8
DNS im Netzwerk (Router, AD-Controller, pi-hole)
Hallo Leute,
gibt es denn eine "best practice", um die Domainauflösung in einem Netzwerk mit Client, Router, AD-Controller und lokalem DNS-Server (pi-Hole) zu orgenisieren?
Mein bisheriger Ansatz:
Client stellt alle DNS-Anfragen an Router.
Router leitet alle DNS-Anfragen an AD-Controller.
AD-Controller leitet alle Anfragen, die nicht die Domäne betreffen, an DNS-Server (pi-hole) weiter.
DNS-Server (pi-hole) leitet alle nicht geblockten Anfragen an Provider-NS weiter [oder löst selbst auf].
Dies hat meines Erachtens den Vorteil, dass in den Clients nicht manuell der DNS-Server eingetragen werden muss.
Oder ist eine andere Organisation sinnvoller?
gibt es denn eine "best practice", um die Domainauflösung in einem Netzwerk mit Client, Router, AD-Controller und lokalem DNS-Server (pi-Hole) zu orgenisieren?
Mein bisheriger Ansatz:
Client stellt alle DNS-Anfragen an Router.
Router leitet alle DNS-Anfragen an AD-Controller.
AD-Controller leitet alle Anfragen, die nicht die Domäne betreffen, an DNS-Server (pi-hole) weiter.
DNS-Server (pi-hole) leitet alle nicht geblockten Anfragen an Provider-NS weiter [oder löst selbst auf].
Dies hat meines Erachtens den Vorteil, dass in den Clients nicht manuell der DNS-Server eingetragen werden muss.
Oder ist eine andere Organisation sinnvoller?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 598829
Url: https://administrator.de/contentid/598829
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Und der Router lässt im Zweifel alle DNS anfragen direkt durch? Dann kannst dir das auch in die Haare schmieren.
Client -> AD -> [ggf pi hole ] -> spezifischer, singulärer Durchlass/Port durch Router -> Internet DNS deiner Wahl/Gusto
Client -> AD -> [ggf pi hole ] -> spezifischer, singulärer Durchlass/Port durch Router -> Internet DNS deiner Wahl/Gusto
Und warum der Umweg?
Der erste Router ist ja nur Durchlauferhitzer
Die clients erhalten als DNS 2 DC IPs. Die entscheiden dann was damit geschieht.
Der erste Router ist ja nur Durchlauferhitzer
Die clients erhalten als DNS 2 DC IPs. Die entscheiden dann was damit geschieht.
1
Mein bisheriger Ansatz:
Der ist grundfalsch wenn du einen eigenen DNS Server betreibst (AD, PiHole etc.)- Client stellt alle DNS-Anfragen an lokalen DNS Server
- DNS hat Weiterleitung auf Router DNS
- Router DNS fragt Internet DNS
den Vorteil, dass in den Clients nicht manuell der DNS-Server eingetragen werden muss.
Ist ja auch Blödsinn, denn den DNS Server bekommt der Client ja immer automatisch vom DHCP Server. Irgendwas hast du hier also gründlich missverstanden...?!
Hallo,
der AD DNS leitet sicher keine Anfragen an den pi weiter, sondern benutzt den pi selber zur Auflösung unbekannter Hostnamen. Dieser fragt wiederum einen DNS im Internet.
Sprich: Der Client spricht nie direkt mit dem pi.
Gruß,
Jörg
der AD DNS leitet sicher keine Anfragen an den pi weiter, sondern benutzt den pi selber zur Auflösung unbekannter Hostnamen. Dieser fragt wiederum einen DNS im Internet.
Sprich: Der Client spricht nie direkt mit dem pi.
Gruß,
Jörg
Moin,
Router leiten IP-Pakete von einem Netz ins andere und beantworten keine DNS-Anfragen.
AD-Controller (aka Domain-Controller) verwalten Informationen einer Domain wie Benutzer, Computer, Drucker, Dienste ... und beantworten auch keine DNS-Anfragen.
Aha, Du meinst also mit AD-Controller den/die DNS-Server der Domain. Und warum sollte der die Anfragen an einen weiteren internen DNS-Server weiterleiten und nicht direkt zu einem Server im Internet? BTW: Das macht man auch nur, weil man den eigenen DNS-Server entlasten möchte. Theoretisch kann der jede Adresse auflösen.
