Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FortiGate VPN - register DNS

Frage Microsoft Windows Netzwerk

Mitglied: HardySim

HardySim (Level 1) - Jetzt verbinden

12.12.2011, aktualisiert 18.10.2012, 6447 Aufrufe, 6 Kommentare

Hi Zusammen,
habe ein Problem mit der DNS-Registrierung bei folgendes Szenario (Kurzform, der Beitrag an dem ich eben 20 Minuten getippt habe wurde wohl einfach verworfen, weil ich den Browser minimiert habe...):

Client - WinXP
ServerA - W2K3 (DHCP)
ServerB - W2K3 (DNS)
Firewall - FortiGate 200A (eigener DHCP für VPN-Zugriffe)

Was geht
Lokale Clients erhalten vom Win-DHCP eine IP und werden am DNS-Server registiert.
VPN Clients erhalten vom Forti-DHCP eine IP in einem anderem Bereich und die DNS-Server zur Auflösung.

Ping anhand der IP geht in beide Richtungen. DNS-Auflösung geht vom VPN-Client in das lokale Netz.

Was nicht geht
Lokale Rechner können die VPN-Clients nicht anhand des Namens ansprechen (IP geht ja), da die DNS-Einträge nicht aktualisiert werden.

Ursache
Der Win-DHCP-Server regisitriert seine Clients automatisch am DNS-Server.
Beim Fortigate-DHCP geschieht dies nicht. Die DNS-Einträge werden nicht aktualisiert (oder erstellt).

Was ich suche
Ich brauche eine Möglichkeit, VPN-Clients am DNS-Server zu registrieren. Ein "ipconfig /registerdns" klappt nicht.
Lokal ist alles kein Problem, da der Win-DHCP diese Aufgabe übernimmt.
Ich muss aber von einem lokalen Rechner aus die VPN-Clients anhand des Namens auflösen können, da diese bei jeder EInwahl eine andere (zufällige) IP bekommen.

Hilfe
Hat da jemand eine Idee? Gibt es bei der FortiGate auch eine Möglichkeit, dass der DHCP-Server die DNS-Registrierung übernimmt?
Mitglied: dog
12.12.2011 um 20:26 Uhr
Sind die VPN-Clients an der Domäne angemeldet, oder loggen die sich offline ein und stellen erst dann eine Verbindung her?
Welcher DNS-Suffix wird an die VPN-Clients verteilt?
Was bekommen die VPN-Clients als DNS-Server mitgeteilt?
Bitte warten ..
Mitglied: HardySim
13.12.2011 um 14:19 Uhr
hmm, das wäre noch zu testen - bisher habe ich nur das netzwerkkabel testweise getauscht (lokal / externer zugriff)

der dns-suffix, der verteilt wird ist "wpe.local" (per dns option 15)

man kann dem lan-adapter auch einen suffix mitgeben - allerdings hats weder mit noch ohne geklappt (ipconfig /registerdns)
der haken beim adapter (dns tab) für "adressen dieser verbindung in dns registrieren" ist natürlich aktiv.

der vpn-client bekommt unsere lokalen nameserver via dns-option 5.
der client hat ja auch keine probleme mit der namensauflösung. es geht um interne rechner (bsp. der server) - dieser benötigt die ip, welcher der vpn-client bei der einwahl erhalten hat.

edit
habe das automatische registrieren am dns durch den win-dhcp mal ausgeschaltet und den client (lokal) mit "ipconfig /registerdns" angemeldet.
das klappt wunderbar. nur wenn er über das vpn kommt, klappt dieser befehl nicht.

es scheint also irgendwie an der firewall o.Ä. zu hängen.
firewall-einstellungen zwischen vpn-lan / lan-vpn stehen auf allow-all und die vpn-clients bekommen eine ip im gleichen subnetz

vpn clients: xxx.xxx.253.xxx
lokale clients: xxx.xxx.3-10.xxx
subnet jeweils 255.255.0.0

update
habe mal im lokalen netz die ip auf eine vpn-ip gestellt (xxx.xxx.253.xxx) - der client registriert sich sofort beim DNS (ipconfig /register dns klappt auch).
es scheint also wirklich an der firewall zu liegen. nur - was kann man da noch mehr einstellen, außer alles erlaueben?

hilfe...
Bitte warten ..
Mitglied: HardySim
13.12.2011, aktualisiert 18.10.2012
aha, komme der sache näher!

es ist ein simpler haken bei "Adressen dieser Verbindung in DNS registrieren" - und zwar ist das überall drin nur bei den PPP Adapter des VPN nicht.
Macht man ihn rein, klappts automatisch und auch mit "ipconfig /registerdns".

jetzt suche ich nur eine möglichkeit, diesen haken auf allen rechnern zu setzten. am liebsten per GPO.

habe schon was gefunden (http://www.administrator.de/forum/gpo-f%c3%bcr-erweiterte-tcp-ip-42370. ...) doch ist das nur die vorrausetztung, dass das überhaupt funktioniert. man muss wohl für jeden adapter einzeln den haken trotzdem setzten.


wie kann ich für alle adapter (oder zumindest den "fortissl" PPP adapter diesen haken per GPO setzten? (oder per registry, kix o.Ä.)? dann wäre mein problem gelöst
Bitte warten ..
Mitglied: dog
13.12.2011 um 19:44 Uhr
Nimm Regshot, dann findest du den entsprechenden Key.
Allerdings kann bei unterschiedlichen Computern der Eintrag wo anders stehen.

Die Funktion den DHCP-Server DNS-Einträge machen zu lassen ist übrigens völlig überflüssig.
Windows Domain-Clients machen das immer von alleine.
Bitte warten ..
Mitglied: HardySim
13.12.2011 um 19:49 Uhr
ja, mit regshot habe ich es schon versucht aber da kam nichts gescheites raus..
er erstellte nur nen key mit einer cryptischen adapter-id, die bei den rechnern vermutlich jedes mal unterschiedlich ist.. (aber nicht getestet).

die dhcp-register-funktion ist überflüssig, richtig - allerdings haben wir noch alte nt/win98 clients die das nicht von selbst machen..

es wäre jedoch super, wenn es ne GPO gäbe um (zur not allen) adaptern diesen dns-register-haken zu geben.. gibts da nichts?
Bitte warten ..
Mitglied: dog
13.12.2011 um 20:12 Uhr
Kryptisch ist das nicht.

Unter HKLM\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} sind alle Netzwerkadapter aufgelistet.
Da kannst du dir den richtigen nach dem Namen etc. raussuchen und unter NetCfgInstanceId ist dann die Adapter-ID.
Dann brauchst du nur noch den Wert ändern: HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<NetCfgInstanceId>\RegistrationEnabled: 0x00000001

Du könntest auch einfach netsh interface ip set dns name=<interface> source=dhcp register=primary ausführen.
Das klappt aber nur so lange, wie niemand den Adapter umbenennt.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
DNS
VPN Verbindung unklarheit mit DNS Anfrage (4)

Frage von MARBHD zum Thema DNS ...

Router & Routing
gelöst Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN (12)

Frage von teletown zum Thema Router & Routing ...

DNS
Fritz VPN keine interne DNS Auflösung (13)

Frage von krodon zum Thema DNS ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...