7
DNS Server für bestimmte Domain lokal festlegen
Guten Morgen!
Ich habe momentan folgendes Problem:
Für ein paar Hände voll Domains soll ein spezieller DNS abgefragt werden, für alle Restlichen der ganz normal per DHCP Verteilte.
Hintergrund ist der, dass Road Warriors per VPN ins Firmennetz kommen und natürlich nur der interne DNS in der Lage ist, die Namen der internen Maschinen richtig aufzulösen. Allerdings soll er auch nur zu den internen Namen befragt werden, sobald man eine normale Internetadresse eingibt soll wieder ein anderer DNS zuständig sein.
Über die Hosts-Datei ließen sich direkt die IP-Adressen vergeben, allerdings ist das nicht Sinn der Übung, da es um einen Haufen Geräte in einem fluktuierenden Netzwerk geht.
Dass es geht und sich die Hosts auch per GPO verteilen lässt etc. ist mir klar, allerdings nicht Aufgabenstellung.
Im Endeffekt benötige ich also eine Lösung, wie man das Abfrageverhalten auf Windows-XP-PCs spezifisch steuern kann.
Vielleicht ist ja jemandem etwas in der Richtung bekannt.
Gruß,
RFC2795
Hintergrund ist der, dass Road Warriors per VPN ins Firmennetz kommen und natürlich nur der interne DNS in der Lage ist, die Namen der internen Maschinen richtig aufzulösen. Allerdings soll er auch nur zu den internen Namen befragt werden, sobald man eine normale Internetadresse eingibt soll wieder ein anderer DNS zuständig sein.
Über die Hosts-Datei ließen sich direkt die IP-Adressen vergeben, allerdings ist das nicht Sinn der Übung, da es um einen Haufen Geräte in einem fluktuierenden Netzwerk geht.
Dass es geht und sich die Hosts auch per GPO verteilen lässt etc. ist mir klar, allerdings nicht Aufgabenstellung.
Im Endeffekt benötige ich also eine Lösung, wie man das Abfrageverhalten auf Windows-XP-PCs spezifisch steuern kann.
Vielleicht ist ja jemandem etwas in der Richtung bekannt.
Gruß,
RFC2795
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152461
Url: https://administrator.de/contentid/152461
Printed on: April 26, 2024 at 18:04 o'clock
7 Comments
Latest comment
Und wieso nicht den internen DNS alle DNS Abfragen bearbeiten lassen?
Wenn ordentlich konfiguriert fragt der schon draussen nach bei externen Adressen und liefert dann das Ergebnis weiter.
Mir wäre nicht bekannt, daß ich im Client je nach Adresse andere DNS Server verwenden könnte.
Wenn ordentlich konfiguriert fragt der schon draussen nach bei externen Adressen und liefert dann das Ergebnis weiter.
Mir wäre nicht bekannt, daß ich im Client je nach Adresse andere DNS Server verwenden könnte.
Hallo Andreas,
danke für die Antwort! Der interne DNS ist ordentlich konfiguriert und arbeitet genau so.
Allerdings soll er bei Zugriff von aussen nicht mit den Anfragen nach externen Servern belästigt werden (sprich: "Dann sieht die Firma ja worauf ich surfe")
Das ist von der Geschäftsleitung so gewollt, also nicht die Aussage eines kleinen Angestellten am Ende der Nahrungskette.
Es läuft also in der Praxis schon so und funktioniert auch, allerdings soll (sic!) das nicht passieren.
Dass es so geht wie ich es oben beschreibe ist mir auch nicht bekannt.
Da ich mich aber für durchaus fehlbar halte, stelle ich mal die Frage in den Raum ob jemand eine Möglichkeit weiß.
Gruß,
RFC2795
danke für die Antwort! Der interne DNS ist ordentlich konfiguriert und arbeitet genau so.
