Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Server für bestimmte Domain lokal festlegen

Frage Netzwerke DNS

Mitglied: RFC2795

RFC2795 (Level 1) - Jetzt verbinden

06.10.2010 um 11:46 Uhr, 6035 Aufrufe, 7 Kommentare

Guten Morgen!

Ich habe momentan folgendes Problem:

Für ein paar Hände voll Domains soll ein spezieller DNS abgefragt werden, für alle Restlichen der ganz normal per DHCP Verteilte.
Hintergrund ist der, dass Road Warriors per VPN ins Firmennetz kommen und natürlich nur der interne DNS in der Lage ist, die Namen der internen Maschinen richtig aufzulösen. Allerdings soll er auch nur zu den internen Namen befragt werden, sobald man eine normale Internetadresse eingibt soll wieder ein anderer DNS zuständig sein.

Über die Hosts-Datei ließen sich direkt die IP-Adressen vergeben, allerdings ist das nicht Sinn der Übung, da es um einen Haufen Geräte in einem fluktuierenden Netzwerk geht.
Dass es geht und sich die Hosts auch per GPO verteilen lässt etc. ist mir klar, allerdings nicht Aufgabenstellung.
Im Endeffekt benötige ich also eine Lösung, wie man das Abfrageverhalten auf Windows-XP-PCs spezifisch steuern kann.

Vielleicht ist ja jemandem etwas in der Richtung bekannt.


Gruß,

RFC2795
Mitglied: AndreasHoster
06.10.2010 um 12:20 Uhr
Und wieso nicht den internen DNS alle DNS Abfragen bearbeiten lassen?
Wenn ordentlich konfiguriert fragt der schon draussen nach bei externen Adressen und liefert dann das Ergebnis weiter.

Mir wäre nicht bekannt, daß ich im Client je nach Adresse andere DNS Server verwenden könnte.
Bitte warten ..
Mitglied: RFC2795
06.10.2010 um 12:39 Uhr
Hallo Andreas,

danke für die Antwort! Der interne DNS ist ordentlich konfiguriert und arbeitet genau so.
Allerdings soll er bei Zugriff von aussen nicht mit den Anfragen nach externen Servern belästigt werden (sprich: "Dann sieht die Firma ja worauf ich surfe")
Das ist von der Geschäftsleitung so gewollt, also nicht die Aussage eines kleinen Angestellten am Ende der Nahrungskette.
Es läuft also in der Praxis schon so und funktioniert auch, allerdings soll (sic!) das nicht passieren.

Dass es so geht wie ich es oben beschreibe ist mir auch nicht bekannt.
Da ich mich aber für durchaus fehlbar halte, stelle ich mal die Frage in den Raum ob jemand eine Möglichkeit weiß.

Gruß,

RFC2795
Bitte warten ..
Mitglied: 60730
06.10.2010 um 16:06 Uhr
Salü,

schreib das bitte nochmal genauer auf...

Denn ich verstehe da zwei (wahrscheinlich garnicht so gemeinte) Aussagen/Fragen:

  • Ich bin Gast und keiner soll sehen, wo ich hinsurfe
  • * (dann machts auch keinen großen Unterschied, ob ich den einen DNS oder den anderen nehme - spuren dahin "lege" ich eh)
  • * In dem Fall seid Ihr dann auch der "Internetprovider" für den Gast und ihr seid im Fall der Fälle die dummen, wenn einer von "aussen" eure Leitung benutzt um Schietkram zu machen und Ihr nicht beweisen könnt wer das war. (vgl. Firmenmopped und Fahrtenbuch)

  • Ihr wollt interne und externe Rechner so trennen, dass ein externer zwar über das interne Netz ins Indernetz darf, aber nicht zu euch rein.

Gruß
Bitte warten ..
Mitglied: RFC2795
07.10.2010 um 14:54 Uhr
Gruezi Timo

Ich bin Managed Service Provider, aber dein erster Punkt ist der Zutreffendste.
Bin ja nicht von selbst auf den Schmarrn gekommen =).

Wir wollen, dass externe Laptops über VPN übers Internet ins Intranet kommen, dass aber nur die Daten ins Intranet fließen, die auch tatsächlich damit zu tun haben, sprich auch die Namensauflösung nur für interne Maschinen.

Derzeit ist es so:

Roadwarrior mit Laptop unterwegs, hängt Laptop ans Internet (Heimnetz, Hotel, UMTS - wurscht!)
VPN-Client sieht "Holla, Internet!" und baut instant automatico eine Verbindung in die Firma auf
Roadwarrior macht Browser auf und tippt "www.heise.de"
Primary DNS ist der Firmen-DNS im internen Netz, also fragt er den nach heise.de und kriegt als Antwort 193.99.144.80.
Browser ruft 193.99.144.80 auf und kommt übers normale Gateway (nicht über VPN) zu heise.de.

So weit, so gut. Funktioniert ja alles. Aber: es ist von der Geschäftsleitung (die selbst mit ihren Laptops unterwegs ist die automatisch ins VPN connecten) nicht gewollt, dass der DNS in der Firma weiss welche Adressen sie versucht haben aufzulösen. Ich weiss nicht was für Pornos die Damen und Herren so mit ihren Geräten ziehen und es interessiert mich auch nicht. Aber die Tatsache dass der Firmen-DNS das weiss macht die Herren nervös.

