7
DNS Auflösung - mehrere Standorte
Hallo,
folgendes Problem:
Wir setzen bei uns eine übergeordnete Domäne für mehrere Standorte ein, so weit so gut.
Die meisten Server/ Clients befinden sich in der Domäne, die einzige Ausnahme bilden hier jedoch einige Systeme in der DMZ.
Hier haben wir das Problem dass bei diesen Systemen die Sites/Subent Auflösung nicht funktioniert aus diesem Grund. Das heißt diese Systeme versuchen regelmäßig z.B. den DC an unserem anderen Standort abzufragen, was durch eine Firewall hierzwischen unterbunden wird.
Wie lässt sich der Zugriff auf unseren anderen Standort unterbinden, ohne den Server in die Domäne einbinden zu müssen?
Vielen Dank für die Ideen.
folgendes Problem:
Wir setzen bei uns eine übergeordnete Domäne für mehrere Standorte ein, so weit so gut.
Die meisten Server/ Clients befinden sich in der Domäne, die einzige Ausnahme bilden hier jedoch einige Systeme in der DMZ.
Hier haben wir das Problem dass bei diesen Systemen die Sites/Subent Auflösung nicht funktioniert aus diesem Grund. Das heißt diese Systeme versuchen regelmäßig z.B. den DC an unserem anderen Standort abzufragen, was durch eine Firewall hierzwischen unterbunden wird.
Wie lässt sich der Zugriff auf unseren anderen Standort unterbinden, ohne den Server in die Domäne einbinden zu müssen?
Vielen Dank für die Ideen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350991
Url: https://administrator.de/contentid/350991
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Wie ist also eure DNS Struktur beschaffen?
Gruß,
Peter
Zitat von @detox91:
Das heißt diese Systeme versuchen regelmäßig z.B. den DC an unserem anderen Standort abzufragen, was durch eine Firewall hierzwischen unterbunden wird.
Wieso wollen diese denn eure DCs kontaktieren? Sind die denn auch alle DNS und sonst hast du keine welche die Rechner aus der DMZ kontaktiern können? Wie iszt denn eure DNS Struktur gestrickt bzw. wie viel DNS habt ihr und wer fragt wenn?Das heißt diese Systeme versuchen regelmäßig z.B. den DC an unserem anderen Standort abzufragen, was durch eine Firewall hierzwischen unterbunden wird.
Wie lässt sich der Zugriff auf unseren anderen Standort unterbinden
Einfach per ACL oder Firewall aussperren, oder meinst du gar etwas anderes?ohne den Server in die Domäne einbinden zu müssen?
Was hat das aufnehmen in eure Domänen jetzt damit zu tun? Es ist doch ein Rechner in deiner DMZ oder nicht?Wie ist also eure DNS Struktur beschaffen?
Gruß,
Peter
Moin,
sind die DMZ-Server Domain-Members oder nicht? So ganz ist mir das nicht klar.
Wenn Domain Members: Habt ihr im AD Sites und IP Subnetze eingerichtet?
Wenn kein Domain Member: Wie sind denn die DNS Einstellungen der DMZ Server?
lg,
Slainte
sind die DMZ-Server Domain-Members oder nicht? So ganz ist mir das nicht klar.
Wenn Domain Members: Habt ihr im AD Sites und IP Subnetze eingerichtet?
Wenn kein Domain Member: Wie sind denn die DNS Einstellungen der DMZ Server?
lg,
Slainte
Hi,
worum geht es überhaupt? Deine Frage lautet "DNS Auflösung - mehrere Standorte". Im Text redest Du von Site & Subnets und von DCs.
E.
worum geht es überhaupt? Deine Frage lautet "DNS Auflösung - mehrere Standorte". Im Text redest Du von Site & Subnets und von DCs.
Wir setzen bei uns eine übergeordnete Domäne für mehrere Standorte ein, so weit so gut.
Dann gibt es also auch untergeordnete Domains (Child Domains), oder warum erwähnst Du "übergeordnet"?Die meisten Server/ Clients befinden sich in der Domäne,
In welcher Domäne? In dieser, jener oder einer? (Deutsch ist nicht ganz so einfach, ich weiß ....)die einzige Ausnahme bilden hier jedoch einige Systeme in der DMZ.
Diese sind dann nicht in dieser Domäne oder in keiner Domäne?Hier haben wir das Problem dass bei diesen Systemen die Sites/Subent Auflösung nicht funktioniert aus diesem Grund.