Allerdings soll er bei Zugriff von aussen nicht mit den Anfragen nach externen Servern belästigt werden (sprich: "Dann sieht die Firma ja worauf ich surfe")
Das ist von der Geschäftsleitung so gewollt, also nicht die Aussage eines kleinen Angestellten am Ende der Nahrungskette.
Es läuft also in der Praxis schon so und funktioniert auch, allerdings soll (sic!) das nicht passieren.
Dass es so geht wie ich es oben beschreibe ist mir auch nicht bekannt.
Da ich mich aber für durchaus fehlbar halte, stelle ich mal die Frage in den Raum ob jemand eine Möglichkeit weiß.
Gruß,
RFC2795
Salü,
schreib das bitte nochmal genauer auf...
Denn ich verstehe da zwei (wahrscheinlich garnicht so gemeinte) Aussagen/Fragen:
Gruß
schreib das bitte nochmal genauer auf...
Denn ich verstehe da zwei (wahrscheinlich garnicht so gemeinte) Aussagen/Fragen:
- Ich bin Gast und keiner soll sehen, wo ich hinsurfe
- * (dann machts auch keinen großen Unterschied, ob ich den einen DNS oder den anderen nehme - spuren dahin "lege" ich eh)
- * In dem Fall seid Ihr dann auch der "Internetprovider" für den Gast und ihr seid im Fall der Fälle die dummen, wenn einer von "aussen" eure Leitung benutzt um Schietkram zu machen und Ihr nicht beweisen könnt wer das war. (vgl. Firmenmopped und Fahrtenbuch)
- Ihr wollt interne und externe Rechner so trennen, dass ein externer zwar über das interne Netz ins Indernetz darf, aber nicht zu euch rein.
Gruß
Gruezi Timo
Ich bin Managed Service Provider, aber dein erster Punkt ist der Zutreffendste.
Bin ja nicht von selbst auf den Schmarrn gekommen =).
Wir wollen, dass externe Laptops über VPN übers Internet ins Intranet kommen, dass aber nur die Daten ins Intranet fließen, die auch tatsächlich damit zu tun haben, sprich auch die Namensauflösung nur für interne Maschinen.
Derzeit ist es so:
Roadwarrior mit Laptop unterwegs, hängt Laptop ans Internet (Heimnetz, Hotel, UMTS - wurscht!)
VPN-Client sieht "Holla, Internet!" und baut instant automatico eine Verbindung in die Firma auf
Roadwarrior macht Browser auf und tippt "www.heise.de"
Primary DNS ist der Firmen-DNS im internen Netz, also fragt er den nach heise.de und kriegt als Antwort 193.99.144.80.
Browser ruft 193.99.144.80 auf und kommt übers normale Gateway (nicht über VPN) zu heise.de.
So weit, so gut. Funktioniert ja alles. Aber: es ist von der Geschäftsleitung (die selbst mit ihren Laptops unterwegs ist die automatisch ins VPN connecten) nicht gewollt, dass der DNS in der Firma weiss welche Adressen sie versucht haben aufzulösen. Ich weiss nicht was für Pornos die Damen und Herren so mit ihren Geräten ziehen und es interessiert mich auch nicht. Aber die Tatsache dass der Firmen-DNS das weiss macht die Herren nervös.
Wenn man nun den DNS des Gateways als Primary nehmen würde anstelle des Internen, der übers VPN angesprochen wird, hätte man nun das Problem dass man kaum in der Lage wäre remote zu arbeiten, da dann die Auflösung der internen Maschinen entweder gar nicht oder nur sehr langsam funktioniert. Deshalb arbeitet man eben im Moment mit dieser unbefriedigenden Lösung, dass der Interne DNS für alle Anfragen genutzt wird.
Vermutlich muss ich das Ganze zum besseren Verständnis mal aufmalen.
Und nochmal zur Sicherheit: ich bin nur derjenige, der sich Gedanken machen muss. Laufen tut das Ganze in einer anderen Firma, die wir aber teilweise IT-mäßig als Externe betreuen.
Ich hoffe ich habe mich ein wenig klarer ausdrücken können.
