Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS zwei Standorte unterschiedliche IP-Bereiche in einem AD

Frage Microsoft Windows Server

Mitglied: Bodenseehost

Bodenseehost (Level 1) - Jetzt verbinden

24.06.2008, aktualisiert 26.06.2008, 7898 Aufrufe, 10 Kommentare

Hallo Ihr Profis!

Habe mich schon durch einige Beiträge zum DNS gewurschtelt, aber unsere Konstellation bringt mich doch immer wieder durcheinander.

Vorab: Bin nicht der Admin des Gesamtnetzes, aber betreue unseren eigenen Standort.

Aufbau:
Ein AD in der Zentrale, dort eine DSL-Verbindung ins Internet, sowie eine DSL-Verbindung VPN zu uns.
Bei uns steht auch je ein Router für Web (140.5.1.99), ein Router für die VPN-Verbindung (140.5.1.90).
Nun aber: Unterschiedliche IP-Bereiche!
Zentrale 140.1.x.x /255.255.0.0
Wir haben 140.5.x.x /255.255.0.0

Unser Internetrouter 140.5.1.99 hat ein Routing aller Anfragen in 140.1.x.x auf den VPN-Router 140.5.1.90. Der Verkehr in Gegenrichtung von der Zentrale ist gleich geroutet.
Bisher stand also bei unseren Clients der Internetrouter 140.5.1.99 als DNS und Gateway drin.

Seit neustem haben wir einen DC (140.5.0.3) Server 2003 bekommen, der in unserem Standort unsere alte, eigenständige NT-Domäne ablöst, und ich fange gerade an die PC's in die neue Domäne zu nehmen.

Der DNS auf dem neuen DC gleicht sich offenbar mit der Zentrale ordentlich ab, es werden die Zonen 1.140... und 5.140.... dargestellt. Weiterleitung aller unbekannten Anfragen steht hier auf 140.5.1.99.

Nun meine Fragen:
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet, welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig

Wie kann ich das realisieren:
Im Client NUR den 140.5.0.3 als Gateway/DNS eingetragen werden muss, d.h.
der DC 140.5.0.3 im DNS Anfragen an
140.1.x.x auf 140.5.1.90 und
nur alles was nicht 140.1. und 140.5. heißt an 140.5.1.99 weiterleitet???

Kann es Probleme mit der Replikation der Server geben (es scheint ja nicht zu stören, dass hier schon eine weiterleitung der unbekannten Anfragen an 140.5.1.99 vorhanden ist... oder routet evtl. der DC in der Zentrale den dortigen Internetverkehr evtl. zu uns???) Wird die Weiterleitung garnicht mit repliziert???

An Änderungen der IP-Bereiche brauche ich derzeit nicht zu denken, da u.a. auch hart-programmierte Fördertechnik (Logistikbereich) in beiden Standorten im Einsatz ist...

Höchstens das aufmachen der Netzmaske auf ein A-Netz würde doch unser seltsames Routing erübrigen, oder nicht? Ist eigentlich die Verwendung eines 140.x.x.x-Netzes nicht etwas eigentümlich???


Wäre nett, wenn ich ein paar Tipps bekommen könnte
Mitglied: 60730
24.06.2008 um 13:49 Uhr
moin,

Nun meine Fragen:
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet,
welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig


Der Datenverkehrstechnische Tipp lautet - Gateway auf dem Router belassen - DNS auf dem Server so einstellen, daß der Router als Forwarder im DNS vom Server ist.
Und den Clients den Server als DNS mitgeben.
Bitte warten ..
Mitglied: Bodenseehost
24.06.2008 um 15:27 Uhr
Hm hast recht - eigentlich logisch.
Gateway 1.99 (Webrouter), DNS nur noch der DC - funktioniert... weiterleitung auf den Router stand ja schon.

Allerdings läuft so immer noch jede Anfrage in das Netz der Zentrale auf den Webrouter, von dort per Route auf den VPN-Router. Ist das nicht "unschön"? Unser DC kennt die IP's doch - kann der die nicht gleich auf den VPN-Router schicken?

Eine Weiterleitung für die vorhandene Zone konnte ich jedoch nicht anlegen.

