DNS pfusch vorübergehend lauffähig halten
Hi,
ich stehe vor einem Problem, dass ich soweit verstanden habe, aber zu dessen kurzfristiger Lösung es mir scheinbar etwas an Kreativität fehlt
Folgendes Szenario:
Übernahme eines strickt nicht Standardkonformen Netzwerks. Heist:
Öffentliche IP Adressen im Internen Netz.
Windows Domäne mit Sagen wir mal der Endung: Gumibärenbande.de (natürlich ohne Umlaute, so schlimm ist es dann doch nicht )
Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Kennt jemand das Problem und hat vielleicht eine kurzfristigen Lösungsansatz dafür?
Danke und schönes Weekend
MFG
PJM
ich stehe vor einem Problem, dass ich soweit verstanden habe, aber zu dessen kurzfristiger Lösung es mir scheinbar etwas an Kreativität fehlt
Folgendes Szenario:
Übernahme eines strickt nicht Standardkonformen Netzwerks. Heist:
Öffentliche IP Adressen im Internen Netz.
Windows Domäne mit Sagen wir mal der Endung: Gumibärenbande.de (natürlich ohne Umlaute, so schlimm ist es dann doch nicht )
Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Kennt jemand das Problem und hat vielleicht eine kurzfristigen Lösungsansatz dafür?
Danke und schönes Weekend
MFG
PJM
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308121
Url: https://administrator.de/forum/dns-pfusch-voruebergehend-lauffaehig-halten-308121.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
18 Kommentare
Neuester Kommentar
Hi,
das mit den öffentlichen Adressen ist natürlich Murks.
Aber das mit dem Namen nicht unbedingt. Ich mag das auch nicht, aber man kann das so machen. Das wird sogar von MS so kolportiert.
Hier solltest Du mal nach "Split Brain DNS" suchen und das dementsprechend einrichten. Das ist normalerweise recht einfach gemacht.
Ich hoffe mal, das wenigstens DHCP im Einsatz ist?
E.
das mit den öffentlichen Adressen ist natürlich Murks.
Aber das mit dem Namen nicht unbedingt. Ich mag das auch nicht, aber man kann das so machen. Das wird sogar von MS so kolportiert.
Hier solltest Du mal nach "Split Brain DNS" suchen und das dementsprechend einrichten. Das ist normalerweise recht einfach gemacht.
Ich hoffe mal, das wenigstens DHCP im Einsatz ist?
E.
Hallo,
das mit der internen .de-Domäne ist doch nicht falsch. Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten, den Zertifikaten (auf nicht-offizielle Domänen werden keine Zertifikate ausgestellt!) usw.
"Split Domane" ist da nur bedingt eine Lösung.
Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren Dienste sind unter der Domäne gummiebaerchen.de registriert. Damit habe ich allen Anforerungen genüge getan. Intern bleibt intern (die Domäne/Zone lokal.gummiebaerchen.de wird nur von internen DNS-Servern verwaltet) und von außen ist alles sauber unter gummiebaerchen.de erreichbar.
Jürgen
das mit der internen .de-Domäne ist doch nicht falsch. Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten, den Zertifikaten (auf nicht-offizielle Domänen werden keine Zertifikate ausgestellt!) usw.
"Split Domane" ist da nur bedingt eine Lösung.
Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren Dienste sind unter der Domäne gummiebaerchen.de registriert. Damit habe ich allen Anforerungen genüge getan. Intern bleibt intern (die Domäne/Zone lokal.gummiebaerchen.de wird nur von internen DNS-Servern verwaltet) und von außen ist alles sauber unter gummiebaerchen.de erreichbar.
Jürgen
Hallo,
im Prinzip geht das alles.
ABER: Alle bekannten IT-Größen (MS, Cisco usw.) raten von einem Szenario mit einen offiziellen .de, .eu, .com usw. und einer .lokal, .intern oä. Domäne ab! Das war früher anders. ZB. wurde in den MS- oder Novel- Netzwerkschulungen ausdrücklich eine solche Trennung empfohlen. Heute findet sich das genaue Gegenteil in den Schulungsunterlagen.
