DDNS A Registrierung in verteiltem DNS System (AD)

Nimral · 12. November 2019 um 15:32

Hi allseits,

folgende Situation: großes, weltweit verteiltes Netz. OS Windows 2008 R2 serverseitig, Windows 7 (paar XP Reste) clientseitig. Weltweit verteilte DNS Server mit AD integrierten Zonen. Layout in etwa sternförmig (Außenstellen-DNS sind nur 1 Hop vom zentralen DNS entfernt, maximale Distanz zwischen 2 beliebigen DNS Servern ist also 2 Hops) Replikationszeiten des AD auf ca 1/2 Tag eingestellt, Änderung nicht wünschenswert.

Problem: wandernde Clients (Laptops) bekommen beim Hochfahren per DHCP eine IP Adresse, und registrieren sich per DDNS am „nächstgelegenen“ DNS Server. Auf Grund der relativ langen Replikationszeiten dauert es bis zu 1/2 Tag, bis der zentrale DNS (wo der User Helpdesk sitzt) den geänderten Clientnamen mitbekommt. in dieser Zeit können die Helpdesk-Leute die Clients zuverlässig nur über die IP Adresse ansprechen.

Lösungsansatz 1: eine kurzfristigere Triggerung der Intersite AD Replikation, sodass die DDNS Zonendaten sofort repliziert werden, wenn eine DDNS Registrierung einläuft, oder zumindest mit sehr kurzem Intervall. Soweit mir bekannt ist es im AD nicht möglich, Replikationszeiten pro DNS Zone einzustellen, aber ich lerne gerne dazu.

Lösungsansatz 2: der Client sendet DDNS Registrierungen an alle DDNS Server, deren Adressen ihm per DHCP übermittelt werden. Soweit mir bekannt gibt es eine solche Einstellmöglichkeit im Client aber nicht.

Lösungsansatz 3: ein Stück Software (gerne auch Sourcecode zum Einbinden in eigenes Programm …), der Client schickt damit 2 DDNS Registrierungen: einmal eine an seinen lokalen DDNS (was er eh macht) und noch eine an einen der zentralen DDNS Server, bzw. an eine Liste „anderer“ Server. Also Lösung 2 per eigener Softwarekomponente nachgerüstet.

Andere Lösungsansätze sind natürlich auch willkommen, ich denke, das Problem kennt jeder, der ein verteiltes AD Netz mit DDNS zu verwalten hat.

Workarounds sind auch willkommen, aber bitte, nicht erwarten dass ich ein weltweit verteiltes 800 Client Netzwerk komplett umkremple nur damit der Helpdesk seine Namensauflösung schneller bekommt. Zielvorgabe ist maximal 30 Sekunden Verzögerung.

Der lokale DNS Cache der Helpdesk-Clients braucht nicht berücksichtigt werden, es reicht wenn der DNS Server die korrekte Antwort liefert.

Und mit DDNS ist *nicht* DynDNS gemeint.

Thx

Armin.

herrmann_59614f · 12. November 2019 um 15:32

Mir ist nicht ganz klar geworden, wie die Zonen bei euch aussehen. Kann es sein, dass ein Client, der heute unter moritz.europa.firma. erreichbar ist, morgen unter moritz.asien.firma zu finden ist?

Ist aber im Grunde egal. Mittels dnscmd kannst du den Inhalt einer Zone in eine Textdatei exportieren. Darüber bildest du eine Quersumme, z. B. md5 und wenn diese sich gegenüber der letzten Abfrage geändert hat, kannst du mittels repadmin eine Replikation starten. Sollte sich recht leicht scripten lassen. Ich bin aber nicht sicher, ob ich wirklich verstanden habe, was du willst.

Gruß

Nimral · 12. November 2019 um 15:34

Mir ist nicht ganz klar geworden, wie die Zonen bei euch
aussehen. Kann es sein, dass ein Client, der heute unter
moritz.europa.firma. erreichbar ist, morgen unter
moritz.asien.firma zu finden ist?

Nein, es gibt weltweit nur eine Zone. Das Problem kommt daher, dass weltweit auch mehrere DNS Server herumstehen. Wandert ein Client von Europa nach Amerika, wird er vom dortigen DHCP mit einer neuen Adresse versorgt, registriert die auch korrekt im amerikanischen DNS Server, aber durch die Replikationszeiten zwischem dem europäischen und dem amerikanischen Active Directory bekommt ein Supporter, der in Europa sitzt, erst mal noch ein Weile die alte IP Adresse übermittelt.

Dadurch landet er erst einmal im Nichts, oder, wenn er Pech hat, auf dem PC eines anderen Benutzers, dessen PC sich inzwischen die alte IP Adresse per DHCP gekrallt hat.

Eine Zwangstriggerung der AD Replikation würde natürlich helfen, ist aber keine praktikable Lösung. Auch eine drastische Verkürzung der Replikationszeiten zwischen den DCs würde helfen, hat aber wiederum andere unangenehme Nebenwirkungen in Bezug auf Netzlast und DC Auslastung. Außerdem haben wir teilweise Standorte, die nur wenige Fahrminuten auseinander liegen, so weit kann man die AD Replikation gar nicht herunterdrehen dass das ein Weg wäre.

Würde es mir allerdings gelingen, die DDNS Registrierung auf dem lokalen DNS und dem DNS in Europa zu machen, wäre das Problem sauber und nebenwirkungsfrei gelöst.

Armin.

herrmann_59614f · 12. November 2019 um 15:34

Eine Zwangstriggerung der AD Replikation würde natürlich
helfen, ist aber keine praktikable Lösung.

Muss gar nicht mal sein. Mittels dnscmd kannst du auch selektiv einzelne Hosteinträge setzen, sowohl lokal als auch auf einem fernen Server. Dein Script wird dann ein bisschen aufwändiger, da es nicht mehr reicht, festzustellen, dass sich etwas geändert hat, du musst auch erkennen, was sich geändert hat.

Das einzig blöde ist, dass du das Script nicht zentral einsetzen kannst, sondern an jedem remote-DNS-Server einzeln einpflegen musst. Aber das liegt in der Natur der Sache…

Schöner wär’s natürlich, wenn z. B. der dhcp-Server diesen Job übernehmen könnte. Aber nicht in AD, da dürfen nach Redmonder Willen und Befehl einfache und elegante Lösungen nicht funktionieren…

HTH