Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke DNS

DNS Konzept auf mehrere Proxys in verschiedenen Standorten anpassen.

Mitglied: wiggumm

wiggumm (Level 1) - Jetzt verbinden

02.10.2012 um 08:38 Uhr, 2379 Aufrufe, 6 Kommentare

Hallo,

mein sehr gut funktionierendes DNS-Konzept muss eine Anpassung erhalten. Grundsätzlich weiß ich was ich machen will und muss, dennoch würde ich gern Meinungen hören.

Wir sind ein Unternehmen mit mehreren Standorten und haben in jeden Standort MS-Server die das DNS machen. In meinen Fall habe ich zwei Domänencontroller die neben den AD auch DNS für meine Niederlassung machen und Unbekannte an die Hauptniederlassung weiterleiten. Die Leitung dorthin hat Latenzen von 30-800 Millisekunden für beide Wege.

Grundsätzlich ist das DNS sehr gut gepflegt und es kommen Anfragen für Unbekannte, zu mehr als 99% nur vom Proxy, in meinen Fall MS TMG 2010.

Der DNS in der Hauptniederlassung leitet seine Unbekannten an einen öffentlichen DNS (Google und Telekom), also auch meine Anfragen werden dort, wenn nicht bekannt, weitergeschubst.

Hier Lokal habe ich eine schnelle Leitung und kann Google's DNS in 26-29 Millisekunden erreichen.

Nun will ich meine unbekannten Anfragen selber auflösen. Macht Sinn.

Hardware, Ports usw habe ich alle zur Verfügung.

Jetzt habe ich nicht die Absicht einen meiner DNS eine Weiterleitung ins WAN zu ermöglichen, sondern möchte einen weiteren DNS in betrieb nehmen.

Hier herrscht an verschiedener Stelle Unklarheit.

Ich kann mich nicht entscheiden, ob ich einen weiteren Windows Server in die Domäne aufnehmen soll, der nur die DNS Rolle bekommt, und nicht in das gemeinsame DNS der Domäne repliziert, sondern nur einen DNS-Server Rede und Antwort steht.

Oder, wie eben beschrieben, nur ist er nicht Mitglied der Domäne.

Oder, meine Präferenz, ich setze ein Linux oder BSD auf und lasse dort BIND oder YADIFA laufen.

Performance ist nicht meine Sorge, habe 100k-150k DNS-Anfragen von dem Proxy pro Woche.

Auch weiß ich nicht, ob ich DNSSEC einrichten soll?

Was meint Ihr?

Noch am Rande: Der Server bekommt eine extra Port an der Firewall und darf nach außen nur ausgesuchte Server fragen und nach Ihnen auch nur einen Ausgesuchten Antworten.
Mitglied: catachan
02.10.2012 um 11:17 Uhr
Hi

was für eine Domäne setzt du ein ? 2003, 2008 oder 2008 R2 ?
Wenn ich das richtig verstanden habe, dann hat jede Niederlassung einen eigene Internetanschluss über den gesufrt wird, abgesichert durch einen TMG. Die DNS Anfrage für das Internet macht aber einer deiner DNS in der Zentrale und du möchtest jetzt dass jede Aussenstelle selber die Internet DNS Anfragen auflöst ? Oder ?
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 12:58 Uhr
Meine Funktionsebene ist 2003 und meine Server alle 2008R2.

Ja, jede Niederlassung hat einen Internetanschluss.

Das meine Niederlassung über den Umweg auflöst soll durch mein Vorhaben vereinfacht werden, da durch, dass hier lokal unbekannte DNS-Anfragen nach Extern aufgelöst werden.
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 13:20 Uhr
Hallo

so wie ich das verstanden habe brauchst du einen Caching Resolver und keinen Nameserver, da du ja keine eigenen Domains verwalten willst sondern Namensauflösung für nicht interne Domains?

Dann fällt YADIFA weg und Bind ist für einen simplen Resolver eigenlich zweite Wahl. Besser wäre dann wahrscheinlich Unbound oder PowerDNS. Wenn du DNSSEC auswerten willst solltest du dir überlegen wie DNSSEC Fehler weiter gereicht werden. Du solltest dann auf jeden Fall nur an einer Stelle DNSSEC prüfen.

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 13:33 Uhr
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 16:16 Uhr
Zitat von wiggumm:
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Bei der geringen Anzahl an DNS Abfragen ist es eigentlich schnuppe. Nimm das was einfacher in dein Verwaltungskonzept und in das (Lizenz) Budget passt. Falls Windows ist eine Domänenmitgliedschaft nicht erforderlich, aber hilfreich für die Verwaltung per GPO und ähnliches. Zumindest Unbound läuft auch unter Windows, damit ist kein Server Win-OS erforderlich. Für Linux/BSD spricht das sie bei gleicher Hardware mehr leisten und nahezu ohne Verwaltungseingriffe auskommen.


Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Von innen muß Port 53 UDP/TCP der Maschine erreichbar sein, nach aussen muß die Maschine auf Port 53 UDP/TCP Verbindungen aufbauen dürfen.

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die
Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?

So wie es aussieht liefert auch Google RRSIG Records aus, es steht dir also frei DNSSEC Prüfungen durchführen zu lassen. Allerdings bist du auf "unmodifizierte" Weiterleitung von Google angewiesen. Ich würde DNSSEC deshalb nur an den Punkten empfehlen an denen kein Upstream Resolver verwendet wird. YMMV

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
03.10.2012 um 12:53 Uhr
Bezüglich z. B. der Domainmitgliedschaft, geht es mir vorrangig um Sicherheit bzw vermeintliche Sicherheit. Grundsätzlich kann kein System direkt nach draussen, dazu müssen sie durch das TMG und dann noch durch die Firewall davor. Die Regeln sind sehr penibel und nicht ausladend gestaltet.

Ein Linux oder BSD würde mir hier ein besseres Gefühl vermitteln. Meine Angst, die vielleicht auch unbegründet ist, dass mein domänzugehöriges System vielleicht nach hinten durchschlägt, wenn es sich einen Schnupfen einfängt.

Lizenzen sind keine Limitierung für mich.

DNSSEC werde ich im ersten Step nicht umsetzen, das hole ich vielleicht noch nach.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
DNS Auflösung - mehrere Standorte
Frage von detox91Windows Netzwerk7 Kommentare

Hallo, folgendes Problem: Wir setzen bei uns eine übergeordnete Domäne für mehrere Standorte ein, so weit so gut. Die ...

Windows Server
Mehrere Direct Access Server an verschiedenen Standorten
Frage von geocastWindows Server10 Kommentare

Guten Morgen zusammen Ich Plane gerade Direct Access zu Implementieren auf Server 2012 R2 Architektur mit Windows 10 Clients. ...

Backup
Backup Konzept für mehrere Server
gelöst Frage von SloncarBackup7 Kommentare

Guten Tag Zusammen Ich würde gerne von euch Anregungen zu dem Thema Datensicherungskonzept haben, da ich etwas auf dem ...

Webentwicklung
Probleme bei der Ereichbarkeit der Homepage von verschiedenen Standorten!
gelöst Frage von Iceman72Webentwicklung1 Kommentar

Hallo Forum, wir haben seit 4 Wochen eine neue Homepage "www.herschelmann.com" auf Wordpress-Basis online welche auf einem Mac programmiert ...

Neue Wissensbeiträge
Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 37 MinutenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 5 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk10 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkmanagement
Preis für Wartungsvertrag ok?
Frage von a-za-zNetzwerkmanagement8 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...