11
3 DCs an zwei Standorten - DNS Fragen
Hi zusammen,
ich habe eine Frage bezüglich der korrekten DNS Einstellung meiner DCs.
Kurz zum Netzplan:
Wir haben zwei Standorte. Am Standort 1 sind 2 DC´s vorhanden. ( DC 1, DC2). DC1 besitzt alle FSMO Rollen.
Am zweiten Standort ist DC 3 vorhanden. Alle DCs sind als globaler Katalog konfiguriert. Beide Standorte sind über ein IPSec VPN Tunnel (Sophos Firewall) verbunden.
DNS Einstellungen:
Standort 1:
DC 1
1.DNS Eintrag ---> DC2
2.DNS Eintrag ---> DC1
DC 2
1.DNS Eintrag ---> DC1
2.DNS Eintrag ---> DC2
Auf beiden DCs ist als Weiterleitung für externe DNS Anfragen die Sophos UTM Firewall eingetragen.
Standort 2:
DC 2
1.DNS Eintrag ---> DC1
2.DNS Eintrag ---> DC3
Auch hier auf DC3 ist die Weiterleitung an externe DNS Anfragen über die Firewall an Standort 2 geregelt.
Hierzu die erste Frage:
- Sind die DNS Einstellungen so korrekt gesetzt ?
- Sollten weiter DNS Einträge auf den DCs gesetzt werden?
Die Clients an Stanort 2 bekommen vom DHCP den DNS Server am Standort als primären DC ( DC3) und als sekundären DC den Haupt DC vom Standort 1 (DC1) zugeteilt.
Hierzu die Frage:
- passt es so mit den DNS Einstellungen am Client, oder sollte nur der DC am Standort primär eingetragen werden und z.B. als sekundärer DC die Firwall, damit beim Ausfall der IPsec Verbindung dennoch eine DNS Auflösung funktioniert?
Danke euch im Voraus für die Hilfe.
Grüße Phil
ich habe eine Frage bezüglich der korrekten DNS Einstellung meiner DCs.
Kurz zum Netzplan:
Wir haben zwei Standorte. Am Standort 1 sind 2 DC´s vorhanden. ( DC 1, DC2). DC1 besitzt alle FSMO Rollen.
Am zweiten Standort ist DC 3 vorhanden. Alle DCs sind als globaler Katalog konfiguriert. Beide Standorte sind über ein IPSec VPN Tunnel (Sophos Firewall) verbunden.
DNS Einstellungen:
Standort 1:
DC 1
1.DNS Eintrag ---> DC2
2.DNS Eintrag ---> DC1
DC 2
1.DNS Eintrag ---> DC1
2.DNS Eintrag ---> DC2
Auf beiden DCs ist als Weiterleitung für externe DNS Anfragen die Sophos UTM Firewall eingetragen.
Standort 2:
DC 2
1.DNS Eintrag ---> DC1
2.DNS Eintrag ---> DC3
Auch hier auf DC3 ist die Weiterleitung an externe DNS Anfragen über die Firewall an Standort 2 geregelt.
Hierzu die erste Frage:
- Sind die DNS Einstellungen so korrekt gesetzt ?
- Sollten weiter DNS Einträge auf den DCs gesetzt werden?
Die Clients an Stanort 2 bekommen vom DHCP den DNS Server am Standort als primären DC ( DC3) und als sekundären DC den Haupt DC vom Standort 1 (DC1) zugeteilt.
Hierzu die Frage:
- passt es so mit den DNS Einstellungen am Client, oder sollte nur der DC am Standort primär eingetragen werden und z.B. als sekundärer DC die Firwall, damit beim Ausfall der IPsec Verbindung dennoch eine DNS Auflösung funktioniert?
Danke euch im Voraus für die Hilfe.
Grüße Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 423590
Url: https://administrator.de/contentid/423590
Printed on: April 26, 2024 at 12:04 o'clock
11 Comments
Latest comment
Moin,
Warum nicht auf einen vertrauenswürdigen öffentlichen DNS-Server? Ansonsten ist das ok.
Auch hier: Warum nicht auf einen öffentlichen Server?