Auch in Hinblick auf die IP6-Adressierung, bei der es ja keine strickte Trennung zw. offiziellen und privaten IP-Adressen gibt, macht eine eine Trennung der Domänen in .de und .lokal keinen Sinn mehr. (Und irgendwann müssen wir alle auf IP6 umsteigen. )
Jürgen
PS. Ich habe vor einem Jahr die Umstellung der alten DNS-Struktur (.de und .lokal) auf die neue einheitliche Struktur wie oben beschrieben hinter mir. Genau wegen der oben beschriebenen Probleme. Natürlich kannst Du dir selber Zertifikate ausstellen, die akzeptiert bloß niemand (extern).
Das empfangen von Mails ist nicht das Problem. Es geht um das Versenden. Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt, verweigern einige Mail-Server die Annahme und Weiterleitung von Mails.
im Prinzip geht das alles.
ABER: Alle bekannten IT-Größen (MS, Cisco usw.) raten von einem Szenario mit einen offiziellen .de, .eu, .com usw. und einer .lokal, .intern oä. Domäne ab! Das war früher anders. ZB. wurde in den MS- oder Novel- Netzwerkschulungen ausdrücklich eine solche Trennung empfohlen. Heute findet sich das genaue Gegenteil in den Schulungsunterlagen.
Auch in Hinblick auf die IP6-Adressierung, bei der es ja keine strickte Trennung zw. offiziellen und privaten IP-Adressen gibt, macht eine eine Trennung der Domänen in .de und .lokal keinen Sinn mehr. (Und irgendwann müssen wir alle auf IP6 umsteigen. )
Jürgen
PS. Ich habe vor einem Jahr die Umstellung der alten DNS-Struktur (.de und .lokal) auf die neue einheitliche Struktur wie oben beschrieben hinter mir. Genau wegen der oben beschriebenen Probleme. Natürlich kannst Du dir selber Zertifikate ausstellen, die akzeptiert bloß niemand (extern).
Das empfangen von Mails ist nicht das Problem. Es geht um das Versenden. Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt, verweigern einige Mail-Server die Annahme und Weiterleitung von Mails.
Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten
Warum? Kannst du das technisch begründen?
Alle bekannten IT-Größen (MS, Cisco usw.) raten von einem Szenario mit einen offiziellen .de, .eu, .com usw. und einer .lokal, .intern oä. Domäne ab!
Da hast du sicher einen Link dazu
Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt,
Sorry, da verwechselt du einfach Kraut und Rüben. Mit deinen Einwürfen bringst du den TO nur durcheinander.
wenn Du es doch ganz einfach mit Split Brain in den Griff bekommen kannst?
Genauso ist es. Und das wäre meiner Meinung nach auch der sinnvollste Weg.
LG Günther
Hallo,
zeig mir mal einen Provider, der einen MX-Record auf gumiebaerchen.local einträgt und die Mails an gumiebaerchen.de korrekt ankommen.
Die technischen Probleme bei der Namensauflösung und der Mailzustellung kannst du dir sicher selber erklären.
Wenn deine Postfächer bei einem Maildiestleister gehostet werden, kannst du in der Regel die Mails problemlos über POP3 oder IMAP abholen. Das Versenden von Mails muß aber nicht zwingend über den SMTP-Server des Maildienstleisters erfolgen. Man kann auch Mails ohne Qutlook versenden.
Viele Provider überprüfen aber aus Sicherheitsgründen (zB. Eindämmung von Spam), ob der SMTP-Server mit dem MX-Record der Domäne übereinstimmt. Wenn das nicht der Fall ist, wird die Annahme der Mail und ihre Weiterleitung verhindert.
Solange du alles (POP3, IMAP, SMTP) über den Maildienstleister abwickelst, gibt es keine Probleme. Aber wenn du irgend wann einmal mehr willst, wird es kompliziert.
Und genau so war es bei mir: Erst hat der interne Mailserver die Mails per POP3 abgeholt, dann wurden die Mails per SMTP direkt zugestell (MX-Record), Dann wurde der extern gehostete Web-Server durch einen internen ergänzt, der einen speziellen geschlossenen Teil hostet. Der FTP-Dienst wird intern gehostet.
Diesen ganzen "Kram" mit einer Split-Domane abzubilden, ist gelinde gesagt, ein Krampf.
Aber bitte, es kann jeder so machen wie er will.
Jürgen
zeig mir mal einen Provider, der einen MX-Record auf gumiebaerchen.local einträgt und die Mails an gumiebaerchen.de korrekt ankommen.
