107235
Oct 02, 2012
2921
6
0
DNS Konzept auf mehrere Proxys in verschiedenen Standorten anpassen.
Hallo,
mein sehr gut funktionierendes DNS-Konzept muss eine Anpassung erhalten. Grundsätzlich weiß ich was ich machen will und muss, dennoch würde ich gern Meinungen hören.
Wir sind ein Unternehmen mit mehreren Standorten und haben in jeden Standort MS-Server die das DNS machen. In meinen Fall habe ich zwei Domänencontroller die neben den AD auch DNS für meine Niederlassung machen und Unbekannte an die Hauptniederlassung weiterleiten. Die Leitung dorthin hat Latenzen von 30-800 Millisekunden für beide Wege.
Grundsätzlich ist das DNS sehr gut gepflegt und es kommen Anfragen für Unbekannte, zu mehr als 99% nur vom Proxy, in meinen Fall MS TMG 2010.
Der DNS in der Hauptniederlassung leitet seine Unbekannten an einen öffentlichen DNS (Google und Telekom), also auch meine Anfragen werden dort, wenn nicht bekannt, weitergeschubst.
Hier Lokal habe ich eine schnelle Leitung und kann Google's DNS in 26-29 Millisekunden erreichen.
Nun will ich meine unbekannten Anfragen selber auflösen. Macht Sinn.
Hardware, Ports usw habe ich alle zur Verfügung.
Jetzt habe ich nicht die Absicht einen meiner DNS eine Weiterleitung ins WAN zu ermöglichen, sondern möchte einen weiteren DNS in betrieb nehmen.
Hier herrscht an verschiedener Stelle Unklarheit.
Ich kann mich nicht entscheiden, ob ich einen weiteren Windows Server in die Domäne aufnehmen soll, der nur die DNS Rolle bekommt, und nicht in das gemeinsame DNS der Domäne repliziert, sondern nur einen DNS-Server Rede und Antwort steht.
Oder, wie eben beschrieben, nur ist er nicht Mitglied der Domäne.
Oder, meine Präferenz, ich setze ein Linux oder BSD auf und lasse dort BIND oder YADIFA laufen.
Performance ist nicht meine Sorge, habe 100k-150k DNS-Anfragen von dem Proxy pro Woche.
Auch weiß ich nicht, ob ich DNSSEC einrichten soll?
Was meint Ihr?
Noch am Rande: Der Server bekommt eine extra Port an der Firewall und darf nach außen nur ausgesuchte Server fragen und nach Ihnen auch nur einen Ausgesuchten Antworten.
mein sehr gut funktionierendes DNS-Konzept muss eine Anpassung erhalten. Grundsätzlich weiß ich was ich machen will und muss, dennoch würde ich gern Meinungen hören.
Wir sind ein Unternehmen mit mehreren Standorten und haben in jeden Standort MS-Server die das DNS machen. In meinen Fall habe ich zwei Domänencontroller die neben den AD auch DNS für meine Niederlassung machen und Unbekannte an die Hauptniederlassung weiterleiten. Die Leitung dorthin hat Latenzen von 30-800 Millisekunden für beide Wege.
Grundsätzlich ist das DNS sehr gut gepflegt und es kommen Anfragen für Unbekannte, zu mehr als 99% nur vom Proxy, in meinen Fall MS TMG 2010.
Der DNS in der Hauptniederlassung leitet seine Unbekannten an einen öffentlichen DNS (Google und Telekom), also auch meine Anfragen werden dort, wenn nicht bekannt, weitergeschubst.
Hier Lokal habe ich eine schnelle Leitung und kann Google's DNS in 26-29 Millisekunden erreichen.
Nun will ich meine unbekannten Anfragen selber auflösen. Macht Sinn.
Hardware, Ports usw habe ich alle zur Verfügung.
Jetzt habe ich nicht die Absicht einen meiner DNS eine Weiterleitung ins WAN zu ermöglichen, sondern möchte einen weiteren DNS in betrieb nehmen.
Hier herrscht an verschiedener Stelle Unklarheit.
Ich kann mich nicht entscheiden, ob ich einen weiteren Windows Server in die Domäne aufnehmen soll, der nur die DNS Rolle bekommt, und nicht in das gemeinsame DNS der Domäne repliziert, sondern nur einen DNS-Server Rede und Antwort steht.
Oder, wie eben beschrieben, nur ist er nicht Mitglied der Domäne.
Oder, meine Präferenz, ich setze ein Linux oder BSD auf und lasse dort BIND oder YADIFA laufen.
Performance ist nicht meine Sorge, habe 100k-150k DNS-Anfragen von dem Proxy pro Woche.
Auch weiß ich nicht, ob ich DNSSEC einrichten soll?
Was meint Ihr?
Noch am Rande: Der Server bekommt eine extra Port an der Firewall und darf nach außen nur ausgesuchte Server fragen und nach Ihnen auch nur einen Ausgesuchten Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192080
Url: https://administrator.de/contentid/192080
Printed on: April 16, 2024 at 12:04 o'clock
6 Comments
Latest comment
Hi
was für eine Domäne setzt du ein ? 2003, 2008 oder 2008 R2 ?