Nein, Du darfst in der Windows-Domain keinen DNS-Server eintragen, der nicht über die Domain Auskunft geben kann, da mit dem DNS das ganze AD steht und fällt. Fällt also Dein interner DNS aus, hast du ganz andere Probleme als das, dass die User nicht mehr surfen können. Insofern lass es so. Außerdem ist es eher unwahrscheinlich, dass sowohl der VPN-Tunnel und der DNS am Standort gleichzeitig ausfallen. Wenn doch, dann könnt Ihr sowieso nicht mehr arbeiten.
hth
Erik
Zitat von @Gerber:
Auf beiden DCs ist als Weiterleitung für externe DNS Anfragen die Sophos UTM Firewall eingetragen.
Auf beiden DCs ist als Weiterleitung für externe DNS Anfragen die Sophos UTM Firewall eingetragen.
Warum nicht auf einen vertrauenswürdigen öffentlichen DNS-Server? Ansonsten ist das ok.
Auch hier auf DC3 ist die Weiterleitung an externe DNS Anfragen über die Firewall an Standort 2 geregelt.
Auch hier: Warum nicht auf einen öffentlichen Server?
- passt es so mit den DNS Einstellungen am Client, oder sollte nur der DC am Standort primär eingetragen werden und z.B. als sekundärer DC die Firwall, damit beim Ausfall der IPsec Verbindung dennoch eine DNS Auflösung funktioniert?
Nein, Du darfst in der Windows-Domain keinen DNS-Server eintragen, der nicht über die Domain Auskunft geben kann, da mit dem DNS das ganze AD steht und fällt. Fällt also Dein interner DNS aus, hast du ganz andere Probleme als das, dass die User nicht mehr surfen können. Insofern lass es so. Außerdem ist es eher unwahrscheinlich, dass sowohl der VPN-Tunnel und der DNS am Standort gleichzeitig ausfallen. Wenn doch, dann könnt Ihr sowieso nicht mehr arbeiten.
hth
Erik
Weil die Sophos die DNS Requests filtert und somit nicht Hinz und Kunz DNS Requests ins Netz schicken kann, macht also Sinn.
Zitat von @falscher-sperrstatus:
Weil die Sophos die DNS Requests filtert und somit nicht Hinz und Kunz DNS Requests ins Netz schicken kann, macht also Sinn.
Weil die Sophos die DNS Requests filtert und somit nicht Hinz und Kunz DNS Requests ins Netz schicken kann, macht also Sinn.
Und was wäre daran so schlimm? Das habe ich ehrlich gesagt noch nie begriffen, warum man DNS von innen nach außen blockiert.
Auf die Schnelle: https://pentestlab.blog/2017/09/06/command-and-control-dns/
Moin Phil,
am Hauptstandort die beiden DCs über Kreuz als DNS-Server einzutragen ist schon korrekt.
Am Nebenstandort würde ich als 1. DNS den des DC3 und als 2. und 3. die beiden des Hauptstandortes eintragen.
Die Weiterleitung kannst du auch weglassen und die Stammhinweise verwenden.
Ansonsten würde ich die Firewall eintragen und keinen einzelnen öffentlichen DNS-Server.
Die Firewall nutzt die DNS-Server des Providers (oder die, die du in den WAN-Einstellungen konfiguriert hast) und sollte dort einer ausfallen, wird automatisch ein anderer verwendet.
Bei Eintragung eines einzelnen öffentlichen DNS-Servers hast du keine Namensauflösung nach außen mehr, sollte dieser nicht antworten.
am Hauptstandort die beiden DCs über Kreuz als DNS-Server einzutragen ist schon korrekt.
Am Nebenstandort würde ich als 1. DNS den des DC3 und als 2. und 3. die beiden des Hauptstandortes eintragen.
Die Weiterleitung kannst du auch weglassen und die Stammhinweise verwenden.
Ansonsten würde ich die Firewall eintragen und keinen einzelnen öffentlichen DNS-Server.
Die Firewall nutzt die DNS-Server des Providers (oder die, die du in den WAN-Einstellungen konfiguriert hast) und sollte dort einer ausfallen, wird automatisch ein anderer verwendet.
Bei Eintragung eines einzelnen öffentlichen DNS-Servers hast du keine Namensauflösung nach außen mehr, sollte dieser nicht antworten.
