Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS-Server hinter Webfilter und Firewall

Frage Microsoft Windows Server

Mitglied: JosSchmit

JosSchmit (Level 1) - Jetzt verbinden

12.05.2009, aktualisiert 15:00 Uhr, 5305 Aufrufe, 3 Kommentare

Ich bin Administratorlaie und habe ein technisches Problem.

Hallo zusammen!

Unser kleines Internatsnetzwerk (Windows Server 2003) ist mit einem Webfilter (Hardwarelösung), der zugleich Proxy und Firewall ist, ausgestattet. Der Webfilter ist vor den Server geschaltet.
An sich funktioniert das System seit einigen Jahren ganz ordentlich, allerdings macht die Namensauflösung von IP-Adressen bei einigen Internetseiten Probleme. Hierzu zählen oftmals Update-Seiten und v.a. der Login bei Facebook. Hier klappt der Zugang ab und zu nur, zumeist aber kommt ein Fehlermeldung, die besagt, dass die Namensauflösung nicht funktioniert - allerdings die der Quell-IP. Hier erfolgt zumeist eine Rückmeldung des angesteuerten Quell-Servers über eine andere IP-Adresse, die scheinbar von der Firewall blockiert wird und somit nicht erkannt wird oder nicht durch den DNS-Dienst aufgelöst werden kann. Folglich lassen sich diese Seiten auch nicht anpingen... (also z.B. http://login.facebook.com).

Welche Lösungsmöglichkeiten habe ich denn? Ich habe etwas von einem vor die Firewall geschalteten DNS-Server gelesen. Macht das Sinn oder gibt es noch andere Lösungen?

Vielen Dank für die Hilfe. Ich hoffe die Problemstellung war halbwegs klar.
Mitglied: aqui
12.05.2009 um 15:20 Uhr
Nein, das wäre Unsinn, denn die FW ist vermutlich wie immer nur Proxy DNS und reicht dann den DNS Request an den Provider bzw. dessen DNS Server den die FW mit der PPPoE Verbindung übermittelt wurde, weiter.
Oder befindet sich noch ein Router vor der FW. Diese Information fehlt wie so vieles...leider !

Leider teilst du uns ebenfalls gar nichts zur Konfiguration dieser FW mit so das man nur im freien Fall raten kann ohne dir wirklich konkret helfen zu können.
Nichtmal für die Namensnennung des FW/Filter Produktes hat es gereicht bei diesem Thread
Ebenso ob die FW Proxy DNS ist oder ihr DNS zentral mit dem Win Server macht und einer Weiterleitung an die FW als Proxs DNS.
Da kann man wie bereits bemerkt nur sinnfrei raten...

Wer der Buhmann bei diesem Problem ist bekommst du aber ganz einfach raus wenn du das Netz einmal temporär nur mit einem NAT DSL Router betreibst und prüfst ob die Probleme sich reproduzieren lassen.

Vermutlich ists der Webfilter bzw. dessen fehlerhafte Konfiguration die Ursache.
Ggf. hilt da erstmal ein Update auf die neueste Firmware Version und natürlich die Überprüfung ob DNS Daten sauber weitergereicht werden.
Ggf. hat der FW Filter ein Log oder eine Syslog Möglichkeit für ein Fehlerprotokoll ??
Über all das lässt du uns im Unklaren...
Bitte warten ..
Mitglied: JosSchmit
15.05.2009 um 02:21 Uhr
Ok, sorry erst mal. Muss mich da in einige Sachen einarbeiten, von denen ich keine Ahnung habe. Der DNS-Server scheint nach meinen Recherchen (Literatur, googeln...) soweit richtig eingerichtet zu sein und funktioniert. Der DNS arbeitet zentral auf dem Win Server und wird per Gateway über den als Proxy arbeitenden Webfilter weitergeleitet.

Unser Server befindet sich hinter einem Webfilter von der Firma DOMDV - das Gerät nennt sich SBOX und beinhaltet eine Firewall. Vor dem Webfilter befindet sich noch ein Router. Ein LOG bzw. Syslog konnte ich leider nicht finden - und auch der Servicetechniker vom Hersteller weiß nach internsiver Suche nicht weiter.

NOCHMAL ZU DEN PROBLEMEN:
Manche Internetseiten haben trotz selber Namensgebung (z.B. https://login.facebook.com) unterschiedliche Quell-und Ziel-IP's. Scheinbar lässt die FW die Rückmeldung unter der neuen IP nicht ins System rein. Komischerweise funktioniert es bei manchen Clients, bei manchen nicht. Das differiert von Zeit zu Zeit und von User zu User.

LöSUNGSWEG?
Ich habe gelesen, dass es möglich wäre, den DNS-Dienst über Port 53 umzuleiten, also direkt auf den Windows-DNS-Server. Wäre dies eine sinnvolle Alternative?

ANMERKUNGEN
Seltsamerweise lässt sich auch kein ping mehr ausführen. Hier scheint wohl auch das ICMP geblockt zu werden. Selbst ein ping des localhost geht nicht. Kann es auch hiermit in Zusammenhang stehen?
Bitte warten ..
Mitglied: aqui
15.05.2009 um 09:25 Uhr
Nein, das mit der DNS Umleitung ist unsinnig ! So wie ihr es gelöst habt ist es ok.

Der Win DNS löst alles auf was lokal ist in eurem Netz und alles was er nicht kennt, dazu gehören alle Internet Domains natürlich..., werden dann an den DNS Proxy im Filter geleitet der es dann beantwortet wenn er es im Cache hat.
Hat er es nicht im Cache, dann fragt er den DNS Server vom Provider den er immer aktuell mit der PPPoE Anmeldung bekommt !!

So ist der technsiche Gang der Dinge und das ist korrekt bei euch.

Was du testweise versuchen kannst ist direkt die Webfilter IP als DNS anzugeben (statisch) bei einem Client oder eben den DNS Server des Providers.
Damit schliesst du das rerouting und caching aus bei euch und gehst direkt an einen Provider DNS.
Dann solltest du prüfen ob sich die Probleme reproduzieren lassen !!!

Wenn sie nicht wieder auftauchen hast du ein internes DNS Problem.

Das sowas wie die Firewall/Webfilter kein Log oder Syslog hat ist eigentlich unverständlich und unüblich..
Wenn aber ein Servicetechniker schon suchen muss zeugt das nicht gerade von überragender Produktkenntniss, wenn überhaupt von irgendwelchen profunden Kenntnissen....

Also Wireshark Sniffer an die Hand nehemn und den DNS Traffic analysieren bzw. die o.a. beschrieben Tests durchführen durch Umsetzen der DNS Server IP.
Das sollte eigentlich dein Problem aufdecken.

Das Webseiten unterschiedliche IPs haben leigt daran das dort ein DNS Load Balancing ausgeführt wird, weil mehrere gespiegelte Webserver verwendet werden um den Traffic zu handeln. Kein gutes Verfahren aber durchaus nicht unüblich bei großen Websites...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...