2
DNS für Migration Win2K-Server nach SBS2003 (R2) mit Router für kleines Firmennetzwerk konfigurieren
Hallo Gemeinde,
Ich füge zum Zwecke der Migration auf SBS2003 gerade einen neuen PDC (SBS2003(R2)) zu einer bestehenden Win2K-Domäne mir Exchange2003 (im Betrieb!).
Dazu muss ich das gesamte DNS neu aufsetzen. Dazu bräuchte ich jetzt doch einen fachlichen Rat, da ich in Sachen DNS insbesondere im Zusammenhang mit Sicherheitsaspekten und dem Zusammenspiel mit einem Router eher ein Frischling bin.
Hallo Gemeinde
Ich habe folgende Konfiguration, die derzeit ohne größere Fehler läuft und hätte dazu noch ein paar Detailfragen bzw. ergänzenden Rat von Euch.
Domain mit Active Directory.
Derzeit zwei PDC's, da ich gerade in der Migration zu SBS2003 stecke. Den ursprünglichen PDC werde ich in der kommenden Woche mit
Ein Router Lancom 1711VPN (VPN wird ein wenig genutzt um Notebooks von außerhalb einzubinden).
Der Router läuft über T-DSL Business mit fester IP. MX und A-Records sind bei unserem Webhoster so gesetzt, dass der SMTP des Exchangeservers direkt angesprochen wird.
Die Weiterleitung ins Intranet erfolgt per Port-Forwarding.
Die PDC's verwenden keine seperate Netzwerkkarte für die Verbindung zum Router
Meine IP-Configuration:
- ich habe (historisch bedingt) (leider) einen Class-C Subnet gewählt, das nicht zum privaten Bereich gehört (z.B. 196.10.1.x).
- der FQDN ist
Derzeit laufen 3 DNS-Server: der des neuen SBS2003, der des alten Win2K-DC und der des Routers.
Der SBS2003 ist derzeit folgendermaßen konfiguriert:
TCP-Einstellungen
- feste IP aus meinem internen Subnet:
- Gateway auf den Router:
- bevorzugter DNS-Server:
- alternativer DNS-Server:
Verwendungsreihenfolge für DNS-Server:
DNS-Server
- Schnittstellen: nur die IP-Adresse der Netzwerkkarte für das LAN abhören
- Weiterleitungen: alle anderen DNS-Domänen werden an den Router weitergeleitet; Keine Rekursion für diese Domäne verwenden (angeschaltet)
- Erweitert: hier habe ich die Standardeinstellungen belassen
- Stammheinweise: hier haben sich selbstständig
Forward-Lookupzonen
- die Clients im Netz sind hier als
- die DNS-Server der PDC's sind alle als
- der Router ist als
- es gibt einen
-
- Dynamische Updates: nur sichere
- Autoritätsursprung ist der FQDN des SBS2003
- bei den Namensservern sind alle drei NS angegeben
- WINS Forward-Lookup: nicht verwenden
- Zonenübertragung: nicht zugelassen
Reverse-Lookupzonen
- Subnet ist
- die PDC's als NS und ein paar Clients als PTR sind eingetragen, der Router nicht.
-
- Dynamische Updates: nur sichere
- Autoritätsursprung ist der FQDN des SBS2003
- bei den Namensservern sind alle drei NS angegeben
- WINS R-Lookup: nicht verwenden
- Zonenübertragung: nicht zugelassen
Der Router hat folgende Einstellungen:
DNS
- DNS-Server aktiviert
- Domainname:
- Anfragen auf die eigene Domäne mit der eignen IP-Adresse beantworten (angeschaltet)
- keine Domänenweiterleitungen angegeben
- Adressen von DHCP-Clients auflösen (angeschaltet)
- Namen von NETBIOS-Stationen auflösen (angeschaltet)
TCP/IP
- IP-Netzwerke: DMZ angegeben
IP-ROUTER
- Port-Forwarding gewisser Ports auf den PDC (stehen derzeit noch auf den alten PDC werden aber sukzessive auf den neuen PDC umgestellt)
Firewall
natürlich an, blockt z.B. DoS, IDS
Und hier neben den Fragen im Text oben noch weiter Fragen:
- brauche ich einen Root-Eintrag "." und wenn ja, wo?