Würde sich was ändern, wenn ich dem DC die Route bekannt mache?
Bitte warten ..
Mitglied: 60730
24.06.2008 um 15:34 Uhr
jupp,

du kannst (mußt) auf allen Rechnern die Route zum 140.1.x.x /255.255.0.0 auf den VPN Router setzen - nicht (nur) auf dem DC - wenn schon.

Der Standardgateway Router hat die Route aber permanent im Speicher - von daher verspreche dir nicht allzuviel davon.
Ein Hop fällt damit weg - mehr nicht - dafür hast du den Wartungsbedarf nun an allen Clients, im Fall eines Falles ;-/
Bitte warten ..
Mitglied: Bodenseehost
24.06.2008 um 15:40 Uhr
Das ist ein Argument. In dem Fall halt ich wohl die Füße still, und freue mich *g*.

Danke Dir auf alle Fälle
Bitte warten ..
Mitglied: aqui
24.06.2008 um 16:40 Uhr
Das ist Unsinn, was oben steht und du verkennst scheinbar die Funktion des ICMP Protokolls in deinem Netz oder kennst sie gar nicht !

Richtig ist wenn du über DHCP oder statisch arbeitest als Standardgateway IMMER den normalen Internet Router anzugeben !!!
Dieser hat ja eine Route zum Netz in die Zentrale via VPN Router konfiguriert also sowas wie
ip route 140.1.0.0 maske 255.255.0.0 gateway 140.5.1.90

D.h. alle Packet für die Zielnetze 140.1.0.0 wandern zum VPN Router.
Da der Internet Router und der VPN Router aber im gleichen IP Netz sind schickt der Internet Router bei einem solchen Packet sofort ein ICMP Redirect Paket (ICMP Typ 5) an den Client der ihm sagt das das richtige Gateway für das 140.1.0.0er Netz im selben Segment ist und die 140.5.1.99 ist.
Der Client sendet daraufhin seine Pakete direkt dort hin.

Die Funktion von ICMP redirect kannst du hier nachlesen:

http://en.wikipedia.org/wiki/ICMP_Redirect_Message
oder
http://de.wikipedia.org/wiki/ICMP

Zum tieferen Verständnis für dich sähe eine VPN Kommunikation mit den beiden Routern dann so aus:

b923dc17fc773afb8041cffa9f1d8a35-redirect - Klicke auf das Bild, um es zu vergrößern

Es ist also technisch unsinnig diese Route auf allen PCs und Server zu konfigurieren und es besteht auch keinesfalls ein Muss das zu tun wie fälschlicherweise oben beschrieben !!
Routen sollen die Router aber niemals die Endgeräte !!!
Es reicht vollkommen für dein Netz ein Standardgateway Eintrag auf den Router der euer Default Gateway ist und das sollte der Internet Router mit der 140.5.1.90 sein !!!
Alle Endgeräte wie PCs und Server haben nur einen default Gateway Eintrag sonst gar nichts !!! Also niemals statische Routen auf einem Endgerät !

Noch ein kritisches Wort zu deinen IP Adressen da du ja auch richtig bemerkst das deren verwendung nicht das Gelbe vom Ei ist:
Natürlich ist die Verwendung mehr als bedenklich, denn sowohl die Netze 140.1.0.0 als 140.5.0.0 sind öffentliche IP Adressen die dem US Department of Defense (Verteidigungministerium) gehören und nicht auf ein Unternehmen am Bodensee mit irgendeiner Fördertechnik registriert sind.
Nachkontrollieren kannst du das hier:

http://www.heise.de/netze/tools/whois-abfrage

Ihr benutzt also intern öffentliche IP Adressen die euch nicht gehören ! Keine sehr gute Idee und zeugt von erheblichem Unwissen desjenigen der eure Netze eingerichtet bzw. designt hat.
Wenn du kannst, solltest du (oder dein Admin) das schnellstens ändern in sog. Private IP Netze nach RFC 1918:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Generell ist das machbar auch öffentliche IPs zu verwenden aber es ist bestimmt nicht besonders gut wenn solche Pakete von euch mal ins offene Internet gelangen die offiziell nicht zu euch gehören.... Schon gar nicht im Hinblick auf den rechtmässigen Besitzer dieser IP Adressen !!
Bitte warten ..
Mitglied: 60730
24.06.2008 um 17:27 Uhr
Servus Aqui

es besteht auch keinesfalls ein Muss das zu tun wie fälschlicherweise oben beschrieben !!

