Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Konzept auf mehrere Proxys in verschiedenen Standorten anpassen.

Frage Netzwerke DNS

Mitglied: wiggumm

wiggumm (Level 1) - Jetzt verbinden

02.10.2012 um 08:38 Uhr, 2337 Aufrufe, 6 Kommentare

Hallo,

mein sehr gut funktionierendes DNS-Konzept muss eine Anpassung erhalten. Grundsätzlich weiß ich was ich machen will und muss, dennoch würde ich gern Meinungen hören.

Wir sind ein Unternehmen mit mehreren Standorten und haben in jeden Standort MS-Server die das DNS machen. In meinen Fall habe ich zwei Domänencontroller die neben den AD auch DNS für meine Niederlassung machen und Unbekannte an die Hauptniederlassung weiterleiten. Die Leitung dorthin hat Latenzen von 30-800 Millisekunden für beide Wege.

Grundsätzlich ist das DNS sehr gut gepflegt und es kommen Anfragen für Unbekannte, zu mehr als 99% nur vom Proxy, in meinen Fall MS TMG 2010.

Der DNS in der Hauptniederlassung leitet seine Unbekannten an einen öffentlichen DNS (Google und Telekom), also auch meine Anfragen werden dort, wenn nicht bekannt, weitergeschubst.

Hier Lokal habe ich eine schnelle Leitung und kann Google's DNS in 26-29 Millisekunden erreichen.

Nun will ich meine unbekannten Anfragen selber auflösen. Macht Sinn.

Hardware, Ports usw habe ich alle zur Verfügung.

Jetzt habe ich nicht die Absicht einen meiner DNS eine Weiterleitung ins WAN zu ermöglichen, sondern möchte einen weiteren DNS in betrieb nehmen.

Hier herrscht an verschiedener Stelle Unklarheit.

Ich kann mich nicht entscheiden, ob ich einen weiteren Windows Server in die Domäne aufnehmen soll, der nur die DNS Rolle bekommt, und nicht in das gemeinsame DNS der Domäne repliziert, sondern nur einen DNS-Server Rede und Antwort steht.

Oder, wie eben beschrieben, nur ist er nicht Mitglied der Domäne.

Oder, meine Präferenz, ich setze ein Linux oder BSD auf und lasse dort BIND oder YADIFA laufen.

Performance ist nicht meine Sorge, habe 100k-150k DNS-Anfragen von dem Proxy pro Woche.

Auch weiß ich nicht, ob ich DNSSEC einrichten soll?

Was meint Ihr?

Noch am Rande: Der Server bekommt eine extra Port an der Firewall und darf nach außen nur ausgesuchte Server fragen und nach Ihnen auch nur einen Ausgesuchten Antworten.
Mitglied: catachan
02.10.2012 um 11:17 Uhr
Hi

was für eine Domäne setzt du ein ? 2003, 2008 oder 2008 R2 ?
Wenn ich das richtig verstanden habe, dann hat jede Niederlassung einen eigene Internetanschluss über den gesufrt wird, abgesichert durch einen TMG. Die DNS Anfrage für das Internet macht aber einer deiner DNS in der Zentrale und du möchtest jetzt dass jede Aussenstelle selber die Internet DNS Anfragen auflöst ? Oder ?
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 12:58 Uhr
Meine Funktionsebene ist 2003 und meine Server alle 2008R2.

Ja, jede Niederlassung hat einen Internetanschluss.

Das meine Niederlassung über den Umweg auflöst soll durch mein Vorhaben vereinfacht werden, da durch, dass hier lokal unbekannte DNS-Anfragen nach Extern aufgelöst werden.
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 13:20 Uhr
Hallo

so wie ich das verstanden habe brauchst du einen Caching Resolver und keinen Nameserver, da du ja keine eigenen Domains verwalten willst sondern Namensauflösung für nicht interne Domains?

Dann fällt YADIFA weg und Bind ist für einen simplen Resolver eigenlich zweite Wahl. Besser wäre dann wahrscheinlich Unbound oder PowerDNS. Wenn du DNSSEC auswerten willst solltest du dir überlegen wie DNSSEC Fehler weiter gereicht werden. Du solltest dann auf jeden Fall nur an einer Stelle DNSSEC prüfen.

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
02.10.2012 um 13:33 Uhr
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?
Bitte warten ..
Mitglied: AndiEoh
02.10.2012 um 16:16 Uhr
Zitat von wiggumm:
Genau, den Caching Resolver brauch ich. Nennen wir Ihn auch so.

Ich nehme hier ein 1U Blech;

Versehe ihn mit der Caching Resolver Funktion per Windows?
Als Domänenmitglied? Kein Domänenmitglied?
Oder als Linux/BSD?

Bei der geringen Anzahl an DNS Abfragen ist es eigentlich schnuppe. Nimm das was einfacher in dein Verwaltungskonzept und in das (Lizenz) Budget passt. Falls Windows ist eine Domänenmitgliedschaft nicht erforderlich, aber hilfreich für die Verwaltung per GPO und ähnliches. Zumindest Unbound läuft auch unter Windows, damit ist kein Server Win-OS erforderlich. Für Linux/BSD spricht das sie bei gleicher Hardware mehr leisten und nahezu ohne Verwaltungseingriffe auskommen.


Je ein Port nach Intern und Extern? Ein Port für beide Wege?

Von innen muß Port 53 UDP/TCP der Maschine erreichbar sein, nach aussen muß die Maschine auf Port 53 UDP/TCP Verbindungen aufbauen dürfen.

Was würde Ihr machen?

DNSSEC, hier geht es weniger um die Konfiguration, sondern eher die Sinnhaftigkeit. Sinnvoll diese Funktion zu betreiben, wenn die
Firewalls eh nur zu 8.8.8.8 und 8.8.4.4 Port 53 zulassen?

So wie es aussieht liefert auch Google RRSIG Records aus, es steht dir also frei DNSSEC Prüfungen durchführen zu lassen. Allerdings bist du auf "unmodifizierte" Weiterleitung von Google angewiesen. Ich würde DNSSEC deshalb nur an den Punkten empfehlen an denen kein Upstream Resolver verwendet wird. YMMV

Gruß

Andi
Bitte warten ..
Mitglied: wiggumm
03.10.2012 um 12:53 Uhr
Bezüglich z. B. der Domainmitgliedschaft, geht es mir vorrangig um Sicherheit bzw vermeintliche Sicherheit. Grundsätzlich kann kein System direkt nach draussen, dazu müssen sie durch das TMG und dann noch durch die Firewall davor. Die Regeln sind sehr penibel und nicht ausladend gestaltet.

Ein Linux oder BSD würde mir hier ein besseres Gefühl vermitteln. Meine Angst, die vielleicht auch unbegründet ist, dass mein domänzugehöriges System vielleicht nach hinten durchschlägt, wenn es sich einen Schnupfen einfängt.

Lizenzen sind keine Limitierung für mich.

DNSSEC werde ich im ersten Step nicht umsetzen, das hole ich vielleicht noch nach.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
VB for Applications
gelöst Mehrere CSV Dateien aus verschiedenen Ordner einlesen via VBA (12)

Frage von mtufangil zum Thema VB for Applications ...

DNS
gelöst DNS Server löst Domänenname nicht auf! (7)

Frage von Mar-west zum Thema DNS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...