Wenn man nun den DNS des Gateways als Primary nehmen würde anstelle des Internen, der übers VPN angesprochen wird, hätte man nun das Problem dass man kaum in der Lage wäre remote zu arbeiten, da dann die Auflösung der internen Maschinen entweder gar nicht oder nur sehr langsam funktioniert. Deshalb arbeitet man eben im Moment mit dieser unbefriedigenden Lösung, dass der Interne DNS für alle Anfragen genutzt wird.

Vermutlich muss ich das Ganze zum besseren Verständnis mal aufmalen.
Und nochmal zur Sicherheit: ich bin nur derjenige, der sich Gedanken machen muss. Laufen tut das Ganze in einer anderen Firma, die wir aber teilweise IT-mäßig als Externe betreuen.

Ich hoffe ich habe mich ein wenig klarer ausdrücken können.


Auch 'n Gruß =)
Bitte warten ..
Mitglied: AndreasHoster
07.10.2010 um 15:40 Uhr
Wenns meine Firma wäre würde ich jetzt graue Haare kriegen ...

Ein Skript "Privat Surfen", welches die VPN Verbindung kappt ist keine Alternative, oder?
Bzw. andersrum, die automatische Verbindung auf manuell umzustellen.

Man könnte natürlich auch auf jedem Gerät einen DNS Server installieren, der je nach Adresse dann unterschiedliche andere DNS Server anfragt. Aber das ist natürlich auch ein gewisser, nicht geringer Aufwand.
Bitte warten ..
Mitglied: RFC2795
07.10.2010 um 18:03 Uhr
=)

Nein, privat surfen blöd. Manuelle VPN-Verbindung auch blöd.
Man will halt alles auf einmal, und nen DNS auf jeder Kiste zu installieren wäre die einzig mir bekannte Lösung um es so ans Laufen zu bekommen wie die Oberen sich das vorstellen, allerdings soll das natürlich auch nicht passieren.

Jetzt hatte ich die Idee, den internen DNS als Primary rauszuwerfen und stattdessen einfach per Batch (Windows XP) den DNS-Cache zu leeren und bei VPN-Verbindung automatisch den internen DNS nach den internen Maschinen zu befragen. Im Prinzip würde ich damit subjektiv nur den Zeitpunkt der Namensauflösung vorverlegen, nämlich vom Zeitpunkt wo ich drauf zugreifen will auf den Zeitpunkt der Einwahl. Dann könnte ich getrost den Gateway-DNS benutzen, da alles Andere ja bereits im Cache liegt.

Leider stehe ich bei dieser Lösung momentan auf dem Schlauch, weil nslookup die IPs nicht in den DNS-Cache übernimmt.
Bitte warten ..
Mitglied: 60730
08.10.2010 um 15:47 Uhr
moin,

das ist eine ausweglose Situation und sauber nicht lösbar.
Der einzigste "saubere" Weg wäre - dem lokalen DNS Cache - der im Normalfall eh nicht gelogt wird dauernd zu kicken und das gleiche mit den Logfiles der Firewall.
Problem dabei - damit verliert man auch die guten Infos - die einem einen kritischen Fehler/einbruchsversuch mitteilen.

Klar gehts auch über 700 Umwege mit festen Ips für alle Systeme und eigenem DNS für jede Kiste, aber wie kriegt man dann wieder (angenommen man hat unterschiedliche Provider, was beim Hotelhotspot ja nicht mal so konstruiert ist) - wie stellt man dann sicher, welcher externe DNS als Forwarder eingetragen werden soll?

Und wer sagt einem dann, dass der Admin, der das ganze eingerichtet hat nicht dann die Zeit hat die notebookdnsserver auszuquetschen, wenn er schon den Hausinternen ausquetschen könnte?

Das mußt du "aufmalen"aber nicht für uns, sondern für die die das haben wollen, was es nicht gibt.
Und dann gebe ich dir noch das Stichwort Betriebsvereibarung Internet für User und Admins fürs WE.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
DNS - Weiterleitung zu DNS-Server in anderer Domain
gelöst Frage von SchauerWindows Netzwerk7 Kommentare

Hallo liebe Admins. Ich stehe vor einem Problem mit dem ich mich jetzt mitunter auch auf dieser Seite beschäftigt ...

Windows Server
Lokaler Admin auf Server in Domain
gelöst Frage von DirmhirnWindows Server3 Kommentare

Hi, Die lokalen Admin Konten sind auf unseren Servern etwas Stiefmütterlich behandelt worden. Jetzt wollte ich das mal auf ...

DNS
Fremde Lokale Server im DNS-Server
gelöst Frage von flyingmichaelDNS5 Kommentare

Hallo, ich konnte auf die schnelle nichts passendes in der Suche finden. Folgendes Problem: wir haben eine neue Domain ...

DNS
Verständnis Frage: DNS Server, DNS Einträge und Domain
Frage von DerHahntrutDNS4 Kommentare

Guten Abend liebe Administratoren Ich versuche ein DNS-Server zu installieren. Ich habe die Logik noch nicht ganz raus. Ich ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 7 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 7 StundenSicherheit7 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 8 StundenSicherheit6 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 8 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen20 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...