Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS - Reverse Lookup zu Server in anderem Netzwerk ohne weiteres möglich?

Frage Netzwerke DNS

Mitglied: MarcoNB

MarcoNB (Level 1) - Jetzt verbinden

05.07.2011 um 14:06 Uhr, 6476 Aufrufe, 6 Kommentare

Hallo,

folgendes Szenario:

2 vorhandene Netze (A - meines, B - Fremdnetz) mit jeweils AD und DNS, etc.

Diese sind durch eine Hardware-Firewall gekoppelt. Es ist nur eine IP (172.17.1.10) für Port 445 (SMB) in der Firewall freigegeben, so das Netz A auf Netz B zugreifen kann.

Nun zur eigentlichen Frage.

Ich kann den Fileserver erreichen, funktioniert soweit alles gut, jedoch nur per IP und nicht per Hostname.
Dies will ich nun verbessern und dachte mir, das probiere ich mit einer Reverse Lookup Zone in meinem DNS.

Ich habe nun eine AD integrierte primäre neue Reverse Lookupzone mit der IP angelegt. Diese steht dort nun als:

1.17.172.in-addr.arpa

In dieser habe ich einen PTR Eintrag mit der vollen IP 172.17.1.10 und dem Hostnamen des Servers vorgenommen.
In der Zone sind auch die NS und SOA Einträge Server aus meinem Netz A und nicht aus Netz B, da ich diese gar nicht kenne und selbst wenn keine HW-FW Freigabe existieren würde.

Wie gesagt, es gibt keinerlei Freigaben für DC o. DNS Server auf Netz B und auch keine Form eines Trust's. Ist dies daohne überhaupt möglich?
Eigentlich sollte ja mein DNS in der Lage sein den Hostnamen aufzulösen, da er alle benötigten Informationen hat.
Irgendwas übersehe ich sicher, wenn es ohne Zugriff auf die DNS Server von Netz B, möglich sein sollte.

An der HW-FW Config und an der Config von Netz B kann kein Einfluss genommen werden.

Netz B hätte natürlich auch eine Domäne in der Form: b.de.xxxyyy.com

Hat jemand einen Hinweis ob ich hier selbst die Auflösung bewerkstelligen kann? Vielleicht gebe ich ja im DNS nur etwas nicht ganz korrekt ein?
Mitglied: kopie0123
05.07.2011 um 14:13 Uhr
Hey,

so sollte es funktionieren. Was erhälst Du denn für eine meldung?

Gruß
Bitte warten ..
Mitglied: kopie0123
05.07.2011 um 14:20 Uhr
STOP:

Wen du ihn oer Hostnamen erreichen willst, sprich servername.local eingeben, dann brauchst du eine forward zone!

forward: name -> ip

reverse: ip -> name

Gruß
Bitte warten ..
Mitglied: HubertN
05.07.2011 um 16:27 Uhr
Moin

Das ist ganz einfach zu lösen: Du musst die Zonenübertragung zum jeweils anderen Server zulassen und die Zone als sekundäre Zone einrichten.

http://technet.microsoft.com/de-de/library/cc739056(WS.10).aspx

Und schon klappts auch mit der Namensauflösung...



und wenn das aus welchem Grund auch immer nicht gehen sollte, dann musst du die andere Zone als primäre einrichten und die geforderten Hosteinträge von Hand machen

Gruß

Hubert

edit: "Zwei Firewalls gekoppelt" heißt für mich, dass es ein VPN gibt - da glaube ich nicht daran, dass nur ein Port offen ist - oder sollte ich mich da irren ?!
edit2: und mit einem Reverse-Lookup hat das weniger als nichts zu tun...
Bitte warten ..
Mitglied: MarcoNB
05.07.2011 um 17:53 Uhr
Ah danke StingerMAC, Du hast natürlich recht. Da hatte ich einen Knoten im Gehirn, weil ich nur die IP hatte und jetzt zum HN wollte, aber ich will ja den HN eingeben. Gut da wäre ich schon mal auf dem richtigen Wege.
Leider hat diese Anpassung noch nicht zum Erfolg geführt, manchmal braucht die Aktualisierung ja etwas, ich probiere es morgen noch mal.

@ HubertN ja auch Du hast mit edit2 Recht.

