fisi-pjm
Goto Top

DNS pfusch vorübergehend lauffähig halten

Hi,

ich stehe vor einem Problem, dass ich soweit verstanden habe, aber zu dessen kurzfristiger Lösung es mir scheinbar etwas an Kreativität fehlt face-big-smile

Folgendes Szenario:

Übernahme eines strickt nicht Standardkonformen Netzwerks. Heist:

Öffentliche IP Adressen im Internen Netz.
Windows Domäne mit Sagen wir mal der Endung: Gumibärenbande.de (natürlich ohne Umlaute, so schlimm ist es dann doch nicht face-smile )

Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.

Kennt jemand das Problem und hat vielleicht eine kurzfristigen Lösungsansatz dafür?
Danke und schönes Weekend

MFG
PJM

Content-ID: 308121

Url: https://administrator.de/contentid/308121

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

emeriks
Lösung emeriks 24.06.2016 um 15:43:47 Uhr
Goto Top
Hi,
das mit den öffentlichen Adressen ist natürlich Murks.

Aber das mit dem Namen nicht unbedingt. Ich mag das auch nicht, aber man kann das so machen. Das wird sogar von MS so kolportiert.
Hier solltest Du mal nach "Split Brain DNS" suchen und das dementsprechend einrichten. Das ist normalerweise recht einfach gemacht.

Ich hoffe mal, das wenigstens DHCP im Einsatz ist?

E.
chiefteddy
chiefteddy 24.06.2016 um 15:58:03 Uhr
Goto Top
Hallo,

das mit der internen .de-Domäne ist doch nicht falsch. Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten, den Zertifikaten (auf nicht-offizielle Domänen werden keine Zertifikate ausgestellt!) usw.

"Split Domane" ist da nur bedingt eine Lösung.

Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren Dienste sind unter der Domäne gummiebaerchen.de registriert. Damit habe ich allen Anforerungen genüge getan. Intern bleibt intern (die Domäne/Zone lokal.gummiebaerchen.de wird nur von internen DNS-Servern verwaltet) und von außen ist alles sauber unter gummiebaerchen.de erreichbar.

Jürgen
fisi-pjm
fisi-pjm 24.06.2016 um 16:13:37 Uhr
Goto Top
DHCP vorher nocht nicht im Einsatz.
Habe ich eingeführt als Vorbereitung zur Umstellung. Damit es mit weniger Ausfallzeit läuft.
fisi-pjm
fisi-pjm 24.06.2016 um 16:20:32 Uhr
Goto Top
Zitat von @chiefteddy:

Hallo,

das mit der internen .de-Domäne ist doch nicht falsch. Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten, den Zertifikaten (auf nicht-offizielle Domänen werden keine Zertifikate ausgestellt!) usw.

Da hier nicht mit einem MX gearbeitet wird, sondern der Interne Mailserver die E-Mails via POP3 vom Mailserver des Webseitenanbieters holt, sollte es mit ".local" Mailtechnisch doch eigentlich keine Probleme geben oder?

Zertifikate sind noch keine im Einsatz. Wie gesagt Murks hoch 10.

Kann mir doch aber über eine Interne CA für gesicherte Zugriffe eigene CAs ausstellen oder?

MFG
PJM
emeriks
emeriks 24.06.2016 um 16:30:07 Uhr
Goto Top
Aber warum willst Du Dir die Arbeit ans Bein binden, eine neue AD Gesamtstruktur anzufangen, mit dem ganzen Migrationsaufwand, wenn Du es doch ganz einfach mit Split Brain in den Griff bekommen kannst?
chiefteddy
chiefteddy 24.06.2016 um 16:41:52 Uhr
Goto Top
Hallo,

im Prinzip geht das alles.

