Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense als DNS für ActiveDirectory?

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 6 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Da sehe ich für uns auch keine Vorteile.

      Ich ebensowenig.

      In einem anderen DNS, mir fällt grad der Name partout nicht ein, kein Windows, kann ich die DCs einfach als schreibberechtigt für die Zone eintragen und die schreiben selbst ihre Records rein.

      Wenn der eigene DNS (sprich der DC) eh seine eigenen Einträge in das DNS einträgt, kann er doch gleich selbst DNS machen. Und da Windows AD inzwischen ziemliches Mischmasch aus wirklichen DNS Einträgen wie A, AAAA, SRV und PTRs sowie eigentlich LDAP Funktionalität ist, würde ich persönlich den Teufel tun und das woanders als in den Windows DNS reinzublasen. Die Chance, dass Windows da irgendwas nur halbgar anlegt und hinterher wieder Probleme auftreten wäre mir viel zu groß. :)

      Ich habe das bislang immer ähnlich wie Bitboy0 gehandhabt. Die Clients bekommen als DNS ein oder zwei externe Hosts gepusht (ggf. die pfSense selbst und den Windows AD) und die lokale Domäne wird auf der pfSense eingetragen, damit Requests dazu immer beim DC landen. So hat man im Fall des Ausfalls des DCs nur mit der lokale Domain ein Problem, aber Internet an sich sollte noch laufen.

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • T
        tpf
        last edited by

        Ich habe seit Jahren den DNS für Windows-DCs in einen QIP ausgelagert und das funktioniert bestens. Der Vorteil liegt auf der Hand, ich muss nämlich einen DNS weniger pflegen. Die DCs schreiben einfach alles in den QIP-DNS rein und gut ist.

        Das AD ist organisationsweit über den Haupt-DNS auflösbar.

        Ich finds super praktisch.

        10 years pfSense! 2006 - 2016

        1 Reply Last reply Reply Quote 0
        • ?
          Guest
          last edited by

          Wenn die pfSense "verreckt" hat das gesamte LAN auch gleich nichts mehr zu lachen,
          wenn aber die MS Server selbst den DNS Dienst erledigen ist wenigstens noch das LAN
          funktionsfähig und es kann intern weiter gearbeitet werden. Es sein denn die pfSense
          muss das Routing des LANs auch mit erledigen.

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Da hast du recht, Frank, allerdings: Wenn LAN->WAN dann so kritisch ist (mal von DNS abgesehen), dass bei Ausfall Internet alle die Panik bekommen ;) dann ist es eh sinnvoller, gleich nen pfSense CARP Cluster zu bauen :)
            Ändert aber natürlich nichts an deiner Aussage, dass es durchaus Sinn macht / machen kann, den DNS auf dem AD Server zu belassen. Kann man mit dem DNS Forwarder/Resolver auf der pfSense aber bestens ergänzen und dort bspw. die lokale Domain auf den AD umleiten und den Rest dann via Cache und Forwarder raus ins Netz schicken/zwischenpuffern.

            Grüße
            Jens

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • ?
              Guest
              last edited by

              dann ist es eh sinnvoller, gleich nen pfSense CARP Cluster zu bauen

              Wenn man irgend wann active/active was realisieren kann, rückt das schon eher in
              meinen Fokus, also arpbalance CARP & pfSync, ansonsten eher nicht.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Das war auch eher auf das "wenn die pfSense ganz den Löffel abgibt" Satz ergänzt. Wenn die Außenanbindung/Internet wichtig genug ist, mach ich die HA, auch wenns active/passive ist. Das was ich mit pfSense spare reicht da mehr als genug um 2 kleine Kisten zu kaufen, anstatt 2x <grosses label="" einfügen="">:)</grosses>

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • ?
                  Guest
                  last edited by

                  @JeGr:

                  Das war auch eher auf das "wenn die pfSense ganz den Löffel abgibt" Satz ergänzt. Wenn die Außenanbindung/Internet wichtig genug ist, mach ich die HA, auch wenns active/passive ist. Das was ich mit pfSense spare reicht da mehr als genug um 2 kleine Kisten zu kaufen, anstatt 2x <grosses label="" einfügen="">:)</grosses>

                  Ich wusste gar nicht das OpenBSD jetzt schon zu den "Big 5" gehört.
                  Vielleicht wenn man auch Tilera Hardware setzt, aber fände ich auch nicht schlecht.

                  1 Reply Last reply Reply Quote 0
                  • jahonixJ
                    jahonix
                    last edited by

                    @BlueKobold:

                    Ich wusste gar nicht das OpenBSD …

                    Korrigiere mal in: "Ich wusste gar nicht**, dass FreeBSD** …", solltest Du von pfSense sprechen.

                    1 Reply Last reply Reply Quote 0
                    • ?
                      Guest
                      last edited by

                      @jahonix:

                      @BlueKobold:

                      Ich wusste gar nicht das OpenBSD …

                      Korrigiere mal in: "Ich wusste gar nicht**, dass FreeBSD** …", solltest Du von pfSense sprechen.

                      Nein ich sprach von OpenBSD in Bezug auf das Arpbalance Verbindung mit CARP.

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Und du redest die ganze Zeit an dem vorbei was ich schreibe ;)
                        Was ich sag(t)e ist, dass - sobald die Anbindung wichtig genug ist, dass sie nicht down sein soll, es den meisten Entscheidern völlig egal ist, ob das active/passive oder active/active ist, hauptsache es ist HA - hochverfügbar. Natürlich hängt da noch die Zuleitung dran, aber die ist nicht in der Hoheit des Admins/der Firma, da kann man also durchaus den ISP gängeln für. Aber wenn der Border Gateway absäuft steht der Admin/Netzwerker/whoever ziemlich dumm da.

                        Und wenn ich mir dann irgendeine HA Lösung von Cisco, Juniper oder wasauchimmer hole, nur weil die Entscheider da tolle Labels, große Marketingaktionen und dicke Eier sehen, lege ich mehr hin, als 2 potente Kisten (immer noch völlig egal ob eine passiv ist oder nicht) plus pfSense Support einzukaufen. So passiert mehrfach letztes Jahr bei unseren Kunden. Mehrere tausend Euro gespart, weil die entsprechende <label>Lösung teurer gewesen wäre und man gemerkt hat - hey das geht auch anders/besser.

                        Damit aber genug OT von mir, hier gehts trotzdem um DNS :)</label>

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.