- muss ich für den Router Einträge in der
- soll ich die zweite Netzwerkkarte am SBS2003 wieder aktivieren und am zweiten LAN-Port des DSL-Routers anschliessen; ich würde die anderen dennoch direkt auf den Router zugreifen lassen um wenigstens ins Netz zu kommen, wenn der SBS2003 kurzfristig runtergefahren wird. Geht sowas überhaupt? Ich hätte ja dann eine Ring-Topologie und kein Sternnetz mehr??
- soll ich die IP des Netzes auf ein privates Netz legen (z.B. 192.168.0.x)? Ich müsste nach dem dcpromo zur Herunterstufung des ursprünglichen DC's auf dem SBS2003R2 den Befehl ChangeIP ausführen.
- muss ich auf dem Router irgendwelche Einstellungen für die DMZ vornehmen?
- muss auf dem Router überhaupt der DNS laufen?
- welche Sicherheitskonfigurationen sollte ich vornehmen, dass ich vor den Angriffen aus dem Netz geschützt bin (Footprint)?
- soll ich irgendwelche AD-Sicherheitskonfigurationen vornehmen (Benutzerberechtigungen)??
- soll ich das "sichere" Dynamische Update abschalten?
- wie ist das mit den Stammhinweisen?
Ich weiß, das sind eine Menge Fragen ... ich bedanke mich schon mal für jegliche Unterstützung!
Harald
Ich füge zum Zwecke der Migration auf SBS2003 gerade einen neuen PDC (SBS2003(R2)) zu einer bestehenden Win2K-Domäne mir Exchange2003 (im Betrieb!).
Dazu muss ich das gesamte DNS neu aufsetzen. Dazu bräuchte ich jetzt doch einen fachlichen Rat, da ich in Sachen DNS insbesondere im Zusammenhang mit Sicherheitsaspekten und dem Zusammenspiel mit einem Router eher ein Frischling bin.
Hallo Gemeinde
Ich habe folgende Konfiguration, die derzeit ohne größere Fehler läuft und hätte dazu noch ein paar Detailfragen bzw. ergänzenden Rat von Euch.
Domain mit Active Directory.
Derzeit zwei PDC's, da ich gerade in der Migration zu SBS2003 stecke. Den ursprünglichen PDC werde ich in der kommenden Woche mit
dcpromo herabstufen.Ein Router Lancom 1711VPN (VPN wird ein wenig genutzt um Notebooks von außerhalb einzubinden).
Der Router läuft über T-DSL Business mit fester IP. MX und A-Records sind bei unserem Webhoster so gesetzt, dass der SMTP des Exchangeservers direkt angesprochen wird.
Die Weiterleitung ins Intranet erfolgt per Port-Forwarding.
Die PDC's verwenden keine seperate Netzwerkkarte für die Verbindung zum Router
Meine IP-Configuration:
- ich habe (historisch bedingt) (leider) einen Class-C Subnet gewählt, das nicht zum privaten Bereich gehört (z.B. 196.10.1.x).
- der FQDN ist
company.localDerzeit laufen 3 DNS-Server: der des neuen SBS2003, der des alten Win2K-DC und der des Routers.
