP, hier draait dan mijn AD+DNS op....
De AD houd de DNS ingesteld op de buiten IP... Dus die wordt wel steeds gewijzigd maar dan steeds in de juiste.

Vervolgens hang ik mijn switch aan LAN NIC 2.. De server verdeeld in het netwerk de IP's uit met de Windows DHCP.

Vervolgens kan iedereen inloggen gewoon met TIM427.NET... en is de DNS server voor buitenaf gewoon bereikbaar met de buiten ip....

Of maak ik hier een denk fout?

Ik snap dat ik die server, die direcect met internet is verbonden, heel goed moet dicht timmeren.
D.m.v.: Transfer zones alleen maar de secondary NS-servers "allowen". En de firewall helemaal dicht timmeren en alleen de poorten open die nodig zijn: 21, 25, 53, 80, 433, 3389.

Of moet ik alles open zetten vanwege de rest van het netwerk

Met Internet Connection Sharing kan ik dan toch Internet toveren op mijn netwerk? En iedereen kan toch lokaal via LAN NIC 2 de AD/DNS/DHCP, bereiken??? of moet die DNS dan weer ingesteld zijn met de interne IP ?

Niemand dit ooit geprobeerd

AD in andere IP adress bereiken benaderen???