Die technischen Probleme bei der Namensauflösung und der Mailzustellung kannst du dir sicher selber erklären.
Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt,
Sorry, da verwechselt du einfach Kraut und Rüben. Mit deinen Einwürfen bringst du den TO nur durcheinander.
Wenn deine Postfächer bei einem Maildiestleister gehostet werden, kannst du in der Regel die Mails problemlos über POP3 oder IMAP abholen. Das Versenden von Mails muß aber nicht zwingend über den SMTP-Server des Maildienstleisters erfolgen. Man kann auch Mails ohne Qutlook versenden.
Viele Provider überprüfen aber aus Sicherheitsgründen (zB. Eindämmung von Spam), ob der SMTP-Server mit dem MX-Record der Domäne übereinstimmt. Wenn das nicht der Fall ist, wird die Annahme der Mail und ihre Weiterleitung verhindert.
Solange du alles (POP3, IMAP, SMTP) über den Maildienstleister abwickelst, gibt es keine Probleme. Aber wenn du irgend wann einmal mehr willst, wird es kompliziert.
Und genau so war es bei mir: Erst hat der interne Mailserver die Mails per POP3 abgeholt, dann wurden die Mails per SMTP direkt zugestell (MX-Record), Dann wurde der extern gehostete Web-Server durch einen internen ergänzt, der einen speziellen geschlossenen Teil hostet. Der FTP-Dienst wird intern gehostet.
Diesen ganzen "Kram" mit einer Split-Domane abzubilden, ist gelinde gesagt, ein Krampf.
Aber bitte, es kann jeder so machen wie er will.
Jürgen
Hi,
Das hat auch vorteile. Z. B. Kannst du dir ein VPN Sparen, es muss lediglich die Firewall richtig konfiguriert werden (und IP Sicherheitsrichtlinien für Verschlüsselung).
Außerdem sobald du mal ein Zertifikat für etwas brauchst, ist es einfacher z. B. von StartSSL ein DV Zertifikat anzufordern.
Ebenfalls schönes Wochenende
Mit freundlichen Grüßen,
agowa338
P. S. Ich bin aktuell mit der Planung der Umstellung einer "firma.local" auf "firma.de" beschäftigt.
P. P. S. 2 DNS-Server mit der Gleichen Zone einen für Intern und einen für Extern ist auch nicht so schlimm (wenn es Dokumentiert ist!), an den Externen DNS-Server Einträgen ändert sich vermutlich nicht so häufig was. Falls doch würde ich beides zusammenfassen also intern und extern am gleichen Server.
P. P. P. S. Eine .local Domäne ist MURKS und macht lang zeitig nur ärger.
Öffentliche IP Adressen im Internen Netz.
Kann man machen, wo ist das Problem? Solange es ein einziger bereich (z. B. /26) und nicht 1000 Verstreute einzelne IPs (nicht aufeinander folgende kleine IP Blöcke) sind...Das hat auch vorteile. Z. B. Kannst du dir ein VPN Sparen, es muss lediglich die Firewall richtig konfiguriert werden (und IP Sicherheitsrichtlinien für Verschlüsselung).
Windows Domäne mit Sagen wir mal der Endung: Gumibärenbande.de (natürlich ohne Umlaute, so schlimm ist es dann doch nicht )
Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Ist auch Best Practise von Microsoft wird außerdem betont, dass es mit ".local" probleme geben kann, weil sich das z. B. mit dem mDNS Standard überschneidet. Also mDNS Geräte (aus eigener Erfahrung manche Drucker in Standard Einstellung) haben damit Probleme.Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Außerdem sobald du mal ein Zertifikat für etwas brauchst, ist es einfacher z. B. von StartSSL ein DV Zertifikat anzufordern.
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Split DNS, oder je nach Server anzahl 2 getrennte DNS Server (z. B. Manuell gepflegter für öffentlich erreichbare). Du könntest aber auch einfach alles auf einen DNS-Server vereinen und diesen öffentlich erreichbar machen (Zone Transfer Einstellung beachten, UDP Port 53 an der Firewall erlauben und TCP Port 53 blocken).Kennt jemand das Problem und hat vielleicht eine kurzfristigen Lösungsansatz dafür?
