6
Nameserver für DENIC einrichten
Guten Morgen,
folgendes soll ich im Zuge eines kleinen Projekts bei uns in der Firma umsetzen.
- DNS-Server welcher in unserer DMZ (192.168.195.x)
- via NAT (Sonicwall-Firewall) als öffentlichen DNS-Server zugänglich machen
- für eine unserer registrierten Domains meinedomain.de bei der DENIC als DNS/Nameserver eintragen
Folgendes habe ich bereits implementiert:
- 2x DNS-Server (Microsoft Server 2008 R2)
- Server sind über 2 verschiedenen öffentliche IP-Adressen erreichbar (durch NAT)
- Voraussetzungen für die DENIC größtenteils erfüllt.
Nun habe ich nur noch folgendes Problem:
Auf der DENIC Nameserver -Check Website bekomme ich folgende Fehlermeldung: (http://www.denic.de/hintergrund/nast.html)
Error 106 Inconsistent set of nameserver IP addresses (NS, provided glues, determined glues)
ns01.meinedomain.de
[/213.xxx.xxx.xx]
Default resolver determined: , other resolvers determined: {/213.xxx.xxx.xxx=[/192.168.195.235]}
Wenn ich im A-Record meines DNS-Server die öffentliche IP-Adresse eintrage, funktioniert alles und die DENIC meckert nicht.
Aber mein DNS-Server stellt diese IP alle paar Minuten immer wieder auf die lokale 192.168.195.235 zurück -> DENIC meckert
Jemand eine Idee wie ich das Problem lösen könnte, ohne meine Sonicwall im transparent mode laufen zu lassen?
Gruß
folgendes soll ich im Zuge eines kleinen Projekts bei uns in der Firma umsetzen.
- DNS-Server welcher in unserer DMZ (192.168.195.x)
- via NAT (Sonicwall-Firewall) als öffentlichen DNS-Server zugänglich machen
- für eine unserer registrierten Domains meinedomain.de bei der DENIC als DNS/Nameserver eintragen
Folgendes habe ich bereits implementiert:
- 2x DNS-Server (Microsoft Server 2008 R2)
- Server sind über 2 verschiedenen öffentliche IP-Adressen erreichbar (durch NAT)
- Voraussetzungen für die DENIC größtenteils erfüllt.
Nun habe ich nur noch folgendes Problem:
Auf der DENIC Nameserver -Check Website bekomme ich folgende Fehlermeldung: (http://www.denic.de/hintergrund/nast.html)
Error 106 Inconsistent set of nameserver IP addresses (NS, provided glues, determined glues)
ns01.meinedomain.de
[/213.xxx.xxx.xx]
Default resolver determined: , other resolvers determined: {/213.xxx.xxx.xxx=[/192.168.195.235]}
Wenn ich im A-Record meines DNS-Server die öffentliche IP-Adresse eintrage, funktioniert alles und die DENIC meckert nicht.
Aber mein DNS-Server stellt diese IP alle paar Minuten immer wieder auf die lokale 192.168.195.235 zurück -> DENIC meckert
Jemand eine Idee wie ich das Problem lösen könnte, ohne meine Sonicwall im transparent mode laufen zu lassen?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231050
Url: https://administrator.de/contentid/231050
Printed on: April 25, 2024 at 07:04 o'clock
6 Comments
Latest comment
Hallo,
natürlich schnell und zuverlässig zu erreichen sein.
Das Thema DNSSec lege ich Dir an dieser Stelle auch
noch einmal ans Herz.
Gruß
Dobby
P.S.
: Nachtrag : Man sollte eventuell auf ein gehärtetes Linux OS wie CentOS oder aber gleich auf OpenBSD in Zusammenspiel mit Bind ausweichen.
Jemand eine Idee wie ich das Problem lösen könnte, ohne meine
Sonicwall im transparent mode laufen zu lassen?
Wohl eher nicht, denn die Server sollten aus dem InternetSonicwall im transparent mode laufen zu lassen?
natürlich schnell und zuverlässig zu erreichen sein.
Das Thema DNSSec lege ich Dir an dieser Stelle auch
noch einmal ans Herz.
Gruß
Dobby
P.S.
: Nachtrag : Man sollte eventuell auf ein gehärtetes Linux OS wie CentOS oder aber gleich auf OpenBSD in Zusammenspiel mit Bind ausweichen.
2
Kann man nur hoffen das du die 192.168.195.x IP NICHT als DNS IP dort eingetragen hast, denn das ist eine RFC 1918 IP die im Internet nicht geroutet wird. Klar das der DENIC dann meckert.
Dort muss die öffentliche IP der Firewall oder Router hin sofern du dort mit NAT in die DMZ arbeitest ?! Nebenbei ist die DMZ so vermutlich auch keine DMZ da sie keine öffentlichen IPs besitzt, sondern nur sowas wie ne Pseudo DMZ. RFC 1918 IPs sind meisten so oder so geblacklistet, das musst du vorher checken. Ggf. mal mit dem Wireshark.
Mit Winblows OS einen öffentlichen DNS betreiben zu wollen zeugt auch nicht gerade von Weitsicht....das aber nur nebenbei denn das muss jeder selber wissen.
Dort muss die öffentliche IP der Firewall oder Router hin sofern du dort mit NAT in die DMZ arbeitest ?! Nebenbei ist die DMZ so vermutlich auch keine DMZ da sie keine öffentlichen IPs besitzt, sondern nur sowas wie ne Pseudo DMZ. RFC 1918 IPs sind meisten so oder so geblacklistet, das musst du vorher checken. Ggf. mal mit dem Wireshark.
