PfSense als DNS für ActiveDirectory?
-
Da sehe ich für uns auch keine Vorteile.
Ich ebensowenig.
In einem anderen DNS, mir fällt grad der Name partout nicht ein, kein Windows, kann ich die DCs einfach als schreibberechtigt für die Zone eintragen und die schreiben selbst ihre Records rein.
Wenn der eigene DNS (sprich der DC) eh seine eigenen Einträge in das DNS einträgt, kann er doch gleich selbst DNS machen. Und da Windows AD inzwischen ziemliches Mischmasch aus wirklichen DNS Einträgen wie A, AAAA, SRV und PTRs sowie eigentlich LDAP Funktionalität ist, würde ich persönlich den Teufel tun und das woanders als in den Windows DNS reinzublasen. Die Chance, dass Windows da irgendwas nur halbgar anlegt und hinterher wieder Probleme auftreten wäre mir viel zu groß. :)
Ich habe das bislang immer ähnlich wie Bitboy0 gehandhabt. Die Clients bekommen als DNS ein oder zwei externe Hosts gepusht (ggf. die pfSense selbst und den Windows AD) und die lokale Domäne wird auf der pfSense eingetragen, damit Requests dazu immer beim DC landen. So hat man im Fall des Ausfalls des DCs nur mit der lokale Domain ein Problem, aber Internet an sich sollte noch laufen.
-
Ich habe seit Jahren den DNS für Windows-DCs in einen QIP ausgelagert und das funktioniert bestens. Der Vorteil liegt auf der Hand, ich muss nämlich einen DNS weniger pflegen. Die DCs schreiben einfach alles in den QIP-DNS rein und gut ist.
Das AD ist organisationsweit über den Haupt-DNS auflösbar.
Ich finds super praktisch.
-
Wenn die pfSense "verreckt" hat das gesamte LAN auch gleich nichts mehr zu lachen,
wenn aber die MS Server selbst den DNS Dienst erledigen ist wenigstens noch das LAN
funktionsfähig und es kann intern weiter gearbeitet werden. Es sein denn die pfSense
muss das Routing des LANs auch mit erledigen. -
Da hast du recht, Frank, allerdings: Wenn LAN->WAN dann so kritisch ist (mal von DNS abgesehen), dass bei Ausfall Internet alle die Panik bekommen ;) dann ist es eh sinnvoller, gleich nen pfSense CARP Cluster zu bauen :)
Ändert aber natürlich nichts an deiner Aussage, dass es durchaus Sinn macht / machen kann, den DNS auf dem AD Server zu belassen. Kann man mit dem DNS Forwarder/Resolver auf der pfSense aber bestens ergänzen und dort bspw. die lokale Domain auf den AD umleiten und den Rest dann via Cache und Forwarder raus ins Netz schicken/zwischenpuffern.Grüße
Jens -
dann ist es eh sinnvoller, gleich nen pfSense CARP Cluster zu bauen
Wenn man irgend wann active/active was realisieren kann, rückt das schon eher in
meinen Fokus, also arpbalance CARP & pfSync, ansonsten eher nicht. -
Das war auch eher auf das "wenn die pfSense ganz den Löffel abgibt" Satz ergänzt. Wenn die Außenanbindung/Internet wichtig genug ist, mach ich die HA, auch wenns active/passive ist. Das was ich mit pfSense spare reicht da mehr als genug um 2 kleine Kisten zu kaufen, anstatt 2x <grosses label="" einfügen="">:)</grosses>
-
Das war auch eher auf das "wenn die pfSense ganz den Löffel abgibt" Satz ergänzt. Wenn die Außenanbindung/Internet wichtig genug ist, mach ich die HA, auch wenns active/passive ist. Das was ich mit pfSense spare reicht da mehr als genug um 2 kleine Kisten zu kaufen, anstatt 2x <grosses label="" einfügen="">:)</grosses>
Ich wusste gar nicht das OpenBSD jetzt schon zu den "Big 5" gehört.
Vielleicht wenn man auch Tilera Hardware setzt, aber fände ich auch nicht schlecht. -
@BlueKobold:
Ich wusste gar nicht das OpenBSD …
Korrigiere mal in: "Ich wusste gar nicht**, dass FreeBSD** …", solltest Du von pfSense sprechen.
-
@BlueKobold:
Ich wusste gar nicht das OpenBSD …
Korrigiere mal in: "Ich wusste gar nicht**, dass FreeBSD** …", solltest Du von pfSense sprechen.
Nein ich sprach von OpenBSD in Bezug auf das Arpbalance Verbindung mit CARP.
-
Und du redest die ganze Zeit an dem vorbei was ich schreibe ;)
Was ich sag(t)e ist, dass - sobald die Anbindung wichtig genug ist, dass sie nicht down sein soll, es den meisten Entscheidern völlig egal ist, ob das active/passive oder active/active ist, hauptsache es ist HA - hochverfügbar. Natürlich hängt da noch die Zuleitung dran, aber die ist nicht in der Hoheit des Admins/der Firma, da kann man also durchaus den ISP gängeln für. Aber wenn der Border Gateway absäuft steht der Admin/Netzwerker/whoever ziemlich dumm da.Und wenn ich mir dann irgendeine HA Lösung von Cisco, Juniper oder wasauchimmer hole, nur weil die Entscheider da tolle Labels, große Marketingaktionen und dicke Eier sehen, lege ich mehr hin, als 2 potente Kisten (immer noch völlig egal ob eine passiv ist oder nicht) plus pfSense Support einzukaufen. So passiert mehrfach letztes Jahr bei unseren Kunden. Mehrere tausend Euro gespart, weil die entsprechende <label>Lösung teurer gewesen wäre und man gemerkt hat - hey das geht auch anders/besser.
Damit aber genug OT von mir, hier gehts trotzdem um DNS :)</label>