Yupp "so" stimmts - aber ich hab wohl (mal wieder?) zu global geschrieben...

Du hast mein Zitat leider etwas aus dem Zusammenhang gerissen - obwohl das schon "krumm" geschrieben war

du kannst (mußt) auf allen Rechnern die Route zum 140.1.x.x /255.255.0.0 auf den VPN Router setzen - nicht (nur) auf dem DC - wenn schon.

Das (mußt) bezog sich auf "nicht (nur) auf dem DC - wenn schon."

Der Standardgateway Router hat die Route aber permanent im Speicher - von daher verspreche dir nicht allzuviel davon.
Das war "mein" versuch es so zu schreiben, wie du es gemacht hast - nimm mirs nicht krumm - auch ich lerne noch (besser & ausführlicher zu argumentieren)
Auf die öffentlichen Adressen hab ich auch nicht geschaut - gutes Auge
Dafür bist du dann auch der einzige im Forum, der Pakete mit ck schreiben darf

Gruß
Bitte warten ..
Mitglied: aqui
24.06.2008 um 18:41 Uhr
Oopsa... Recht hast du allerdings darf ich als Ausrede sagen das in der ersten Reform 2004 beide Schreibweisen erlaubt waren nur mit der Reform 2006 es wieder rückgängig gemacht wurde...
http://www.ids-mannheim.de/reform/

OK, von der kranken Rechtschreibreform bei der keiner mehr durchblickt zurück zum Thread...
Hatte schon vermutet das du das so meinst, also sorry falls es etwas zu eindringlich formuliert ist....wollte nur verhindern, das Bodenseehost da technisch jetzt in eine Sackgasse rennt...
Du weisst ja von wem es kommt..
Bitte warten ..
Mitglied: Bodenseehost
25.06.2008 um 17:38 Uhr
Wie auch immer fühle ich mich nun ein wenig schlauer...
Dass unser IP-Bereich ein wenig willkürlich ist, hatte mich schon bei meinem Einstieg ins Unternehmen gewundert... leider - wie erwähnt - stecken die Adressen wohl recht "hart" in einem 22.000-Paletten-Hochregal-Roboter *fg*

Viel gelesen, und nu bleibt alles wie's ist... hatte einfach den Eindruck hier währe noch was zu gewinnen.
Danke Euch beiden
Bitte warten ..
Mitglied: aqui
26.06.2008 um 13:33 Uhr
Das ist Unsinn. IP Adressen sind niemals hart irgendwo drin. Man kann sie leicht ändern nur muss wissen wie. Scheinbar hat der Hochregalroboter Hersteller euch das nicht erzählt (weil er wohl mit der schnellen Dienstleistung ein bischen Geld verdienen will )

Was wolltest du denn gewinnen mit so einer schlechten Netzwerkplanung ??? Wunder in der IP Adressierung kann auch ein noch so tolles Forum leider nicht vollbringen !!!

Wenns das war bitte dann
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: Bodenseehost
26.06.2008 um 21:23 Uhr
Nein - kein Unsinn. Die IP-Adressen für die Regalroboter, die Materialflusspunkte, als auch die Kontrolleinheiten und Lagersteuerrechner sind HART im Code, und müssten an vielen vielen vielen Stellen geändert werden. Aufgrund unseres eher seltenen und auch in Zukunft eher nicht zu erwartenden Kontaktes zur Amerikanischen Verteidigung wird da sicher auch so bald nichts geändert... habe ich schließlich nicht zu entscheiden ;)

Verwirrt hatte mich letztlich eher, dass die DNS-Auflösung einen "anderen Weg" nimmt, als der tatsächliche Paketverkehr. Letztlich muss ich nun nur noch das vorgeschlagene "Erledigt" setzen *g*

Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
DNS
DNS Reverse Lookup - falsche IP (9)

Frage von Johannes219 zum Thema DNS ...

Router & Routing
gelöst Zwei unterschiedliche IP Netzwerke über WLAN verbinden (26)

Frage von Oggy01 zum Thema Router & Routing ...

Microsoft
gelöst IP geändert DNS Eintrag bleibt alte IP (12)

Frage von florianza zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...