Auch 'n Gruß =)
Ich bin Managed Service Provider, aber dein erster Punkt ist der Zutreffendste.
Bin ja nicht von selbst auf den Schmarrn gekommen =).
Wir wollen, dass externe Laptops über VPN übers Internet ins Intranet kommen, dass aber nur die Daten ins Intranet fließen, die auch tatsächlich damit zu tun haben, sprich auch die Namensauflösung nur für interne Maschinen.
Derzeit ist es so:
Roadwarrior mit Laptop unterwegs, hängt Laptop ans Internet (Heimnetz, Hotel, UMTS - wurscht!)
VPN-Client sieht "Holla, Internet!" und baut instant automatico eine Verbindung in die Firma auf
Roadwarrior macht Browser auf und tippt "www.heise.de"
Primary DNS ist der Firmen-DNS im internen Netz, also fragt er den nach heise.de und kriegt als Antwort 193.99.144.80.
Browser ruft 193.99.144.80 auf und kommt übers normale Gateway (nicht über VPN) zu heise.de.
So weit, so gut. Funktioniert ja alles. Aber: es ist von der Geschäftsleitung (die selbst mit ihren Laptops unterwegs ist die automatisch ins VPN connecten) nicht gewollt, dass der DNS in der Firma weiss welche Adressen sie versucht haben aufzulösen. Ich weiss nicht was für Pornos die Damen und Herren so mit ihren Geräten ziehen und es interessiert mich auch nicht. Aber die Tatsache dass der Firmen-DNS das weiss macht die Herren nervös.
Wenn man nun den DNS des Gateways als Primary nehmen würde anstelle des Internen, der übers VPN angesprochen wird, hätte man nun das Problem dass man kaum in der Lage wäre remote zu arbeiten, da dann die Auflösung der internen Maschinen entweder gar nicht oder nur sehr langsam funktioniert. Deshalb arbeitet man eben im Moment mit dieser unbefriedigenden Lösung, dass der Interne DNS für alle Anfragen genutzt wird.
Vermutlich muss ich das Ganze zum besseren Verständnis mal aufmalen.
Und nochmal zur Sicherheit: ich bin nur derjenige, der sich Gedanken machen muss. Laufen tut das Ganze in einer anderen Firma, die wir aber teilweise IT-mäßig als Externe betreuen.
Ich hoffe ich habe mich ein wenig klarer ausdrücken können.
Auch 'n Gruß =)
Wenns meine Firma wäre würde ich jetzt graue Haare kriegen ...
Ein Skript "Privat Surfen", welches die VPN Verbindung kappt ist keine Alternative, oder?
Bzw. andersrum, die automatische Verbindung auf manuell umzustellen.
Man könnte natürlich auch auf jedem Gerät einen DNS Server installieren, der je nach Adresse dann unterschiedliche andere DNS Server anfragt. Aber das ist natürlich auch ein gewisser, nicht geringer Aufwand.
Ein Skript "Privat Surfen", welches die VPN Verbindung kappt ist keine Alternative, oder?
Bzw. andersrum, die automatische Verbindung auf manuell umzustellen.
Man könnte natürlich auch auf jedem Gerät einen DNS Server installieren, der je nach Adresse dann unterschiedliche andere DNS Server anfragt. Aber das ist natürlich auch ein gewisser, nicht geringer Aufwand.
=)
Nein, privat surfen blöd. Manuelle VPN-Verbindung auch blöd.
Man will halt alles auf einmal, und nen DNS auf jeder Kiste zu installieren wäre die einzig mir bekannte Lösung um es so ans Laufen zu bekommen wie die Oberen sich das vorstellen, allerdings soll das natürlich auch nicht passieren.