Der SBS2003 ist derzeit folgendermaßen konfiguriert:
TCP-Einstellungen
- feste IP aus meinem internen Subnet:
196.10.1.1- Gateway auf den Router:
196.10.1.99- bevorzugter DNS-Server:
196.10.1.1 (also zeigt der SBS auf sich selbst)- alternativer DNS-Server:
196.10.1.2 (der "alte" PDC)Verwendungsreihenfolge für DNS-Server:
196.10.1.1,196.10.1.2,196.10.1.99DNS-Server
- Schnittstellen: nur die IP-Adresse der Netzwerkkarte für das LAN abhören
- Weiterleitungen: alle anderen DNS-Domänen werden an den Router weitergeleitet; Keine Rekursion für diese Domäne verwenden (angeschaltet)
- Erweitert: hier habe ich die Standardeinstellungen belassen
- Stammheinweise: hier haben sich selbstständig
x.root-servers.net. x=a-m eingetragen. Kann mir das jemand erklären??Forward-Lookupzonen
- die Clients im Netz sind hier als
Host (A) mit Name und zugeordneter IP eingetragen- die DNS-Server der PDC's sind alle als
Namenserver (NS) mit ihren jeweiligen FQDN eigetragen (pdcx.company.local.)- der Router ist als
Namenserver (NS) aber nur mit der Bezeichnung (router.) eingetragen (kann das funktionieren??)- es gibt einen
Alias (CNAME) companyweb, der auf den Server pdc1.company.local. zeigt-
company.local ist ActiveDirectory integriert- Dynamische Updates: nur sichere
- Autoritätsursprung ist der FQDN des SBS2003
pdc1.company.local.- bei den Namensservern sind alle drei NS angegeben
- WINS Forward-Lookup: nicht verwenden
- Zonenübertragung: nicht zugelassen
Reverse-Lookupzonen
- Subnet ist
196.10.1.x- die PDC's als NS und ein paar Clients als PTR sind eingetragen, der Router nicht.
-
company.local ist ActiveDirectory integriert- Dynamische Updates: nur sichere
- Autoritätsursprung ist der FQDN des SBS2003
pdc1.company.local.- bei den Namensservern sind alle drei NS angegeben
- WINS R-Lookup: nicht verwenden
- Zonenübertragung: nicht zugelassen
Der Router hat folgende Einstellungen:
DNS
- DNS-Server aktiviert
- Domainname:
company.local- Anfragen auf die eigene Domäne mit der eignen IP-Adresse beantworten (angeschaltet)
- keine Domänenweiterleitungen angegeben
- Adressen von DHCP-Clients auflösen (angeschaltet)
- Namen von NETBIOS-Stationen auflösen (angeschaltet)
TCP/IP
- IP-Netzwerke: DMZ angegeben
0.0.0.0; INTRANET angegeben 196.10.1.99 (statische Adresse des Routers; diesen Eintrag verstehe ich schon mal nicht)IP-ROUTER
- Port-Forwarding gewisser Ports auf den PDC (stehen derzeit noch auf den alten PDC werden aber sukzessive auf den neuen PDC umgestellt)
Firewall
natürlich an, blockt z.B. DoS, IDS
Und hier neben den Fragen im Text oben noch weiter Fragen:
- brauche ich einen Root-Eintrag "." und wenn ja, wo?
- muss ich für den Router Einträge in der
Forward-Lookup und der Reverse-Lookup des DNS am SBS2003 machen?- soll ich die zweite Netzwerkkarte am SBS2003 wieder aktivieren und am zweiten LAN-Port des DSL-Routers anschliessen; ich würde die anderen dennoch direkt auf den Router zugreifen lassen um wenigstens ins Netz zu kommen, wenn der SBS2003 kurzfristig runtergefahren wird. Geht sowas überhaupt? Ich hätte ja dann eine Ring-Topologie und kein Sternnetz mehr??
- soll ich die IP des Netzes auf ein privates Netz legen (z.B. 192.168.0.x)? Ich müsste nach dem dcpromo zur Herunterstufung des ursprünglichen DC's auf dem SBS2003R2 den Befehl ChangeIP ausführen.
- muss ich auf dem Router irgendwelche Einstellungen für die DMZ vornehmen?
- muss auf dem Router überhaupt der DNS laufen?
- welche Sicherheitskonfigurationen sollte ich vornehmen, dass ich vor den Angriffen aus dem Netz geschützt bin (Footprint)?
- soll ich irgendwelche AD-Sicherheitskonfigurationen vornehmen (Benutzerberechtigungen)??
- soll ich das "sichere" Dynamische Update abschalten?
- wie ist das mit den Stammhinweisen?
Ich weiß, das sind eine Menge Fragen ... ich bedanke mich schon mal für jegliche Unterstützung!