Wenn ich das richtig verstanden habe, dann hat jede Niederlassung einen eigene Internetanschluss über den gesufrt wird, abgesichert durch einen TMG. Die DNS Anfrage für das Internet macht aber einer deiner DNS in der Zentrale und du möchtest jetzt dass jede Aussenstelle selber die Internet DNS Anfragen auflöst ? Oder ?
was für eine Domäne setzt du ein ? 2003, 2008 oder 2008 R2 ?
Wenn ich das richtig verstanden habe, dann hat jede Niederlassung einen eigene Internetanschluss über den gesufrt wird, abgesichert durch einen TMG. Die DNS Anfrage für das Internet macht aber einer deiner DNS in der Zentrale und du möchtest jetzt dass jede Aussenstelle selber die Internet DNS Anfragen auflöst ? Oder ?
Meine Funktionsebene ist 2003 und meine Server alle 2008R2.
Ja, jede Niederlassung hat einen Internetanschluss.
Das meine Niederlassung über den Umweg auflöst soll durch mein Vorhaben vereinfacht werden, da durch, dass hier lokal unbekannte DNS-Anfragen nach Extern aufgelöst werden.
Ja, jede Niederlassung hat einen Internetanschluss.
Das meine Niederlassung über den Umweg auflöst soll durch mein Vorhaben vereinfacht werden, da durch, dass hier lokal unbekannte DNS-Anfragen nach Extern aufgelöst werden.
Hallo
so wie ich das verstanden habe brauchst du einen Caching Resolver und keinen Nameserver, da du ja keine eigenen Domains verwalten willst sondern Namensauflösung für nicht interne Domains?
Dann fällt YADIFA weg und Bind ist für einen simplen Resolver eigenlich zweite Wahl. Besser wäre dann wahrscheinlich Unbound oder PowerDNS. Wenn du DNSSEC auswerten willst solltest du dir überlegen wie DNSSEC Fehler weiter gereicht werden. Du solltest dann auf jeden Fall nur an einer Stelle DNSSEC prüfen.
Gruß
Andi
so wie ich das verstanden habe brauchst du einen Caching Resolver und keinen Nameserver, da du ja keine eigenen Domains verwalten willst sondern Namensauflösung für nicht interne Domains?
Dann fällt YADIFA weg und Bind ist für einen simplen Resolver eigenlich zweite Wahl. Besser wäre dann wahrscheinlich Unbound oder PowerDNS. Wenn du DNSSEC auswerten willst solltest du dir überlegen wie DNSSEC Fehler weiter gereicht werden. Du solltest dann auf jeden Fall nur an einer Stelle DNSSEC prüfen.
Gruß
Andi
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.
Ich nehme hier ein 1U Blech;
Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?
Je ein Port nach Intern und Extern? Ein Port für beide Wege?
Was würde Ihr machen?
DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
Ich nehme hier ein 1U Blech;
Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?
Je ein Port nach Intern und Extern? Ein Port für beide Wege?
Was würde Ihr machen?
DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
Zitat von @107235:
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.
Ich nehme hier ein 1U Blech;
Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.
Ich nehme hier ein 1U Blech;
Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?
Bei der geringen Anzahl an DNS Abfragen ist es eigentlich schnuppe. Nimm das was einfacher in dein Verwaltungskonzept und in das (Lizenz) Budget passt. Falls Windows ist eine Domänenmitgliedschaft nicht erforderlich, aber hilfreich für die Verwaltung per GPO und ähnliches. Zumindest Unbound läuft auch unter Windows, damit ist kein Server Win-OS erforderlich. Für Linux/BSD spricht das sie bei gleicher Hardware mehr leisten und nahezu ohne Verwaltungseingriffe auskommen.
Je ein Port nach Intern und Extern? Ein Port für beide Wege?
Von innen muß Port 53 UDP/TCP der Maschine erreichbar sein, nach aussen muß die Maschine auf Port 53 UDP/TCP Verbindungen aufbauen dürfen.
Was würde Ihr machen?
DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die
Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die
Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
So wie es aussieht liefert auch Google RRSIG Records aus, es steht dir also frei DNSSEC Prüfungen durchführen zu lassen. Allerdings bist du auf "unmodifizierte" Weiterleitung von Google angewiesen. Ich würde DNSSEC deshalb nur an den Punkten empfehlen an denen kein Upstream Resolver verwendet wird. YMMV
Gruß
Andi
Bezüglich z. B. der Domainmitgliedschaft, geht es mir vorrangig um Sicherheit bzw vermeintliche Sicherheit. Grundsätzlich kann kein System direkt nach draussen, dazu müssen sie durch das TMG und dann noch durch die Firewall davor. Die Regeln sind sehr penibel und nicht ausladend gestaltet.
Ein Linux oder BSD würde mir hier ein besseres Gefühl vermitteln. Meine Angst, die vielleicht auch unbegründet ist, dass mein domänzugehöriges System vielleicht nach hinten durchschlägt, wenn es sich einen Schnupfen einfängt.
Lizenzen sind keine Limitierung für mich.
DNSSEC werde ich im ersten Step nicht umsetzen, das hole ich vielleicht noch nach.
Ein Linux oder BSD würde mir hier ein besseres Gefühl vermitteln. Meine Angst, die vielleicht auch unbegründet ist, dass mein domänzugehöriges System vielleicht nach hinten durchschlägt, wenn es sich einen Schnupfen einfängt.
Lizenzen sind keine Limitierung für mich.
DNSSEC werde ich im ersten Step nicht umsetzen, das hole ich vielleicht noch nach.