Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DNS (DHCP) Platzierung bei mehreren Subnetzen

Mitglied: strolchiii

strolchiii (Level 1) - Jetzt verbinden

13.02.2010 um 18:07 Uhr, 13072 Aufrufe, 7 Kommentare

Hallo zusammen,

folgendes Szenario:

In einem Bürogebäude sollen mehrere (getrennte, unabhängige) Büros geschaffen werden. Für die einzelnen Büros soll die gesamte IT-Infrastruktur (Netzwerk, Internet, VoIP) bereitgestellt werden. Im Netzwerk wird ein Switch (Cisco 3560G) und eine Firewall (Juniper SSG5) eingesetzt. Jedes Büro soll sein eigenes Netzwerk (VLAN) erhalten, um unabhängig von den anderen arbeiten zu können und um den anderen nicht in die Quere zu kommen. Die Netzwerkteilnehmer jedes Büros sollen per DHCP ihre IP Adresse erhalten. Es soll ein zentraler DNS Server die Anfragen aller Büros beantworten. Ebenfalls sollten in diesem DNS Server Einträge für die einzelnen Büros gemacht werden können.

Nun meine Frage:
Wo soll der DNS Server platziert werden? Wie soll der DNS Server realisiert werden?

Was ich bisher getan habe:
Auf der SSG läuft momentan der DHCP Server für die einzelnen Subnetze/VLANs. Das funktioniert auch alles ganz prächtig. Da die SSG jedoch eine Filterkiste ist, kann auf ihr ja (wie ich erfahren habe ) kein DNS Server laufen.
Nun wo soll ich den DNS Server platzieren? Ich habe mir schon überlegt ob es nicht ratsam wäre, DNS Server und DHCP Server miteinander zu kombinieren (-> siehe BIND)? Haltet ihr das für eine gute Idee? Ein solcher BIND würde ich dann auf einer VM aufsetzen, die aus allen Büros erreicht werden kann.

Was meint ihr?

Vielen Dank für eure Antworten!

gruß
felix
Mitglied: spacyfreak
13.02.2010 um 19:55 Uhr
Wo DHCP / DNS Server stehen ist wurst.
Die einzelen VLANs können DHCP Broacasts via DHCP Relay Agent oder (wie man das üblicherweise macht) ip helper auf den VLAN Interfaces an den zentralen DHCP Server weiterleiten.

Wenn ihr intern keine Namen auflöst reicht als DNS die interne IP der Firewall, die dann DNS Anfragen an Internet Provider DNS Server weiterleiten kann.

Bei internen DNS Servern macht man üblicherweise DNS Forwarding, dass diese sowohl die eigene(n) DNS Namensräume Lookupzonen usw hosten und alles was sie nicht selber beantworten können, ans Internet (Provider DNS) weiterleiten.

DNS Server laufen in aller Regel eh auf Domaincontrollern wenn man Windows Domäne hat (und das hat fast jeder).
Ob da der DHCP zusätzlich drauf läuft hängt von Grösse und Geschmack ab.

Gut ist jedenfalls Redundanz da beide Dienste essentiell sind. Also stets ein Backup Server bereitstellen.

Manche Firmen benutzen interne DNS Server auch nur für interne Namensauflösung, und alles was extern, Internet angeht wird via Proxyserver gemacht, der dann auch die DNS Namensauflösung im Internet macht.
Bitte warten ..
Mitglied: datasearch
13.02.2010 um 21:51 Uhr
Bind9 und DHCPD würden sich hier anbieten. Du kannst im Bind pro Segment einen VIEW anlegen und die entsprechende DNS-Zone auf Benutzer in diesem Segment einschränken. So kannst du verhindern, dass die Rechner in den Büros sich gegenseitig auslösen können, musst aber nicht auf Dynamisches DNS verzichten.

Bind9:
01.
acl "office1" { 10.0.0.0/22; };
02.
acl "office2" { 10.0.2.0/22; };
03.
acl "office3" { 10.0.4.0/22; };
04.

05.
view "office1" {
06.
 match-clients { office1; };
07.
 forwarders { it.des.firewall.routers; };
08.
 zone "office1.internal.firmenpark.de" {
09.
   type master;
10.
   file "pri/office1.zone";
11.
  }
12.
view "office2" {
13.
 ...
14.
}
Ansonsten hat ja eine Isolation der Büros wenig sinn, wenn die Rechnernamen per DNS gegenseitig aufgelöst werden können.