Zitat von @falscher-sperrstatus:
Auf die Schnelle: https://pentestlab.blog/2017/09/06/command-and-control-dns/
Auf die Schnelle: https://pentestlab.blog/2017/09/06/command-and-control-dns/
Nett. Aber so ein Tool hat auf den Maschinen ja nix zu suchen.
Oder anders gesagt: Ich blockiere ja auch nicht Port 80, weil es Trojaner gibt, die den zum Tunneln der FW benutzen.
Danke euch für die schnellen Antworten .
Bin ich ja mit meiner Konfiguration gut gefahren, wollte es nur nochmals genau abklären
@eriko:
Ok, habe ich mir gedacht. Allerdings habe ich natürlich auch auf der Firewall am jeweiligen Standort die Anfrageroute der Domain konfiguriert.
Bedeutet, wenn eine Anfrage der Domain aufläuft, wird diese an die DCs weitergegeben.
@goscho:
Darf ich hierzu fragen wieso? Im WWW findet man oft, dass am zweiten Standort im primären DNS immer ein DC des Hauptstandorts konfiguriert sein sollte.
Genau, hierzu habe ich in der Firewall den Punkt "vom ISP zugewiesene Forwarders benutzen" angehakt.
Grüße Phil
.Bin ich ja mit meiner Konfiguration gut gefahren, wollte es nur nochmals genau abklären
@eriko:
Nein, Du darfst in der Windows-Domain keinen DNS-Server eintragen, der nicht über die Domain Auskunft geben kann, da mit dem DNS das ganze > AD steht und fällt. Fällt also Dein interner DNS aus, hast du ganz andere Probleme als das, dass die User nicht mehr surfen können. Insofern lass es >so. Außerdem ist es eher unwahrscheinlich, dass sowohl der VPN-Tunnel und der DNS am Standort gleichzeitig ausfallen. Wenn doch, dann könnt >Ihr sowieso nicht mehr arbeiten.
Ok, habe ich mir gedacht. Allerdings habe ich natürlich auch auf der Firewall am jeweiligen Standort die Anfrageroute der Domain konfiguriert.
Bedeutet, wenn eine Anfrage der Domain aufläuft, wird diese an die DCs weitergegeben.
@goscho:
Am Nebenstandort würde ich als 1. DNS den des DC3 und als 2. und 3. die beiden des Hauptstandortes eintragen.
Darf ich hierzu fragen wieso? Im WWW findet man oft, dass am zweiten Standort im primären DNS immer ein DC des Hauptstandorts konfiguriert sein sollte.
Die Firewall nutzt die DNS-Server des Providers (oder die, die du in den WAN-Einstellungen konfiguriert hast) und sollte dort einer ausfallen, wird >automatisch ein anderer verwendet.
Genau, hierzu habe ich in der Firewall den Punkt "vom ISP zugewiesene Forwarders benutzen" angehakt.
Grüße Phil
Zitat von @Gerber:
Ok, habe ich mir gedacht. Allerdings habe ich natürlich auch auf der Firewall am jeweiligen Standort die Anfrageroute der Domain konfiguriert.
Bedeutet, wenn eine Anfrage der Domain aufläuft, wird diese an die DCs weitergegeben.
Kannst du das näher erklären?Nein, Du darfst in der Windows-Domain keinen DNS-Server eintragen, der nicht über die Domain Auskunft geben kann, da mit dem DNS das ganze > AD steht und fällt. Fällt also Dein interner DNS aus, hast du ganz andere Probleme als das, dass die User nicht mehr surfen können. Insofern lass es >so. Außerdem ist es eher unwahrscheinlich, dass sowohl der VPN-Tunnel und der DNS am Standort gleichzeitig ausfallen. Wenn doch, dann könnt >Ihr sowieso nicht mehr arbeiten.
Ok, habe ich mir gedacht. Allerdings habe ich natürlich auch auf der Firewall am jeweiligen Standort die Anfrageroute der Domain konfiguriert.
Bedeutet, wenn eine Anfrage der Domain aufläuft, wird diese an die DCs weitergegeben.
Die Standort sind doch per VPN verbunden. Wenn das VPN ausfällt, weil bspw. am Standort 1 der Internetzugang ausgefallen ist, dann kann am Standort 2 nur noch der lokale DNS-Server genutzt werden.