Aus diesem Grund?Das heißt diese Systeme versuchen regelmäßig z.B. den DC an unserem anderen Standort abzufragen
Warum? Was versuchen sie abzufragen? DNS, ADS, anderes?Wie lässt sich der Zugriff auf unseren anderen Standort unterbinden, ohne den Server in die Domäne einbinden zu müssen?
Schritt 1: Fakten, Fakten, Fakten!E.
Hallo,
sorry erst einmal für die vielen Rückfragen, ich merke dass es doch ein wenig schwierig ist dies zu verfassen.
Also noch einmal zu den Fakten:
- es gibt EINE Domäne (keine weiteren Subdomains o.ä.)
- Insgesamt gibt es 3 DCs (2 DCs Standort A + 1 DC Standort B)
- Die Server/ Clients bei uns im Intranet befinden sich in DER Domäne
- Die Server in der DMZ sind nicht Mitglied der Domäne => Somit können die Sites/Subnets der Domäne nicht gelesen werden
- Es gibt in der DMZ Anwendungen, welche das AD abfragen. Hier geschieht es dann dass diese Systeme unsere DCs am Standort B kontakieren, was jedoch nicht gewollt ist und Firewalltechnisch ebenfalls unterbunden wird. Dies sorgt jedoch in Anwendungen für u.a. sehr hohe Timeouts
- Ein nslookup auf den Domänennamen gibt alle DCs aus:
Die 172.20.x ist in dem Fall der DC am Standort B.
Ich hoffe damit wird das Problem ein wenig klarer.
Danke euch!
sorry erst einmal für die vielen Rückfragen, ich merke dass es doch ein wenig schwierig ist dies zu verfassen.
Also noch einmal zu den Fakten:
- es gibt EINE Domäne (keine weiteren Subdomains o.ä.)
- Insgesamt gibt es 3 DCs (2 DCs Standort A + 1 DC Standort B)
- Die Server/ Clients bei uns im Intranet befinden sich in DER Domäne
- Die Server in der DMZ sind nicht Mitglied der Domäne => Somit können die Sites/Subnets der Domäne nicht gelesen werden
- Es gibt in der DMZ Anwendungen, welche das AD abfragen. Hier geschieht es dann dass diese Systeme unsere DCs am Standort B kontakieren, was jedoch nicht gewollt ist und Firewalltechnisch ebenfalls unterbunden wird. Dies sorgt jedoch in Anwendungen für u.a. sehr hohe Timeouts
- Ein nslookup auf den Domänennamen gibt alle DCs aus:
Die 172.20.x ist in dem Fall der DC am Standort B.
Ich hoffe damit wird das Problem ein wenig klarer.
Danke euch!
OK.
macht nur für Domain Member Sinn. Es steht zwar nicht explizit in der Beschreibung der Funktion, aber implizit durch die Nicht-Auflistung.
Wenn Deine Anwendung also wissen will, zu welcher Site es gehört, dann muss diese das selbst bestimmen. Also Site- und Subnet-Objekte abfragen und dann mit der eigenen IP-Adresse auswerten. Dann unter dem ermittelten AD-Site-Objekt nachschauen, welche DC dort drin sind. Diese dann namentlich ansprechen.
E.
nltest /dsgetsiteC:\Windows\system32>nltest /?
Syntax: nltest [/OPTIONS]
.....
/DSGETSITE - Ruft "DsGetSiteName" auf
.....DsGetSiteName function
The DsGetSiteName function returns the name of the site where a computer resides. For a domain controller (DC), the name of the site is the location of the configured DC. For a member workstation or member server, the name specifies the workstation site as configured in the domain of the computer.
Nicht-Domain-Member werden hier nicht erwähnt.The DsGetSiteName function returns the name of the site where a computer resides. For a domain controller (DC), the name of the site is the location of the configured DC. For a member workstation or member server, the name specifies the workstation site as configured in the domain of the computer.
Wenn Deine Anwendung also wissen will, zu welcher Site es gehört, dann muss diese das selbst bestimmen. Also Site- und Subnet-Objekte abfragen und dann mit der eigenen IP-Adresse auswerten. Dann unter dem ermittelten AD-Site-Objekt nachschauen, welche DC dort drin sind. Diese dann namentlich ansprechen.
E.
Ein nslookup auf den Domänennamen gibt alle DCs aus:
6 Adressen für 3 DC? Habe diese etwa je zwei IP-Adressen? Falls ja: Warum?
Moin,
lg,
Slainte
Es gibt in der DMZ Anwendungen, welche das AD abfragen.
Wie ist das zu verstehen? Was wird denn abgefragt? LDAP? Ggfs. kannst du hier einen DNS Alias anlegen, der nur die gewünschten DC enthällt.lg,
Slainte