DHCP würde ich dann auch über einen zentralen Server lösen und die Hostnamen per DDNS mit dem DNS-Server abgleichen. Das Relay der DHCP-Anfragen würde ich über den Switch lösen. Der zentrale Server selbst sollte in einem getrenntem Netz laufen. Hier würde sich das VLAN, in dem die Firewall steht anbieten.
Bitte warten ..
Mitglied: strolchiii
15.02.2010 um 14:41 Uhr
Zitat von datasearch:
Bind9 und DHCPD würden sich hier anbieten. Du kannst im Bind pro Segment einen VIEW anlegen und die entsprechende DNS-Zone
auf Benutzer in diesem Segment einschränken. So kannst du verhindern, dass die Rechner in den Büros sich gegenseitig
auslösen können, musst aber nicht auf Dynamisches DNS verzichten.

sehr gut, werde ich so machen.

Zitat von datasearch:
DHCP würde ich dann auch über einen zentralen Server lösen und die Hostnamen per DDNS mit dem DNS-Server
abgleichen. Das Relay der DHCP-Anfragen würde ich über den Switch lösen. Der zentrale Server selbst sollte in einem
getrenntem Netz laufen. Hier würde sich das VLAN, in dem die Firewall steht anbieten.

ja, werde ich über einen zentralen Server lösen. Warum würdest du das Relay über den Switch lösen? Wird das nicht normalerweise auf dem Router (in meinem Fall der SSG) realisiert? Ich werde ein separates VLAN für den Server einrichten. Meine Firewall steht nicht in einem eigenen VLAN sondern fungiert als Router, da auf ihr alle Subinterfaces/VLANs eingerichtet sind.
Bitte warten ..
Mitglied: datasearch
16.02.2010 um 00:53 Uhr
Ah, Okay. Normalerweise macht man das auf dem ersten Gerät, dass direkt in den betreffenden VLANs "connected" ist, um möglichst wenig Broadcast-Traffic über die Switche/VLAN Trunks zu verbreiten. Wenn dein Router dieses Gerät ist, bist du hier richtig. Einfach per Policy das Routing zwischen den einzelnen VLANs verbieten, nur Zugriff richtung Internet und zum DNS-Server Port 53 gestatten und auch nurdie richtigen IP-Netze/Bereiche im jeweiligen VLAN zulassen. Den Rest erledigt das View am Nameserver.
Bitte warten ..
Mitglied: strolchiii
16.02.2010 um 10:13 Uhr
werde ich so machen!
Vielen Dank!

gruß
felix
Bitte warten ..
Mitglied: strolchiii
20.02.2010 um 10:28 Uhr
Eine Frage hätte ich jetzt noch:

Der DHCP Server läuft. Der DNS Server auch, jedoch nur für eine Zone.

Grundsätzlich sieht es bei mir so aus:

Büro 1:
IP: 10.0.10.0/24, Domain: raum1.lan, DNS Server: ns1.raum1.lan

Büro 2:
IP: 10.0.20.0/24, Domain: raum2.lan, DNS Server: ns1.raum2.lan

...

Service-VLAN:
IP: 10.0.60.0/24, Domain: service.lan, DNS Server: ns1.service.lan

DNS Server IP: 10.0.60.20
Die Zone fürs Service-VLAN, in dem der DHCP Server und der DNS Server stehen ist für alle anderen Zonen/Subnetze erreichbar (damit auch alle Netze ihre IP bekommen). Diese Zone habe ich mittlerweile auch schon im BIND konfigurieren können und funktioniert somit:

/etc/bind/db.service.lan
$TTL	3600

service.lan.  IN SOA ns1.service.lan.	root.service.lan. (

			2010021906;     Serial
                        10800     ;     Refresh
                        3600      ;     Retry
                        604800    ;     Expire
                        86400     ;     Minimum TTL
                        )

; DNS servers
service.lan.		IN	NS	ns1.service.lan.

; Machine names
ns1.service.lan.	IN	A	10.0.60.20

; Aliases
nameserver		IN	CNAME	ns1.service.lan.
/etc/bind/db.60.0.10
$TTL    3600

60.0.10.in-addr.arpa.   IN      SOA     ns1.service.lan. root.service.lan. (

                        2010021907;     Serial
                        10800     ;     Refresh
                        3600      ;     Retry
                        604800    ;     Expire
                        86400     ;     Minimum TTL
                        )

; DNS servers
60.0.10.in-addr.arpa.   IN      NS      ns1.service.lan.