Harald
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 134158
Url: https://administrator.de/contentid/134158
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo Harald,
das Subnetz 169.8.0.0/13 wird im Internet geroutet. Du wirst leider keine Hosts im Internet mit dieser IP von deinem lokalen Netz erreichen können. Bei IPv4 halte dich bitte bei der Wahl deiner lokalen Netze an RFZ 1918 Absatz 3.
Wenn du nicht
bist, solltest du das ändern.
Den root-Eintrag brauchst du in deinem Szenario nicht. Schließlich möchtest du ja noch im Internet Namen auf lösen können. Die Öffentlichen Nameserver befinden sich in der DNS-Zone "." (punkt) und werden von (fast) jeder DNS-Serversoftware automatisch ermittelt. Das sind auch die Einträge die du gefunden hast (x.root-servers.net. x=a).
Einen DNS-Server auf dem Router benötigst du nicht. Ein reiner Proxy würde die Performance steigern, ist aber auch nicht zwingend erforderlich. Bei der T-DSL Business Hotline erhälst du eine Liste mit DNS-Servern der Telekom, die du als Forwarder im Windows DNS-Server eintragen kannst, aber auch nicht musst. Hat ein DNS-Server keine Forwarder und versucht einen Namen aufzulösen, für die er keine lokale Zone hat, wird der Name beginnend bei den rootservern aufgelöst.
Beispiel:
Ping www.google.de
DNS fragt die hitnerlegten Root-Server nach der Domain "de".
Diese geben die DNS-Server zurück, die für DE zuständig sind.
Dein Server fragt nun einen dieser Server nach "google", als Antwort erhalten Sie die Nameserver die für google zuständig sind.
Nun fragt dein Server diese NS nach www.google.de. und erhalten einen Ressource Eintrag zurück. Dieser wird an den Client ausgeliefert.
Hast du einen Forwarder eingetragen, wird dieser Vorgang von diesem Server durchgeführt. Ist Ansichtssache ob man selbst auflösen möchte oder Server der Provider verwendet.
Reverse-Zonen solltest du für deine Subnetze anlegen. Allein schon um DNS sauber zu betreiben.
Wenn du 2 DC´s in einer Domäne betreibst, und beide DNS-Server sind, sollten diese den jeweils anderen ans primären DNS-Server konfiguriert haben. Das hat den Vorteil, wenn du einen der beiden neustartest, kann er sofort und ohne Timeout Namen auflösen. Das ist für ActiveDirectory ziemlich wichtig.
Zur Sicherheit
Mit deiner KOnfiguration befindet sich der Exchange-Server, welcher ja im lokalen Netz steht, direkt am Internet. Dieser ist gleich ein DC. Solltest du irgendwann einmal einen Patch oder eine Lücke auf dem Server übersehen, kann es passieren das die der Exchange-Dienst "geowned" wird. Ist das der Fall, hat der Angreifer sofort vollen Zugriff auf den Server. Besser währe, eine DMZ zu konfigurieren und dort einen Proxy aufzustellen. Auf jeden Fall solltest du die Anfragen vorher prüfen und nicht direkt an deinen Exchange-DC weiterleiten.
das Subnetz 169.8.0.0/13 wird im Internet geroutet. Du wirst leider keine Hosts im Internet mit dieser IP von deinem lokalen Netz erreichen können. Bei IPv4 halte dich bitte bei der Wahl deiner lokalen Netze an RFZ 1918 Absatz 3.
Wenn du nicht
inetnum: 196.10.1.0 - 196.10.50.255
netname: CENT-ERA
descr: Centera (Pty) Ltd
descr: PO Box 2000
descr: Randburg
descr: 2194
country: ZA
org: ORG-ZZ97-AFRINIC
admin-c: CM59-AFRINIC
tech-c: CM59-AFRINIC
status: ASSIGNED PI
mnt-by: AFRINIC-HM-MNT
mnt-lower: AFRINIC-HM-MNT
source: AFRINIC # Filtered
parent: 196.10.0.0 - 196.10.255.255Den root-Eintrag brauchst du in deinem Szenario nicht. Schließlich möchtest du ja noch im Internet Namen auf lösen können. Die Öffentlichen Nameserver befinden sich in der DNS-Zone "." (punkt) und werden von (fast) jeder DNS-Serversoftware automatisch ermittelt. Das sind auch die Einträge die du gefunden hast (x.root-servers.net. x=a).
