Read only domaincontrolller und DNS

Heute habe ich mal wieder eine interessante Erkenntnis zu den DNS Einträge im Active Directory gemacht.

Kern der Erkenntnis ist, dass ein Read Only Domaincontroller (RODC) per Default keine generischen DNS Einträge im AD registriert.

Generische DNS Einträge

Generische DNS Records

Der aufmerksame Beobachter wird nun den RODC in dem Zweig _tcp vermissen. Wenn man nun in die _site Informationen schaut wird man die passenden RODC Records wiederfinden.

Standort mit RODC Records

Standort mit RODC Records

Welchen Zweck verfolgt nun diese Art der Konfiguration?

Hintergrund ist, dass grundsätzlich angenommen wird das ein RODC in einem eigenem kleinen Außenstandort betrieben wird und das an diesem RODC auch nur die Benutzer aus dem Außenstandort anmelden sollen. Man möchte eben verhindern, dass über einen weiteren Standort dieser RODC als Anmeldeserver zur Verfügung steht.

Diese Denkweise macht auch sinn, weil ein RODC in der Regel die Authentifizierungen an einen RWDC weiterreicht. Würde also ein RODC als regulärer Anmeldeserver allen Benutzern / Arbeitsstationen zur Verfügung stehen, würde eine Menge unnütze Last / Traffic entstehen.

Durch die ausschließliche Registrierung der Service DNS-Records im _site (Standort), wird das oben genannte Szenario verhindert.

Möchte man dieses Verhalten steuern, um es z.B. auch bei normalen (RW)DCs zu nutzen, dann kann man diese Einstellung über einen entsprechenden Registry-Wert vornehmen:

0 – Es werden auch die generischen Einträge erzeugt.
1 – Es werden nur die Standort Einträge erzeugt. (Default beim RODC)

Viel Spaß damit…jetzt wisst ihr wo es steht 😉

 

Über den Autor

Matthias Meyer
Freiberuflicher IT-Consultant und Trainer

Kommentar hinterlassen zu "Read only domaincontrolller und DNS"

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*


Zur Werkzeugleiste springen