ABER: Alle bekannten IT-Größen (MS, Cisco usw.) raten von einem Szenario mit einen offiziellen .de, .eu, .com usw. und einer .lokal, .intern oä. Domäne ab! Das war früher anders. ZB. wurde in den MS- oder Novel- Netzwerkschulungen ausdrücklich eine solche Trennung empfohlen. Heute findet sich das genaue Gegenteil in den Schulungsunterlagen.

Auch in Hinblick auf die IP6-Adressierung, bei der es ja keine strickte Trennung zw. offiziellen und privaten IP-Adressen gibt, macht eine eine Trennung der Domänen in .de und .lokal keinen Sinn mehr. (Und irgendwann müssen wir alle auf IP6 umsteigen. face-smile )

Jürgen

PS. Ich habe vor einem Jahr die Umstellung der alten DNS-Struktur (.de und .lokal) auf die neue einheitliche Struktur wie oben beschrieben hinter mir. Genau wegen der oben beschriebenen Probleme. Natürlich kannst Du dir selber Zertifikate ausstellen, die akzeptiert bloß niemand (extern).

Das empfangen von Mails ist nicht das Problem. Es geht um das Versenden. Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt, verweigern einige Mail-Server die Annahme und Weiterleitung von Mails.
GuentherH
GuentherH 24.06.2016 um 17:12:47 Uhr
Goto Top
Wenn die interne domäne gummiebaerchen.lokal heißt und die externe Domäne gummiebaerchen.de, , gibt es Probleme mit den Maildiensten

Warum? Kannst du das technisch begründen?

Alle bekannten IT-Größen (MS, Cisco usw.) raten von einem Szenario mit einen offiziellen .de, .eu, .com usw. und einer .lokal, .intern oä. Domäne ab!

Da hast du sicher einen Link dazu

Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt,

Sorry, da verwechselt du einfach Kraut und Rüben. Mit deinen Einwürfen bringst du den TO nur durcheinander.

wenn Du es doch ganz einfach mit Split Brain in den Griff bekommen kannst?

Genauso ist es. Und das wäre meiner Meinung nach auch der sinnvollste Weg.

LG Günther
chiefteddy
chiefteddy 24.06.2016 um 18:35:40 Uhr
Goto Top
Hallo,

zeig mir mal einen Provider, der einen MX-Record auf gumiebaerchen.local einträgt und die Mails an gumiebaerchen.de korrekt ankommen.

Die technischen Probleme bei der Namensauflösung und der Mailzustellung kannst du dir sicher selber erklären.


Wenn die Sende-Domäne nicht mit der Empfangsdomäne übereinstimmt,

Sorry, da verwechselt du einfach Kraut und Rüben. Mit deinen Einwürfen bringst du den TO nur durcheinander.

Wenn deine Postfächer bei einem Maildiestleister gehostet werden, kannst du in der Regel die Mails problemlos über POP3 oder IMAP abholen. Das Versenden von Mails muß aber nicht zwingend über den SMTP-Server des Maildienstleisters erfolgen. Man kann auch Mails ohne Qutlook versenden.

Viele Provider überprüfen aber aus Sicherheitsgründen (zB. Eindämmung von Spam), ob der SMTP-Server mit dem MX-Record der Domäne übereinstimmt. Wenn das nicht der Fall ist, wird die Annahme der Mail und ihre Weiterleitung verhindert.

Solange du alles (POP3, IMAP, SMTP) über den Maildienstleister abwickelst, gibt es keine Probleme. Aber wenn du irgend wann einmal mehr willst, wird es kompliziert.

Und genau so war es bei mir: Erst hat der interne Mailserver die Mails per POP3 abgeholt, dann wurden die Mails per SMTP direkt zugestell (MX-Record), Dann wurde der extern gehostete Web-Server durch einen internen ergänzt, der einen speziellen geschlossenen Teil hostet. Der FTP-Dienst wird intern gehostet.

Diesen ganzen "Kram" mit einer Split-Domane abzubilden, ist gelinde gesagt, ein Krampf.

Aber bitte, es kann jeder so machen wie er will.

