5
Adressen einer Verbindung sollen sich NICHT im DNS registrieren
Hallo zusammen,
ich bräuchte mal einen Gedankenanstoß bzgl. des folgenden Szenarios:
Ein entfernter Server (Windows Server 2003 R2, u.a. DC, DNS und File-Server) stellt zu Fernwartungszwecken per OpenVPN eine Verbindung zu "meinem" Netzwerk her. OpenVPN richtet dazu eine zweite Netzwerkverbindung auf dem entfernten Server ein. Die Verbindung bezieht ihre IP-Konfiguration (lediglich IP und Subnetzmaske) nach der Einwahl am VPN-Server per DHCP.
Jetzt soll die IP-Adresse dieser Verbindung nicht im DNS des entfernten Netzwerks auftauchen. Also habe ich in den TCP/IP-Eigenschaften der VPN-Verbindung die entsprechende Option deaktiviert.
Das führte immerhin dazu, dass die entsprechenden IP-Adressen nicht mehr unter DomainDNSZones und ForestDNSZones auftauchten und die Funktion des Active Directory störten.
Es bleibt jedoch dabei, dass die VPN-Netzwerkverbindung einen Hosteintrag mit der entsprechenden VPN-IP-Adresse in der Domänen-Forward-Lookup-Zone erstellt. Da die Clients am entfernten Standort den oben genannten Server bei DNS-Anfragen nutzen, antwortet dieser jetzt mit seinen beiden IP-Adressen. Es scheint kaum nachvollziehbar, wie diese dann vom Client priorisiert werden und bspw. der Zugriff auf Freigaben wird sehr langsam...
Ich bin eigentlich davon ausgegangen, dass die deaktivierte Option "Adressen dieser Verbindung im DNS registrieren" das obige Problem lösen. Auch habe ich die VPN-Verbindung in den erweiterten Netzwerkeinstellungen unter der LAN-Verbindung priorisiert.
Hat noch jemand eine Idee, wie ich entweder die DNS-Registrierung für die VPN-Verbindung abschalten kann oder wenigstens eine Priorisierung der IP-Adressen hinbekomme ?
Vielen Dank schonmal für eure Mühen.
Gruß, Eicky
ich bräuchte mal einen Gedankenanstoß bzgl. des folgenden Szenarios:
Ein entfernter Server (Windows Server 2003 R2, u.a. DC, DNS und File-Server) stellt zu Fernwartungszwecken per OpenVPN eine Verbindung zu "meinem" Netzwerk her. OpenVPN richtet dazu eine zweite Netzwerkverbindung auf dem entfernten Server ein. Die Verbindung bezieht ihre IP-Konfiguration (lediglich IP und Subnetzmaske) nach der Einwahl am VPN-Server per DHCP.
Jetzt soll die IP-Adresse dieser Verbindung nicht im DNS des entfernten Netzwerks auftauchen. Also habe ich in den TCP/IP-Eigenschaften der VPN-Verbindung die entsprechende Option deaktiviert.
Das führte immerhin dazu, dass die entsprechenden IP-Adressen nicht mehr unter DomainDNSZones und ForestDNSZones auftauchten und die Funktion des Active Directory störten.
Es bleibt jedoch dabei, dass die VPN-Netzwerkverbindung einen Hosteintrag mit der entsprechenden VPN-IP-Adresse in der Domänen-Forward-Lookup-Zone erstellt. Da die Clients am entfernten Standort den oben genannten Server bei DNS-Anfragen nutzen, antwortet dieser jetzt mit seinen beiden IP-Adressen. Es scheint kaum nachvollziehbar, wie diese dann vom Client priorisiert werden und bspw. der Zugriff auf Freigaben wird sehr langsam...
Ich bin eigentlich davon ausgegangen, dass die deaktivierte Option "Adressen dieser Verbindung im DNS registrieren" das obige Problem lösen. Auch habe ich die VPN-Verbindung in den erweiterten Netzwerkeinstellungen unter der LAN-Verbindung priorisiert.
Hat noch jemand eine Idee, wie ich entweder die DNS-Registrierung für die VPN-Verbindung abschalten kann oder wenigstens eine Priorisierung der IP-Adressen hinbekomme ?
Vielen Dank schonmal für eure Mühen.
Gruß, Eicky
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 95224
Url: https://administrator.de/contentid/95224
Printed on: April 20, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi,
bei der virtuellen Netzwerkkarte könntest Du mal prüfen, welche Bindungen existieren - es sollte für Deinen Fall nur bei IP ein haken sein, beim Client für Microsoft Netzwerke sollte der Haken entfernt werden.
Die Weitergabe der IP kömmt vermutlich durch WINS und Wins-Weiterleitungen zustande und die über das Client MS-Häkchen ...
Grüße
bei der virtuellen Netzwerkkarte könntest Du mal prüfen, welche Bindungen existieren - es sollte für Deinen Fall nur bei IP ein haken sein, beim Client für Microsoft Netzwerke sollte der Haken entfernt werden.
Die Weitergabe der IP kömmt vermutlich durch WINS und Wins-Weiterleitungen zustande und die über das Client MS-Häkchen ...