Jetzt hatte ich die Idee, den internen DNS als Primary rauszuwerfen und stattdessen einfach per Batch (Windows XP) den DNS-Cache zu leeren und bei VPN-Verbindung automatisch den internen DNS nach den internen Maschinen zu befragen. Im Prinzip würde ich damit subjektiv nur den Zeitpunkt der Namensauflösung vorverlegen, nämlich vom Zeitpunkt wo ich drauf zugreifen will auf den Zeitpunkt der Einwahl. Dann könnte ich getrost den Gateway-DNS benutzen, da alles Andere ja bereits im Cache liegt.
Leider stehe ich bei dieser Lösung momentan auf dem Schlauch, weil nslookup die IPs nicht in den DNS-Cache übernimmt.
Nein, privat surfen blöd. Manuelle VPN-Verbindung auch blöd.
Man will halt alles auf einmal, und nen DNS auf jeder Kiste zu installieren wäre die einzig mir bekannte Lösung um es so ans Laufen zu bekommen wie die Oberen sich das vorstellen, allerdings soll das natürlich auch nicht passieren.
Jetzt hatte ich die Idee, den internen DNS als Primary rauszuwerfen und stattdessen einfach per Batch (Windows XP) den DNS-Cache zu leeren und bei VPN-Verbindung automatisch den internen DNS nach den internen Maschinen zu befragen. Im Prinzip würde ich damit subjektiv nur den Zeitpunkt der Namensauflösung vorverlegen, nämlich vom Zeitpunkt wo ich drauf zugreifen will auf den Zeitpunkt der Einwahl. Dann könnte ich getrost den Gateway-DNS benutzen, da alles Andere ja bereits im Cache liegt.
Leider stehe ich bei dieser Lösung momentan auf dem Schlauch, weil nslookup die IPs nicht in den DNS-Cache übernimmt.
moin,
das ist eine ausweglose Situation und sauber nicht lösbar.
Der einzigste "saubere" Weg wäre - dem lokalen DNS Cache - der im Normalfall eh nicht gelogt wird dauernd zu kicken und das gleiche mit den Logfiles der Firewall.
Problem dabei - damit verliert man auch die guten Infos - die einem einen kritischen Fehler/einbruchsversuch mitteilen.
Klar gehts auch über 700 Umwege mit festen Ips für alle Systeme und eigenem DNS für jede Kiste, aber wie kriegt man dann wieder (angenommen man hat unterschiedliche Provider, was beim Hotelhotspot ja nicht mal so konstruiert ist) - wie stellt man dann sicher, welcher externe DNS als Forwarder eingetragen werden soll?
Und wer sagt einem dann, dass der Admin, der das ganze eingerichtet hat nicht dann die Zeit hat die notebookdnsserver auszuquetschen, wenn er schon den Hausinternen ausquetschen könnte?
Das mußt du "aufmalen"aber nicht für uns, sondern für die die das haben wollen, was es nicht gibt.
Und dann gebe ich dir noch das Stichwort Betriebsvereibarung Internet für User und Admins fürs WE.
Gruß
das ist eine ausweglose Situation und sauber nicht lösbar.
Der einzigste "saubere" Weg wäre - dem lokalen DNS Cache - der im Normalfall eh nicht gelogt wird dauernd zu kicken und das gleiche mit den Logfiles der Firewall.
Problem dabei - damit verliert man auch die guten Infos - die einem einen kritischen Fehler/einbruchsversuch mitteilen.
Klar gehts auch über 700 Umwege mit festen Ips für alle Systeme und eigenem DNS für jede Kiste, aber wie kriegt man dann wieder (angenommen man hat unterschiedliche Provider, was beim Hotelhotspot ja nicht mal so konstruiert ist) - wie stellt man dann sicher, welcher externe DNS als Forwarder eingetragen werden soll?
Und wer sagt einem dann, dass der Admin, der das ganze eingerichtet hat nicht dann die Zeit hat die notebookdnsserver auszuquetschen, wenn er schon den Hausinternen ausquetschen könnte?
Das mußt du "aufmalen"aber nicht für uns, sondern für die die das haben wollen, was es nicht gibt.
Und dann gebe ich dir noch das Stichwort Betriebsvereibarung Internet für User und Admins fürs WE.
Gruß