Einen DNS-Server auf dem Router benötigst du nicht. Ein reiner Proxy würde die Performance steigern, ist aber auch nicht zwingend erforderlich. Bei der T-DSL Business Hotline erhälst du eine Liste mit DNS-Servern der Telekom, die du als Forwarder im Windows DNS-Server eintragen kannst, aber auch nicht musst. Hat ein DNS-Server keine Forwarder und versucht einen Namen aufzulösen, für die er keine lokale Zone hat, wird der Name beginnend bei den rootservern aufgelöst.
Beispiel:
Ping www.google.de
DNS fragt die hitnerlegten Root-Server nach der Domain "de".
Diese geben die DNS-Server zurück, die für DE zuständig sind.
Dein Server fragt nun einen dieser Server nach "google", als Antwort erhalten Sie die Nameserver die für google zuständig sind.
Nun fragt dein Server diese NS nach www.google.de. und erhalten einen Ressource Eintrag zurück. Dieser wird an den Client ausgeliefert.
Hast du einen Forwarder eingetragen, wird dieser Vorgang von diesem Server durchgeführt. Ist Ansichtssache ob man selbst auflösen möchte oder Server der Provider verwendet.
Reverse-Zonen solltest du für deine Subnetze anlegen. Allein schon um DNS sauber zu betreiben.
Wenn du 2 DC´s in einer Domäne betreibst, und beide DNS-Server sind, sollten diese den jeweils anderen ans primären DNS-Server konfiguriert haben. Das hat den Vorteil, wenn du einen der beiden neustartest, kann er sofort und ohne Timeout Namen auflösen. Das ist für ActiveDirectory ziemlich wichtig.
Zur Sicherheit
Mit deiner KOnfiguration befindet sich der Exchange-Server, welcher ja im lokalen Netz steht, direkt am Internet. Dieser ist gleich ein DC. Solltest du irgendwann einmal einen Patch oder eine Lücke auf dem Server übersehen, kann es passieren das die der Exchange-Dienst "geowned" wird. Ist das der Fall, hat der Angreifer sofort vollen Zugriff auf den Server. Besser währe, eine DMZ zu konfigurieren und dort einen Proxy aufzustellen. Auf jeden Fall solltest du die Anfragen vorher prüfen und nicht direkt an deinen Exchange-DC weiterleiten.
Zitat von @datasearch:
das Subnetz 169.8.0.0/13 wird im Internet geroutet. Du wirst leider keine Hosts im Internet mit dieser IP von deinem lokalen Netz
erreichen können. Bei IPv4 halte dich bitte bei der Wahl deiner lokalen Netze an [http://www.faqs.org/rfcs/rfc1918.html RFZ
1918 Absatz 3].
das Subnetz 169.8.0.0/13 wird im Internet geroutet. Du wirst leider keine Hosts im Internet mit dieser IP von deinem lokalen Netz
erreichen können. Bei IPv4 halte dich bitte bei der Wahl deiner lokalen Netze an [http://www.faqs.org/rfcs/rfc1918.html RFZ
1918 Absatz 3].
Ich werde demnächst einen ChangeIP auf dem SBS2003R2 ausführen. Da Teile der Clients und insbesondere der Drucker eine feste IP haben, muss ich das erst einmal alles auf DHCP (der momentan vom Router gestellt wird) umstellen, bis alle Clients, NAS und Drucker auf DHCP sind und dann den Server per ChangeIP ändern. Erst wenn der Server die neue IP hat kann ich den DHCP auf dem SBS installieren.