Wenn dieser gleichzeitig auch ausgefallen ist, dann nutzt dir der zusätzliche DNS-Servereintrag des Routers bei den Clients nix, denn die Firewall kann nichts in deiner Domäne auflösen und wohin soll sie interne DNS-Anfragen weiterleiten, wenn das VPN nicht steht und der lokale DNS-Server aus ist?
Die User am Standort 2 könnten so aber ins Internet und surfen, was ja für viele die Hauptsache ist.
@goscho:
Darf ich hierzu fragen wieso? Im WWW findet man oft, dass am zweiten Standort im primären DNS immer ein DC des Hauptstandorts konfiguriert sein sollte.
Es gibt IMHO nur einen Grund, einen anderen DNS-Server als primären einzutragen und das ist der, das beim Startvorgang nach einem laufenden DNS-Server gesucht wird. Und da der eigene noch nicht da ist, gibt es eine Fehlermeldung.Am Nebenstandort würde ich als 1. DNS den des DC3 und als 2. und 3. die beiden des Hauptstandortes eintragen.
Darf ich hierzu fragen wieso? Im WWW findet man oft, dass am zweiten Standort im primären DNS immer ein DC des Hauptstandorts konfiguriert sein sollte.
In unzähligen Umgebungen (KMU mit SBS bspw.) gibt es nur den einen DNS-Server.
Dort wird auch nur dieser eine bei sich selbst eingetragen und alles läuft super.
Die Standort sind doch per VPN verbunden. Wenn das VPN ausfällt, weil bspw. am Standort 1 der Internetzugang ausgefallen ist, dann kann am Standort 2 nur noch der lokale DNS-Server genutzt werden.
Hast du natürlich vollkommen Recht.
Die User am Standort 2 könnten so aber ins Internet und surfen, was ja für viele die Hauptsache ist.
Genau.
Theoretisch könnte ich in diesem Fall meine Firewall am 2. Standort an dritte Stelle als DNS Eintrag setzen, richtig?
Falls DC3 und IPSec Tunnel ausfällt, würde er die Firewall nutzen und somit mindestens surfen können.
Ist dies zu empfehlen?
Es gibt IMHO nur einen Grund, einen anderen DNS-Server als primären einzutragen und das ist der, das beim Startvorgang nach einem laufenden DNS-Server gesucht wird. Und da der eigene noch nicht da ist, gibt es eine Fehlermeldung.
Dort wird auch nur dieser eine bei sich selbst eingetragen und alles läuft super.
Hast du Recht.
Grüße Phil
Zitat von @Gerber:
Theoretisch könnte ich in diesem Fall meine Firewall am 2. Standort an dritte Stelle als DNS Eintrag setzen, richtig?
Nein, was soll den das bringen?Theoretisch könnte ich in diesem Fall meine Firewall am 2. Standort an dritte Stelle als DNS Eintrag setzen, richtig?
Falls DC3 und IPSec Tunnel ausfällt, würde er die Firewall nutzen und somit mindestens surfen können.
Wenn das Surfen der Hauptarbeitsbereich der Mitarbeiter ist, dann schon. Kann ich mir aber nicht vorstellen.Ist dies zu empfehlen?
NöWenn dein VPN nicht mehr steht und gleichzeitig der lokale DNS-Server ausgefallen ist, dann hast du doch andere Probleme, als das die Leute vor Ort surfen können.
Außer natürlich, dort sitzen 10 Leute, die den ganzen Tag nur Onlinebewerwertungen eintippen.
Wenn dein VPN nicht mehr steht und gleichzeitig der lokale DNS-Server ausgefallen ist, dann hast du doch andere Probleme, als das die Leute vor Ort surfen können.
Hast du natürlich Recht, dass dann andere Probleme wichtiger sind. Bei diesem Punkt bin ich auch voll bei dir.
Naja heutzutage wird doch sehr oft in Cloud Anwendungen gearbeitet. Deswegen frage ich mich, wieso nicht einfach als dritten DNS eintragen, wenn dieser Eintrag nicht stört?
Falls alles zusammenbricht, kann immerhin der Mitarbeiter noch surfen, Cloud Anwendungen nutzen und Pizza zum Mittag bestellen :D :D
Wenn es natürlich mit dem dritten DNS (Firewall) Probleme macht, werde ich diesen auf alle Fälle rauslassen.