Geblockte Anfragen? Was meinst Du damit?
Hä? Was hat die Struktur des DNS damit zu tun? Den DNS trägst Du per DHCP ein. In der Domain ist/sind das der/die DNS-Server der Domain und keine anderen.
IMHO ist die sinnvollte Variante, dass die Clients den/die Domain-DNS fragen und dort Weiterleitungen auf DNS-Server im Internet eingetragen werden. Ich würde nicht den vom Provider nehmen. Die sind eher langsam. Ich persönlich bevorzuge freie DNS-Server, die eine neutrale (unzensierte) Auskunft garantieren.
Ansonsten empfehle ich Dir diese Lektüre:
https://www.netplanet.org/adressierung/dns.shtml
https://www.netplanet.org/adressierung/dnsdetail.shtml
hth
Erik
Client stellt alle DNS-Anfragen an Router.
Router leiten IP-Pakete von einem Netz ins andere und beantworten keine DNS-Anfragen.
Router leitet alle DNS-Anfragen an AD-Controller.
AD-Controller (aka Domain-Controller) verwalten Informationen einer Domain wie Benutzer, Computer, Drucker, Dienste ... und beantworten auch keine DNS-Anfragen.
AD-Controller leitet alle Anfragen, die nicht die Domäne betreffen, an DNS-Server (pi-hole) weiter.
Aha, Du meinst also mit AD-Controller den/die DNS-Server der Domain. Und warum sollte der die Anfragen an einen weiteren internen DNS-Server weiterleiten und nicht direkt zu einem Server im Internet? BTW: Das macht man auch nur, weil man den eigenen DNS-Server entlasten möchte. Theoretisch kann der jede Adresse auflösen.
DNS-Server (pi-hole) leitet alle nicht geblockten Anfragen an Provider-NS weiter [oder löst selbst auf].
Geblockte Anfragen? Was meinst Du damit?
Dies hat meines Erachtens den Vorteil, dass in den Clients nicht manuell der DNS-Server eingetragen werden muss.
Hä? Was hat die Struktur des DNS damit zu tun? Den DNS trägst Du per DHCP ein. In der Domain ist/sind das der/die DNS-Server der Domain und keine anderen.
Oder ist eine andere Organisation sinnvoller?
IMHO ist die sinnvollte Variante, dass die Clients den/die Domain-DNS fragen und dort Weiterleitungen auf DNS-Server im Internet eingetragen werden. Ich würde nicht den vom Provider nehmen. Die sind eher langsam. Ich persönlich bevorzuge freie DNS-Server, die eine neutrale (unzensierte) Auskunft garantieren.
Ansonsten empfehle ich Dir diese Lektüre:
https://www.netplanet.org/adressierung/dns.shtml
https://www.netplanet.org/adressierung/dnsdetail.shtml
hth
Erik
Das mit dem DHCP-Server hatte ich nicht auf dem Schirm. Aber das ist stimmig.
Dann besteht auch nicht mein "Problem", den Client konfigurieren zu müssen.
Also Client -> AD -> Pi -> ext. DNS.
Weiter oben schrieb @SeaStorm, dass der Client "als DNS 2 DC IPs" bekommt.
Wenn ich nur 1 DC habe, kann der Client auch nur DEN einen DC als DNS bekommen. Welchen Nachteil habe ich in dem Fall gegenüber einem Client, der 2 DNS zur Auswahl bekommt?
Dann besteht auch nicht mein "Problem", den Client konfigurieren zu müssen.
Also Client -> AD -> Pi -> ext. DNS.
Weiter oben schrieb @SeaStorm, dass der Client "als DNS 2 DC IPs" bekommt.
Wenn ich nur 1 DC habe, kann der Client auch nur DEN einen DC als DNS bekommen. Welchen Nachteil habe ich in dem Fall gegenüber einem Client, der 2 DNS zur Auswahl bekommt?
@certifiedit.net: Lässt der Router nicht immer im Zweifel alle DNS anfragen direkt durch? Ich meine, welche soll er nicht durchlassen?
So erst Mal Keinen. Du hast halt keinen FallBack, Wenn der DC Mal down ist.
Aber dann hat der Client auch nur diesen einen DNS und nicht noch irgendeinen anderen !
Aber dann hat der Client auch nur diesen einen DNS und nicht noch irgendeinen anderen !