Den root-Eintrag brauchst du in deinem Szenario nicht. Schließlich möchtest du ja noch im Internet Namen auf lösen
können. Die Öffentlichen Nameserver befinden sich in der DNS-Zone "." (punkt) und werden von (fast) jeder
DNS-Serversoftware automatisch ermittelt. Das sind auch die Einträge die du gefunden hast (x.root-servers.net. x=a).
können. Die Öffentlichen Nameserver befinden sich in der DNS-Zone "." (punkt) und werden von (fast) jeder
DNS-Serversoftware automatisch ermittelt. Das sind auch die Einträge die du gefunden hast (x.root-servers.net. x=a).
root habe ich rausgenommen, die root-server haben sich auch wieder selbst installiert
Einen DNS-Server auf dem Router benötigst du nicht. Ein reiner Proxy würde die Performance steigern, ist aber auch nicht
zwingend erforderlich. Bei der T-DSL Business Hotline erhälst du eine Liste mit DNS-Servern der Telekom, die du als Forwarder
im Windows DNS-Server eintragen kannst, aber auch nicht musst. Hat ein DNS-Server keine Forwarder und versucht einen Namen
aufzulösen, für die er keine lokale Zone hat, wird der Name beginnend bei den rootservern aufgelöst.
zwingend erforderlich. Bei der T-DSL Business Hotline erhälst du eine Liste mit DNS-Servern der Telekom, die du als Forwarder
im Windows DNS-Server eintragen kannst, aber auch nicht musst. Hat ein DNS-Server keine Forwarder und versucht einen Namen
aufzulösen, für die er keine lokale Zone hat, wird der Name beginnend bei den rootservern aufgelöst.
den DNS-Server im Router habe ich deaktiviert. Der hatte ohnehin Probleme gemacht, da er dynamische Updates nicht zulassen wollte.
Reverse-Zonen solltest du für deine Subnetze anlegen. Allein schon um DNS sauber zu betreiben.
erledigt, klappt prima.
Wenn du 2 DC´s in einer Domäne betreibst, und beide DNS-Server sind, sollten diese den jeweils anderen ans
primären DNS-Server konfiguriert haben. Das hat den Vorteil, wenn du einen der beiden neustartest, kann er sofort und ohne
Timeout Namen auflösen. Das ist für ActiveDirectory ziemlich wichtig.
primären DNS-Server konfiguriert haben. Das hat den Vorteil, wenn du einen der beiden neustartest, kann er sofort und ohne
Timeout Namen auflösen. Das ist für ActiveDirectory ziemlich wichtig.
Stimmt. Seitdem ich die Server jeweils auf den anderen zeigen lasse funktioniert auch der einzelne Neustart eines Servers problemlos. nachdem ich den zweiten DC per dcpromo runtergestuft habe, musste ich den DNS auf dieser Kiste als sekundären DNS-Server betrieben, der die Zoneninformation entsprechend vom einzigen DC bekommt.
Zur Sicherheit
Mit deiner KOnfiguration befindet sich der Exchange-Server, welcher ja im lokalen Netz steht, direkt am Internet. Dieser ist
gleich ein DC. Solltest du irgendwann einmal einen Patch oder eine Lücke auf dem Server übersehen, kann es passieren das
die der Exchange-Dienst "geowned" wird. Ist das der Fall, hat der Angreifer sofort vollen Zugriff auf den Server. Besser
währe, eine DMZ zu konfigurieren und dort einen Proxy aufzustellen. Auf jeden Fall solltest du die Anfragen vorher
prüfen und nicht direkt an deinen Exchange-DC weiterleiten.
Mit deiner KOnfiguration befindet sich der Exchange-Server, welcher ja im lokalen Netz steht, direkt am Internet. Dieser ist
gleich ein DC. Solltest du irgendwann einmal einen Patch oder eine Lücke auf dem Server übersehen, kann es passieren das
die der Exchange-Dienst "geowned" wird. Ist das der Fall, hat der Angreifer sofort vollen Zugriff auf den Server. Besser
währe, eine DMZ zu konfigurieren und dort einen Proxy aufzustellen. Auf jeden Fall solltest du die Anfragen vorher
prüfen und nicht direkt an deinen Exchange-DC weiterleiten.
mit WSUS habe ich da wohl das Risiko vorest eingedämmt ....
Besten Dank schon mal für die Tipps.
Harald