Erst einmal besser informieren. Die Situation mit öffentlichen IP hat auch vorteile, die die Meisten aus Kostengründen nicht nutzen bzw. in erwägung ziehen. Meine lösung wäre, die geteilte DNS-Zone zu konsolidieren und das mit den Öffentlichen IPs so beizubehalten. Möchtest du hingegen unbedingt ein NAT haben, ist meine empfehlung, DNS-Zone konsolidieren und NAT einsetzen. Das mit .local oder .intern würde ich unter keinen Umstenden machen (Nicht zuletzt, weil das meistens ein sehr großer aufwand ist).Danke und schönes Weekend
Mit freundlichen Grüßen
PJM
Mit freundlichen Grüßen
PJM
Ebenfalls schönes Wochenende
Mit freundlichen Grüßen,
agowa338
P. S. Ich bin aktuell mit der Planung der Umstellung einer "firma.local" auf "firma.de" beschäftigt.
P. P. S. 2 DNS-Server mit der Gleichen Zone einen für Intern und einen für Extern ist auch nicht so schlimm (wenn es Dokumentiert ist!), an den Externen DNS-Server Einträgen ändert sich vermutlich nicht so häufig was. Falls doch würde ich beides zusammenfassen also intern und extern am gleichen Server.
P. P. P. S. Eine .local Domäne ist MURKS und macht lang zeitig nur ärger.
@GuentherH
Stimme Dir zu.
@agowa338
Stimme Dir zu.
@agowa338
Das hat auch vorteile. Z. B. Kannst du dir ein VPN Sparen, es muss lediglich die Firewall richtig konfiguriert werden
Öffentliche IP-Adressen im internen Netz nutzen, bedeutet nicht zwangsläufig, dass diese extern für mich registriert sind, sprich, dass die Routen zu mir führen. Diese Info haben wir nicht.Split DNS, oder je nach Server anzahl 2 getrennte DNS Server (z. B. Manuell gepflegter für öffentlich erreichbare). Du könntest aber auch einfach alles auf einen DNS-Server vereinen und diesen öffentlich erreichbar machen
Split DNS mit nur einen DNS-Server? Wie soll das gehen?TO schreibt:
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Ich glaube er meint hiermit, dass - von intern abgefragt - "firma.de" nicht immer auf die internen AD-Server aufgelöst wird, sondern auf die IP-Adresse der externen WWW-Instanz. Ich verstehe das so, dass es nicht darum geht, dass im internen Netz Server mit öffentlichen Adressen stehen, welche auch von extern erreicht werden müssen. Hier geht es einfach darum, dass die internen Clients - öffentliche IP-Adressen hin- oder her - die internen IP-Adressen aufgelöst bekommen müssen, wenn sie nach internen Ressourcen fragen.Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Zitat von @emeriks:
Öffentliche IP-Adressen im internen Netz nutzen, bedeutet nicht zwangsläufig, dass diese extern für mich registriert sind, sprich, dass die Routen zu mir führen. Diese Info haben wir nicht.
Ok, wenn das wirklich so verbastelt sein sollte, den Servern als erstes neue (zusätzliche) statische IPs auf die Interfaces zuweisen. Anschließend bei den Clients die alte IP durch die neue Ersetzen. Für freigaben kannst du z. B. dieses Skript verwenden einfach per GPO bei Benutzeranmeldung ausführen lassen.Öffentliche IP-Adressen im internen Netz nutzen, bedeutet nicht zwangsläufig, dass diese extern für mich registriert sind, sprich, dass die Routen zu mir führen. Diese Info haben wir nicht.
Split DNS mit nur einen DNS-Server? Wie soll das gehen?
Ich habe mich wohl etwas unklar ausgedrückt, ich habe zwei Szenarien beschrieben. 1x Split DNS und 1x Konsolidierung auf einen DNS-Server (bzw. mehrere Synchrone)Ich glaube er meint hiermit, dass - von intern abgefragt - "firma.de" nicht immer auf die internen AD-Server aufgelöst wird, sondern auf die IP-Adresse der externen WWW-Instanz. Ich verstehe das so, dass es nicht darum geht, dass im internen Netz Server mit öffentlichen Adressen stehen, welche auch von extern erreicht werden müssen. Hier geht es einfach darum, dass die internen Clients - öffentliche IP-Adressen hin- oder her - die internen IP-Adressen aufgelöst bekommen müssen, wenn sie nach internen Ressourcen fragen.
Stimmt, das ist ein Problem, wenn es die Adresse doppelt gibt. Da kommt man am Umbenennen nicht vorbei.