Grüße
Hi Mathias,
ich werde morgen mal testen, ob das Deaktivieren des Clients für MS-Netze etwas bringt.
Wär natürlich doof, wenn's daran liegt. Im Moment kopiere ich Dateien zwischen den Standorten nämlich noch per SMB... Das Kopieren mit SMB wäre dann ja afaik vorbei.
Mag zwar ineffizient sein, aber nur für administrative Zwecke einen FTP-Server aufsetzen war mir dann doch etwas zu viel des Guten...
Als vorübergehende Lösung habe ich inzwischen die IP-Adressen, auf die der DNS-Server lauscht auf die der LAN-Verbindung beschränkt. Seitdem trägt sich die VPN-Verbindung nicht mehr selbsttätig im DNS ein.
Ob das mittelfristig für meine "weiteren Vorhaben" evtl. nachteilig ist, müsste ich nochmal prüfen. Wollte bspw. die Namen der Clients vom Büro aus auflösen (Remoteunterstützung) und umgekehrt einen DNS an meinem Standort aufsetzen, um bspw. eine HelpDesk-Lösung, Intranet usw. per "Name" verfügbar zu machen.
Besten Dank schon mal so weit. Ich geb morgen mal Rückmeldung bzgl. des Clients für MS-Netze.
Gruß, Eicky
Nachtrag:
Wenn ich so drüber nachdenke, müsste ich die DNS-Server bei korrekt installiertem Routing ja auch über ihre lokalen IP-Adressen ansprechen können. Mein Problem könnte also als gelöst bezeichnet werden... Ich teste den Vorschlag mit dem MSClient morgen trotzdem nochmal an und gebe Rückmeldung...
ich werde morgen mal testen, ob das Deaktivieren des Clients für MS-Netze etwas bringt.
Wär natürlich doof, wenn's daran liegt. Im Moment kopiere ich Dateien zwischen den Standorten nämlich noch per SMB... Das Kopieren mit SMB wäre dann ja afaik vorbei.
Mag zwar ineffizient sein, aber nur für administrative Zwecke einen FTP-Server aufsetzen war mir dann doch etwas zu viel des Guten...
Als vorübergehende Lösung habe ich inzwischen die IP-Adressen, auf die der DNS-Server lauscht auf die der LAN-Verbindung beschränkt. Seitdem trägt sich die VPN-Verbindung nicht mehr selbsttätig im DNS ein.
Ob das mittelfristig für meine "weiteren Vorhaben" evtl. nachteilig ist, müsste ich nochmal prüfen. Wollte bspw. die Namen der Clients vom Büro aus auflösen (Remoteunterstützung) und umgekehrt einen DNS an meinem Standort aufsetzen, um bspw. eine HelpDesk-Lösung, Intranet usw. per "Name" verfügbar zu machen.
Besten Dank schon mal so weit. Ich geb morgen mal Rückmeldung bzgl. des Clients für MS-Netze.
Gruß, Eicky
Nachtrag:
Wenn ich so drüber nachdenke, müsste ich die DNS-Server bei korrekt installiertem Routing ja auch über ihre lokalen IP-Adressen ansprechen können. Mein Problem könnte also als gelöst bezeichnet werden... Ich teste den Vorschlag mit dem MSClient morgen trotzdem nochmal an und gebe Rückmeldung...
Hi,
bin gespannt
.
Grüße
bin gespannt
.Grüße
Hi Mathias,
leider brachte dein Vorschlag nicht den gewünschten Erfolg.
Habe mal die Bindungen "Client für Microsoft-Netzwerke" und "Datei- und Druckerfreigabe" entfernt, den lokalen DNS-Host-Eintrag entfernt und den OpenVPN-Dienst neu gestartet (und das alles über den Ast, an dem ich gesägt habe *g*).
Nachdem ich die RDP-Sitzung neu aufgenommen habe, war der Eintrag wieder da...
Ich werde also die Schnittstellen, auf denen der Server auf DNS-Anfragen lauscht, eingeschränkt lassen und die Einstellung bei den anderen Servern (mit dem selben Problem) nachziehen...
Besten Dank auf jeden Fall für deine Mühen ;)
Gruß, Eicky
leider brachte dein Vorschlag nicht den gewünschten Erfolg.
Habe mal die Bindungen "Client für Microsoft-Netzwerke" und "Datei- und Druckerfreigabe" entfernt, den lokalen DNS-Host-Eintrag entfernt und den OpenVPN-Dienst neu gestartet (und das alles über den Ast, an dem ich gesägt habe *g*).
Nachdem ich die RDP-Sitzung neu aufgenommen habe, war der Eintrag wieder da...
Ich werde also die Schnittstellen, auf denen der Server auf DNS-Anfragen lauscht, eingeschränkt lassen und die Einstellung bei den anderen Servern (mit dem selben Problem) nachziehen...
Besten Dank auf jeden Fall für deine Mühen ;)
Gruß, Eicky
Auch wenns nicht geholfen hat - gerne
Grüße
Grüße
