Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Server für bestimmte Domain lokal festlegen

Frage Netzwerke DNS

Mitglied: RFC2795

RFC2795 (Level 1) - Jetzt verbinden

06.10.2010 um 11:46 Uhr, 5686 Aufrufe, 7 Kommentare

Guten Morgen!

Ich habe momentan folgendes Problem:

Für ein paar Hände voll Domains soll ein spezieller DNS abgefragt werden, für alle Restlichen der ganz normal per DHCP Verteilte.
Hintergrund ist der, dass Road Warriors per VPN ins Firmennetz kommen und natürlich nur der interne DNS in der Lage ist, die Namen der internen Maschinen richtig aufzulösen. Allerdings soll er auch nur zu den internen Namen befragt werden, sobald man eine normale Internetadresse eingibt soll wieder ein anderer DNS zuständig sein.

Über die Hosts-Datei ließen sich direkt die IP-Adressen vergeben, allerdings ist das nicht Sinn der Übung, da es um einen Haufen Geräte in einem fluktuierenden Netzwerk geht.
Dass es geht und sich die Hosts auch per GPO verteilen lässt etc. ist mir klar, allerdings nicht Aufgabenstellung.
Im Endeffekt benötige ich also eine Lösung, wie man das Abfrageverhalten auf Windows-XP-PCs spezifisch steuern kann.

Vielleicht ist ja jemandem etwas in der Richtung bekannt.


Gruß,

RFC2795
Mitglied: AndreasHoster
06.10.2010 um 12:20 Uhr
Und wieso nicht den internen DNS alle DNS Abfragen bearbeiten lassen?
Wenn ordentlich konfiguriert fragt der schon draussen nach bei externen Adressen und liefert dann das Ergebnis weiter.

Mir wäre nicht bekannt, daß ich im Client je nach Adresse andere DNS Server verwenden könnte.
Bitte warten ..
Mitglied: RFC2795
06.10.2010 um 12:39 Uhr
Hallo Andreas,

danke für die Antwort! Der interne DNS ist ordentlich konfiguriert und arbeitet genau so.
Allerdings soll er bei Zugriff von aussen nicht mit den Anfragen nach externen Servern belästigt werden (sprich: "Dann sieht die Firma ja worauf ich surfe")
Das ist von der Geschäftsleitung so gewollt, also nicht die Aussage eines kleinen Angestellten am Ende der Nahrungskette.
Es läuft also in der Praxis schon so und funktioniert auch, allerdings soll (sic!) das nicht passieren.

Dass es so geht wie ich es oben beschreibe ist mir auch nicht bekannt.
Da ich mich aber für durchaus fehlbar halte, stelle ich mal die Frage in den Raum ob jemand eine Möglichkeit weiß.

Gruß,

RFC2795
Bitte warten ..
Mitglied: 60730
06.10.2010 um 16:06 Uhr
Salü,

schreib das bitte nochmal genauer auf...

Denn ich verstehe da zwei (wahrscheinlich garnicht so gemeinte) Aussagen/Fragen:

  • Ich bin Gast und keiner soll sehen, wo ich hinsurfe
  • * (dann machts auch keinen großen Unterschied, ob ich den einen DNS oder den anderen nehme - spuren dahin "lege" ich eh)
  • * In dem Fall seid Ihr dann auch der "Internetprovider" für den Gast und ihr seid im Fall der Fälle die dummen, wenn einer von "aussen" eure Leitung benutzt um Schietkram zu machen und Ihr nicht beweisen könnt wer das war. (vgl. Firmenmopped und Fahrtenbuch)

  • Ihr wollt interne und externe Rechner so trennen, dass ein externer zwar über das interne Netz ins Indernetz darf, aber nicht zu euch rein.

Gruß
Bitte warten ..
Mitglied: RFC2795
07.10.2010 um 14:54 Uhr
Gruezi Timo

Ich bin Managed Service Provider, aber dein erster Punkt ist der Zutreffendste.
Bin ja nicht von selbst auf den Schmarrn gekommen =).

Wir wollen, dass externe Laptops über VPN übers Internet ins Intranet kommen, dass aber nur die Daten ins Intranet fließen, die auch tatsächlich damit zu tun haben, sprich auch die Namensauflösung nur für interne Maschinen.

Derzeit ist es so:

Roadwarrior mit Laptop unterwegs, hängt Laptop ans Internet (Heimnetz, Hotel, UMTS - wurscht!)
VPN-Client sieht "Holla, Internet!" und baut instant automatico eine Verbindung in die Firma auf
Roadwarrior macht Browser auf und tippt "www.heise.de"
Primary DNS ist der Firmen-DNS im internen Netz, also fragt er den nach heise.de und kriegt als Antwort 193.99.144.80.
Browser ruft 193.99.144.80 auf und kommt übers normale Gateway (nicht über VPN) zu heise.de.