Hallo,
wenn du dein IT-System auf dem Mond aufbaust oder in einer einsamen Forschungsstation am Nordpol und niemals mit dem irdischen Internet in Berührung kommst, kannst du natürlich deine Verzeichnisdienst-Domäne nennen wie du willst. Es wird keine Probleme geben. Dummerweise haben aber viel IT-System auf der Erde nun mal eine Verbindung mit dem Internet. Und da kann man sich durch eine Konfiguration das Leben erschweren oder durch eine andere Konfiguration eben erleichtern. Und bei Microsoft mit seinem ad-integrierten DNS ist es eben bedeutend einfacher, die DNS-Domäne identisch mit der AD-Domäne zu halten. Für einen User ist es eben einfacher, wenn seine Mail-Adresse user@gumibaerchen.de lautet und sein Anmeldename nicht user@gummiebaerchen.local.
Natürlich geht es auch anders, die Freiheit hast du. Ob es dir die User danken, ist eine andere Frage.
Jürgen
wenn du dein IT-System auf dem Mond aufbaust oder in einer einsamen Forschungsstation am Nordpol und niemals mit dem irdischen Internet in Berührung kommst, kannst du natürlich deine Verzeichnisdienst-Domäne nennen wie du willst. Es wird keine Probleme geben. Dummerweise haben aber viel IT-System auf der Erde nun mal eine Verbindung mit dem Internet. Und da kann man sich durch eine Konfiguration das Leben erschweren oder durch eine andere Konfiguration eben erleichtern. Und bei Microsoft mit seinem ad-integrierten DNS ist es eben bedeutend einfacher, die DNS-Domäne identisch mit der AD-Domäne zu halten. Für einen User ist es eben einfacher, wenn seine Mail-Adresse user@gumibaerchen.de lautet und sein Anmeldename nicht user@gummiebaerchen.local.
Natürlich geht es auch anders, die Freiheit hast du. Ob es dir die User danken, ist eine andere Frage.
Jürgen
Hi!
mrtux
Zitat von @chiefteddy:
Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren
Das mit dem .local am Ende war doch schon beim ersten Wählscheibentelefon verpönt. Wird aber immer noch gerne von "Administratoren" ( bevor sich wieder einer auf den Schlips getreten fühlt: Man beachte bitte die Anführungszeichen! ) gemacht.Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren
mrtux
Habe folgenden Link gefunden
https://blogs.technet.microsoft.com/networking/2015/05/12/split-brain-dn ...
versteh ich das allerdings richtig das die Definition von Intern und extern hier via rfc1918 stattfindet?
Dann wäre ich mit meiner IP Adressvergabe ja wieder genau so nass.
Nein, dass geht an Deinem Szenario vorbei, denke ich. Erstens erst ab Windows 2016 und zweitens geht es davon aus, dass man den DNS-Server für die externe Zone delbst hostet, was in den seltensten Fällen so ist.https://blogs.technet.microsoft.com/networking/2015/05/12/split-brain-dn ...
versteh ich das allerdings richtig das die Definition von Intern und extern hier via rfc1918 stattfindet?
Dann wäre ich mit meiner IP Adressvergabe ja wieder genau so nass.
- DNS-Server für die externen Anfragen: Der DNS-Server beim Zonen-Provider. Bekommst Du im Zeifelsfall mit einer DENIC-Abfrage raus. Hat eine Zone für "firma.de". Die Zone enthält nur Records für Dienste, welche von extern erreichbar sein müssen. Egal wo diese stehen - bei einem externen Hoster oder bei Euch in der DMZ. z.B. "www.firma.de", "ftp.firma.de", "mail.firma.de" usw.
- DNS-Server für die internen Anfragen: Der DNS-Server bei Euch im internen Netz. Bei Euch wahrscheinlich ein DC der AD-Domäne "firma.de". Dieser hat eine Zone für "firma.de" welche:
- für die internen Ressourcen Records hat, welche auf die internen Adressen auflösen
- für Ressourcen in der DMZ Records hat, welche auf die DMZ-Adressen auflöst
- für Ressourcen im Internet (beim Hoster) Records hat, welche auf die öffentlichen Adressen auflöst (also nochmal für "www.firma.de", "ftp.firma.de" usw.
Die internen Clients verwenden nur den internen DNS-Server.