Ja das mit der Zonenübertragung und sekundäre Zone kenne ich alles, habe ich auch bereits als Endziellösung vorgeschlagen gehabt. Aber da ich dies nicht groß beeinflussen kann, möchte ich wenn möglich, erst mal eine schnelle Lösung herbeiführen, die vollständig in meiner Hand liegt. Es geht nur um 2 IP's. Ist dies denn ohne Verbindung zum DNS Server der den Namen auflöst (also den in Netz B) prinzipiell überhaupt möglich?

Von zwei Firewalls habe ich nichts geschrieben. Es gibt in den 2 Netzen um die es geht nur eine, die diese trennt. Die IP's der anderen DNS Server sind definitiv nicht erreichbar, daher fällt zunächst die Zonenübertragungen aus.
Na gut im großen Gesamtkonzept gibt es noch so einige Firewalls mehr und natürlich auch VPN, aber das ist für meine Sache hier unwichtig.
Bitte warten ..
Mitglied: HubertN
05.07.2011 um 19:00 Uhr
Von zwei Firewalls habe ich nichts geschrieben

hast Recht. Zwei Netze habe ich gleich in zwei Standorte übersetzt...

Die IP's der anderen DNS Server sind definitiv nicht erreichbar

du routest doch in das andere Netz ? das muss ich jetzt nicht verstehen.

Es geht nur um 2 IP's. Ist dies denn ohne Verbindung zum DNS Server der den Namen auflöst (also den in Netz B) prinzipiell überhaupt möglich?

Ja klar:

- Editiere deine hosts-Datei
- Esrelle eine primäre Zone auf deinem DNS-Server (aber das schrieb ich ja schon...)


Ein bischen komisch finde ich es schon, dass man auf Daten des anderen Netzwerkes zugreifen können will, aber bei einer DNS Zonenübertragung sicherheitstechnish wohl über die zulässige Grenze hinnaus schießt.
Bitte warten ..
Mitglied: MarcoNB
06.07.2011 um 16:51 Uhr
Zitat von HubertN:
>
Ja klar:

- Editiere deine hosts-Datei
Das war der entscheidende Hinweis. Darauf war ich nicht gekommen. Dies bei allen Clients zu tätigen wäre ja zwar möglich, aber zu aufwendig. Auf den 2 DNS-Server hält sich der Aufwand in Grenzen, eigentlich braucht man es sogar nur bei einem tun, das funktioniert auch, ist natürlich nicht so ausfallsicher. Der Eintrag in der primären Zone alleine reicht also nicht aus, obwohl da ja eigentlich das selbe drin steht wie in der hosts-Datei.

- Esrelle eine primäre Zone auf deinem DNS-Server (aber das schrieb ich ja schon...)
Der Eintrag in der primären Zone alleine reicht also nicht aus, obwohl da ja eigentlich das selbe drin steht wie in der hosts-Datei.
Ich hatte dann noch eine primäre Zone mit der echten Bezeichnung der anderen Domäne angelegt, aber wenn ich die beiden A-Einträge dort vorgenommen habe, hat es nicht funktioniert. Jedoch in meiner prim. Domäne Zone hat es dann bestens funktioniert. Vermutlich konnte er in der anderen Zone nicht zugreifen, weil ihm die richtige Verbindung fehlt.



Ein bischen komisch finde ich es schon, dass man auf Daten des anderen Netzwerkes zugreifen können will, aber bei einer DNS
Zonenübertragung sicherheitstechnish wohl über die zulässige Grenze hinnaus schießt.
Ich sage ja nicht das dies komplett ausgeschlossen ist, jedoch sind die politischen Klärungen solcher Themen in einer Großfirma häufig äußert zäh. Ich denke Du verstehst was ich meine. Daher muss ich erstmal eine Lösung mit den mir derzeit vorhandenen Mitteln erstellen, welche ich Dank Dir und auch Stinger jetzt habe. Also besten Dank.
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
DNS
DNS Reverse Lookup - falsche IP (9)

Frage von Johannes219 zum Thema DNS ...

Windows Netzwerk
Development Server über DNS Server im Netzwerk erreichbar machen (2)

Frage von sbsnewbie zum Thema Windows Netzwerk ...

Exchange Server
DNS und Relay-Server(SmartHost) (4)

Frage von oce zum Thema Exchange Server ...

Netzwerke
gelöst VPN Sichtbarkeit im Netzwerk nicht möglich (6)

Frage von serguni zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...