So weit, so gut. Funktioniert ja alles. Aber: es ist von der Geschäftsleitung (die selbst mit ihren Laptops unterwegs ist die automatisch ins VPN connecten) nicht gewollt, dass der DNS in der Firma weiss welche Adressen sie versucht haben aufzulösen. Ich weiss nicht was für Pornos die Damen und Herren so mit ihren Geräten ziehen und es interessiert mich auch nicht. Aber die Tatsache dass der Firmen-DNS das weiss macht die Herren nervös.

Wenn man nun den DNS des Gateways als Primary nehmen würde anstelle des Internen, der übers VPN angesprochen wird, hätte man nun das Problem dass man kaum in der Lage wäre remote zu arbeiten, da dann die Auflösung der internen Maschinen entweder gar nicht oder nur sehr langsam funktioniert. Deshalb arbeitet man eben im Moment mit dieser unbefriedigenden Lösung, dass der Interne DNS für alle Anfragen genutzt wird.

Vermutlich muss ich das Ganze zum besseren Verständnis mal aufmalen.
Und nochmal zur Sicherheit: ich bin nur derjenige, der sich Gedanken machen muss. Laufen tut das Ganze in einer anderen Firma, die wir aber teilweise IT-mäßig als Externe betreuen.

Ich hoffe ich habe mich ein wenig klarer ausdrücken können.


Auch 'n Gruß =)
Bitte warten ..
Mitglied: AndreasHoster
07.10.2010 um 15:40 Uhr
Wenns meine Firma wäre würde ich jetzt graue Haare kriegen ...

Ein Skript "Privat Surfen", welches die VPN Verbindung kappt ist keine Alternative, oder?
Bzw. andersrum, die automatische Verbindung auf manuell umzustellen.

Man könnte natürlich auch auf jedem Gerät einen DNS Server installieren, der je nach Adresse dann unterschiedliche andere DNS Server anfragt. Aber das ist natürlich auch ein gewisser, nicht geringer Aufwand.
Bitte warten ..
Mitglied: RFC2795
07.10.2010 um 18:03 Uhr
=)

Nein, privat surfen blöd. Manuelle VPN-Verbindung auch blöd.
Man will halt alles auf einmal, und nen DNS auf jeder Kiste zu installieren wäre die einzig mir bekannte Lösung um es so ans Laufen zu bekommen wie die Oberen sich das vorstellen, allerdings soll das natürlich auch nicht passieren.

Jetzt hatte ich die Idee, den internen DNS als Primary rauszuwerfen und stattdessen einfach per Batch (Windows XP) den DNS-Cache zu leeren und bei VPN-Verbindung automatisch den internen DNS nach den internen Maschinen zu befragen. Im Prinzip würde ich damit subjektiv nur den Zeitpunkt der Namensauflösung vorverlegen, nämlich vom Zeitpunkt wo ich drauf zugreifen will auf den Zeitpunkt der Einwahl. Dann könnte ich getrost den Gateway-DNS benutzen, da alles Andere ja bereits im Cache liegt.

Leider stehe ich bei dieser Lösung momentan auf dem Schlauch, weil nslookup die IPs nicht in den DNS-Cache übernimmt.
Bitte warten ..
Mitglied: 60730
08.10.2010 um 15:47 Uhr
moin,

das ist eine ausweglose Situation und sauber nicht lösbar.
Der einzigste "saubere" Weg wäre - dem lokalen DNS Cache - der im Normalfall eh nicht gelogt wird dauernd zu kicken und das gleiche mit den Logfiles der Firewall.
Problem dabei - damit verliert man auch die guten Infos - die einem einen kritischen Fehler/einbruchsversuch mitteilen.

Klar gehts auch über 700 Umwege mit festen Ips für alle Systeme und eigenem DNS für jede Kiste, aber wie kriegt man dann wieder (angenommen man hat unterschiedliche Provider, was beim Hotelhotspot ja nicht mal so konstruiert ist) - wie stellt man dann sicher, welcher externe DNS als Forwarder eingetragen werden soll?

Und wer sagt einem dann, dass der Admin, der das ganze eingerichtet hat nicht dann die Zeit hat die notebookdnsserver auszuquetschen, wenn er schon den Hausinternen ausquetschen könnte?

Das mußt du "aufmalen"aber nicht für uns, sondern für die die das haben wollen, was es nicht gibt.
Und dann gebe ich dir noch das Stichwort Betriebsvereibarung Internet für User und Admins fürs WE.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

DNS
gelöst DNS Server löst Domänenname nicht auf! (7)

Frage von Mar-west zum Thema DNS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...