; Machine IPs
20                      IN      PTR     ns1.service.lan.
Nun soll jedes Subnetz/Zone von den anderen getrennt sein. Deshalb bin ich der Meinung, dass der DNS Server jeder Zone einen anderen Namen braucht, auf den dann die Subnetze zugreifen können (ns1.raum1.lan für Zone 1, ns1.raum2.lan für Zone 2, ...).
Wie implementiere ich das nun in den Zonen? Denn jeder dieser DNS Namen (ns1.raum1.lan, ns1.raum2.lan, ...) zeigt auf den selben DNS Server (10.0.60.20).

Ich hoffe ich konnte das Problem einigermaßen schildern ...

Danke für eure Antworten!
Bitte warten ..
Mitglied: ichhabdamalneFrage
24.03.2014 um 16:06 Uhr
Zitat von datasearch:

Bind9:
01.
> acl "office1" { 10.0.0.0/22; };
02.
> acl "office2" { 10.0.2.0/22; };
03.
> acl "office3" { 10.0.4.0/22; };
04.
> 
05.
> view "office1" {
06.
>  match-clients { office1; };
07.
>  forwarders { it.des.firewall.routers; };
08.
>  zone "office1.internal.firmenpark.de" {
09.
>    type master;
10.
>    file "pri/office1.zone";
11.
>   }
12.
> view "office2" {
13.
>  ...
14.
> }
15.
> 

Wo muss man das eintragen?
Bitte warten ..
Ähnliche Inhalte
DNS

DNS Auflösung aus Subnetz funktioniert nicht

Frage von SRandinDNS7 Kommentare

Hallo zusammen, wir haben einen Router (A) mit einem eigenen DHCP Server als Subnetz aufgebaut. An diesem Router A ...

Windows Server

DHCP,DNS Failover Fehlermeldungen

Frage von gardenzwergWindows Server5 Kommentare

Hallo Forum Wir haben 2 Domain Controller, der 1te hat Server 2012 R2 und der 2te hat Server 2016 ...

Windows Server

DNS Forward aufräumen DHCP Adressen

Frage von survial555Windows Server2 Kommentare

Hallo, ich habe viele Geräte die per DHCP ihre Adresse von meinem DC (Server 2012) bekommen. Im DNS stehen ...

LAN, WAN, Wireless

WLAN Repeater DNS und DHCP

Frage von Angelo131095LAN, WAN, Wireless3 Kommentare

Hallo Leute, folgende Situation: ich habe ein Offenen WLAN uin der nähe das jeder nutzen kann aber der empfang ...

Neue Wissensbeiträge
Debian

Partition angeblich voll, dabei aber noch nicht mal zur Hälfte belegt

Anleitung von diemilz vor 32 MinutenDebian

Hallo zusammen, ich habe ein kleines Problem: Ich habe auf einem physischen Debian Linux Server als ZoneMinder-Server (HP ProLiant ...

Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 4 TagenWindows 72 Kommentare

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 6 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 7 TagenMicrosoft Office9 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Notebooks in Firmenwlan authentifizieren
gelöst Frage von EarthShakerLAN, WAN, Wireless17 Kommentare

Guten Tag, unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt. Wir benötigen ...

Peripheriegeräte
PS2 Y-Kabel für Maus+Tastatur an PS2 Combo-Anschluss ASUS Prime X370-A
gelöst Frage von Windows10GegnerPeripheriegeräte13 Kommentare

Hallo, ich bin am Überlegen das o.g. Motherboard anzuschaffen. Da ich aber noch PS/2 für Maus+Tastatur benötige (bei optischen ...

Netzwerkmanagement
Netzwerk vorübergehend weg
Frage von ahstaxNetzwerkmanagement11 Kommentare

Hallo, folgendes Szenario stellt sich dar: Im Netzwerk mit Win7-PCs wurden Switche ausgetauscht. Grundsätzlich funktioniert alles mindestens so gut ...

Windows 10
Netzlaufwerk verschwindet (aber nur bestimmter Laufwerksbuchstabe)
gelöst Frage von survial555Windows 1010 Kommentare

Hallo, ich habe ein ganz seltsames Problem. Systemumgebung: Server 2012 R2 als DC und Windows 10 Pro als Clients ...