Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Konzept auf mehrere Proxys in verschiedenen Standorten anpassen.

Mitglied: wiggumm

wiggumm (Level 1) - Jetzt verbinden

02.10.2012 um 08:38 Uhr, 2391 Aufrufe, 6 Kommentare

Hallo,

mein sehr gut funktionierendes DNS-Konzept muss eine Anpassung erhalten. Grundsätzlich weiß ich was ich machen will und muss, dennoch würde ich gern Meinungen hören.

Wir sind ein Unternehmen mit mehreren Standorten und haben in jeden Standort MS-Server die das DNS machen. In meinen Fall habe ich zwei Domänencontroller die neben den AD auch DNS für meine Niederlassung machen und Unbekannte an die Hauptniederlassung weiterleiten. Die Leitung dorthin hat Latenzen von 30-800 Millisekunden für beide Wege.

Grundsätzlich ist das DNS sehr gut gepflegt und es kommen Anfragen für Unbekannte, zu mehr als 99% nur vom Proxy, in meinen Fall MS TMG 2010.

Der DNS in der Hauptniederlassung leitet seine Unbekannten an einen öffentlichen DNS (Google und Telekom), also auch meine Anfragen werden dort, wenn nicht bekannt, weitergeschubst.

Hier Lokal habe ich eine schnelle Leitung und kann Google's DNS in 26-29 Millisekunden erreichen.

Nun will ich meine unbekannten Anfragen selber auflösen. Macht Sinn.

Hardware, Ports usw habe ich alle zur Verfügung.

Jetzt habe ich nicht die Absicht einen meiner DNS eine Weiterleitung ins WAN zu ermöglichen, sondern möchte einen weiteren DNS in betrieb nehmen.

Hier herrscht an verschiedener Stelle Unklarheit.

Ich kann mich nicht entscheiden, ob ich einen weiteren Windows Server in die Domäne aufnehmen soll, der nur die DNS Rolle bekommt, und nicht in das gemeinsame DNS der Domäne repliziert, sondern nur einen DNS-Server Rede und Antwort steht.

Oder, wie eben beschrieben, nur ist er nicht Mitglied der Domäne.

Oder, meine Präferenz, ich setze ein Linux oder BSD auf und lasse dort BIND oder YADIFA laufen.

Performance ist nicht meine Sorge, habe 100k-150k DNS-Anfragen von dem Proxy pro Woche.

Auch weiß ich nicht, ob ich DNSSEC einrichten soll?

Was meint Ihr?

Noch am Rande: Der Server bekommt eine extra Port an der Firewall und darf nach außen nur ausgesuchte Server fragen und nach Ihnen auch nur einen Ausgesuchten Antworten.
Mitglied: catachan
02.10.2012 um 11:17 Uhr
Hi

was für eine Domäne setzt du ein ? 2003, 2008 oder 2008 R2 ?
Wenn ich das richtig verstanden habe, dann hat jede Niederlassung einen eigene Internetanschluss über den gesufrt wird, abgesichert durch einen TMG. Die DNS Anfrage für das Internet macht aber einer deiner DNS in der Zentrale und du möchtest jetzt dass jede Aussenstelle selber die Internet DNS Anfragen auflöst ? Oder ?
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 12:58 Uhr
Meine Funktionsebene ist 2003 und meine Server alle 2008R2.

Ja, jede Niederlassung hat einen Internetanschluss.

Das meine Niederlassung über den Umweg auflöst soll durch mein Vorhaben vereinfacht werden, da durch, dass hier lokal unbekannte DNS-Anfragen nach Extern aufgelöst werden.
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 13:20 Uhr
Hallo

so wie ich das verstanden habe brauchst du einen Caching Resolver und keinen Nameserver, da du ja keine eigenen Domains verwalten willst sondern Namensauflösung für nicht interne Domains?

Dann fällt YADIFA weg und Bind ist für einen simplen Resolver eigenlich zweite Wahl. Besser wäre dann wahrscheinlich Unbound oder PowerDNS. Wenn du DNSSEC auswerten willst solltest du dir überlegen wie DNSSEC Fehler weiter gereicht werden. Du solltest dann auf jeden Fall nur an einer Stelle DNSSEC prüfen.

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 13:33 Uhr
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 16:16 Uhr
Zitat von wiggumm:
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Bei der geringen Anzahl an DNS Abfragen ist es eigentlich schnuppe. Nimm das was einfacher in dein Verwaltungskonzept und in das (Lizenz) Budget passt. Falls Windows ist eine Domänenmitgliedschaft nicht erforderlich, aber hilfreich für die Verwaltung per GPO und ähnliches. Zumindest Unbound läuft auch unter Windows, damit ist kein Server Win-OS erforderlich. Für Linux/BSD spricht das sie bei gleicher Hardware mehr leisten und nahezu ohne Verwaltungseingriffe auskommen.


Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Von innen muß Port 53 UDP/TCP der Maschine erreichbar sein, nach aussen muß die Maschine auf Port 53 UDP/TCP Verbindungen aufbauen dürfen.

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die
Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?

So wie es aussieht liefert auch Google RRSIG Records aus, es steht dir also frei DNSSEC Prüfungen durchführen zu lassen. Allerdings bist du auf "unmodifizierte" Weiterleitung von Google angewiesen. Ich würde DNSSEC deshalb nur an den Punkten empfehlen an denen kein Upstream Resolver verwendet wird. YMMV

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
03.10.2012 um 12:53 Uhr
Bezüglich z. B. der Domainmitgliedschaft, geht es mir vorrangig um Sicherheit bzw vermeintliche Sicherheit. Grundsätzlich kann kein System direkt nach draussen, dazu müssen sie durch das TMG und dann noch durch die Firewall davor. Die Regeln sind sehr penibel und nicht ausladend gestaltet.

Ein Linux oder BSD würde mir hier ein besseres Gefühl vermitteln. Meine Angst, die vielleicht auch unbegründet ist, dass mein domänzugehöriges System vielleicht nach hinten durchschlägt, wenn es sich einen Schnupfen einfängt.

Lizenzen sind keine Limitierung für mich.

DNSSEC werde ich im ersten Step nicht umsetzen, das hole ich vielleicht noch nach.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
DNS Auflösung - mehrere Standorte
Frage von detox91Windows Netzwerk7 Kommentare

Hallo, folgendes Problem: Wir setzen bei uns eine übergeordnete Domäne für mehrere Standorte ein, so weit so gut. Die ...

Windows Server
AD Standorte mit verschiedenen Zeitzonen
gelöst Frage von TOAOICEWindows Server3 Kommentare

Hallo, ich brauche mal eueren Input. Ich habe eine Domäne mit mehrern Standorten. Standort A = DE Standort B ...

Windows Server

Mehrere Direct Access Server an verschiedenen Standorten

Frage von geocastWindows Server10 Kommentare

Guten Morgen zusammen Ich Plane gerade Direct Access zu Implementieren auf Server 2012 R2 Architektur mit Windows 10 Clients. ...

Backup

Backup Konzept für mehrere Server

gelöst Frage von SloncarBackup7 Kommentare

Guten Tag Zusammen Ich würde gerne von euch Anregungen zu dem Thema Datensicherungskonzept haben, da ich etwas auf dem ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 StundenRouter & Routing

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 16 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 21 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...