Mit Winblows OS einen öffentlichen DNS betreiben zu wollen zeugt auch nicht gerade von Weitsicht....das aber nur nebenbei denn das muss jeder selber wissen.
2
Moin,
Und ein Tipp von mir: Mit dem Wissenstand, finger weg vom eigenen öffentlichen DNS.
lg,
Slainte
Mit Winblows OS einen öffentlichen DNS betreiben zu wollen zeugt auch nicht gerade von Weitsicht....das aber nur
nebenbei denn das muss jeder selber wissen.
Das kann man nur doppelt unterstreichen!nebenbei denn das muss jeder selber wissen.
Das Thema DNSSec lege ich Dir an dieser Stelle auch
noch einmal ans Herz.
Und das auch.noch einmal ans Herz.
Und ein Tipp von mir: Mit dem Wissenstand, finger weg vom eigenen öffentlichen DNS.
lg,
Slainte
Hallo,
wie die anderen schon erwähnt haben die ganze Sache vielleicht nochmal überdenken:
- NAT für UDP und besonderns für DNS ist nicht so toll
- Windows als Authoritative Nameserver kann man machen, muß man aber nicht
Falls es sich um ein Lernprojekt ohne Produktivbezug handelt zumindest folgendes beachten:
- Der Windows Server sollte kein Mitglied einer Windows Domain sein da ansonsten viele nicht benötigte Einträge erzeugt werden und die Sicherheit darunter leidet
- DNS benötigt eingehend Port 53 UDP und TCP
- Dir am besten mit "dig" einen Überblick verschaffen wie DNS arbeitet
--> http://jesin.tk/authoritative-dns-in-windows-server-2008/
Gruß
Andi
wie die anderen schon erwähnt haben die ganze Sache vielleicht nochmal überdenken:
- NAT für UDP und besonderns für DNS ist nicht so toll
- Windows als Authoritative Nameserver kann man machen, muß man aber nicht
Falls es sich um ein Lernprojekt ohne Produktivbezug handelt zumindest folgendes beachten:
- Der Windows Server sollte kein Mitglied einer Windows Domain sein da ansonsten viele nicht benötigte Einträge erzeugt werden und die Sicherheit darunter leidet
- DNS benötigt eingehend Port 53 UDP und TCP
- Dir am besten mit "dig" einen Überblick verschaffen wie DNS arbeitet
--> http://jesin.tk/authoritative-dns-in-windows-server-2008/
Gruß
Andi
2
Hallo,
danke für eure Beiträge.
Ja es handelt sich um ein Lernprojekt.
Das ein Microsoft DNS-Server im Internet nicht optimal ist, habe ich mir schon fast gedacht.
Nun hab ich das ganze über den Transparent mode an der Sonicwall laufen.
Getrenntes Netz, eigenständige Firewall, entsprechende Firewall-Regeln - also keine Sorge.
Nun hab ich noch die Probleme mit den Glue-Records.
Error 101 Missing glue record for the nameserver (NS)
ns1.meinedomain.de
Error 101 Missing glue record for the nameserver (NS)
ns2.meinedomain.de
Ich hab schon einiges nach Glue Records gegoogelt aber leider noch nicht die passende Lösung dafür gefunden.
Muss ich die Einträge im Webinterface meines Providers vornehmen? Wenn ja welche?
Gruß
danke für eure Beiträge.
Ja es handelt sich um ein Lernprojekt.
Das ein Microsoft DNS-Server im Internet nicht optimal ist, habe ich mir schon fast gedacht.
Nun hab ich das ganze über den Transparent mode an der Sonicwall laufen.
Getrenntes Netz, eigenständige Firewall, entsprechende Firewall-Regeln - also keine Sorge.
Nun hab ich noch die Probleme mit den Glue-Records.
Error 101 Missing glue record for the nameserver (NS)
ns1.meinedomain.de
Error 101 Missing glue record for the nameserver (NS)
ns2.meinedomain.de
Ich hab schon einiges nach Glue Records gegoogelt aber leider noch nicht die passende Lösung dafür gefunden.
Muss ich die Einträge im Webinterface meines Providers vornehmen? Wenn ja welche?
Gruß
Hallo,
"glue records" sind der Kleber der die Zone-Cuts zusammen hält. Wenn z.B. die de. Nameserver befragt werden welche NS für "meinedomain.de" zuständig sind und die Antwort lautet "ns1.meinedomain.de", dann hätte der Anfragende ein Problem, weil er ns1.meinedonain.de nach der IP Adresse von ns1.meinedomain.de fragen müsste um mit der Auflösung weiter machen zu können. Deshalb liefert der Nameserver für de. diese IP Adressen gleich mit, obwohl er dafür eigentlich gar nicht zuständig ist. So wie es aussieht weiß also DeNIC nichts von deinen ns1 und ns2.
Gruß
Andi
"glue records" sind der Kleber der die Zone-Cuts zusammen hält. Wenn z.B. die de. Nameserver befragt werden welche NS für "meinedomain.de" zuständig sind und die Antwort lautet "ns1.meinedomain.de", dann hätte der Anfragende ein Problem, weil er ns1.meinedonain.de nach der IP Adresse von ns1.meinedomain.de fragen müsste um mit der Auflösung weiter machen zu können. Deshalb liefert der Nameserver für de. diese IP Adressen gleich mit, obwohl er dafür eigentlich gar nicht zuständig ist. So wie es aussieht weiß also DeNIC nichts von deinen ns1 und ns2.
Gruß
Andi