Jürgen
agowa338
agowa338 24.06.2016 aktualisiert um 18:52:41 Uhr
Goto Top
Zitat von @fisi-pjm:

Hi,
Hi,
Öffentliche IP Adressen im Internen Netz.
Kann man machen, wo ist das Problem? Solange es ein einziger bereich (z. B. /26) und nicht 1000 Verstreute einzelne IPs (nicht aufeinander folgende kleine IP Blöcke) sind...
Das hat auch vorteile. Z. B. Kannst du dir ein VPN Sparen, es muss lediglich die Firewall richtig konfiguriert werden (und IP Sicherheitsrichtlinien für Verschlüsselung).
Windows Domäne mit Sagen wir mal der Endung: Gumibärenbande.de (natürlich ohne Umlaute, so schlimm ist es dann doch nicht face-smile )
Ich habe das große Vergnügen nun diese Netzwerk zukünftig zu betreuen.
Langfristig werde ich das Netzwerk auf Private IP Adressen umstellen und auch den Domänen-Namen auf eine .local oder .intern umstellen.
Ist auch Best Practise von Microsoft wird außerdem betont, dass es mit ".local" probleme geben kann, weil sich das z. B. mit dem mDNS Standard überschneidet. Also mDNS Geräte (aus eigener Erfahrung manche Drucker in Standard Einstellung) haben damit Probleme.
Außerdem sobald du mal ein Zertifikat für etwas brauchst, ist es einfacher z. B. von StartSSL ein DV Zertifikat anzufordern.
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Split DNS, oder je nach Server anzahl 2 getrennte DNS Server (z. B. Manuell gepflegter für öffentlich erreichbare). Du könntest aber auch einfach alles auf einen DNS-Server vereinen und diesen öffentlich erreichbar machen (Zone Transfer Einstellung beachten, UDP Port 53 an der Firewall erlauben und TCP Port 53 blocken).
Kennt jemand das Problem und hat vielleicht eine kurzfristigen Lösungsansatz dafür?
Erst einmal besser informieren. Die Situation mit öffentlichen IP hat auch vorteile, die die Meisten aus Kostengründen nicht nutzen bzw. in erwägung ziehen. Meine lösung wäre, die geteilte DNS-Zone zu konsolidieren und das mit den Öffentlichen IPs so beizubehalten. Möchtest du hingegen unbedingt ein NAT haben, ist meine empfehlung, DNS-Zone konsolidieren und NAT einsetzen. Das mit .local oder .intern würde ich unter keinen Umstenden machen (Nicht zuletzt, weil das meistens ein sehr großer aufwand ist).
Danke und schönes Weekend

Mit freundlichen Grüßen
PJM

Ebenfalls schönes Wochenende

Mit freundlichen Grüßen,
agowa338

P. S. Ich bin aktuell mit der Planung der Umstellung einer "firma.local" auf "firma.de" beschäftigt.
P. P. S. 2 DNS-Server mit der Gleichen Zone einen für Intern und einen für Extern ist auch nicht so schlimm (wenn es Dokumentiert ist!), an den Externen DNS-Server Einträgen ändert sich vermutlich nicht so häufig was. Falls doch würde ich beides zusammenfassen also intern und extern am gleichen Server.
P. P. P. S. Eine .local Domäne ist MURKS und macht lang zeitig nur ärger.
GuentherH
GuentherH 24.06.2016 aktualisiert um 20:10:15 Uhr
Goto Top
zeig mir mal einen Provider, der einen MX-Record auf gumiebaerchen.local einträgt und die Mails an gumiebaerchen.de korrekt ankommen.

Was hat die Mail Domäne mit der AD-Domäne zu tun. Rein gar nichts.
Wie oben schon von mir geschrieben, verwechselt du Äpfel mit Birnen.

LG Günther
emeriks
emeriks 24.06.2016 aktualisiert um 22:34:29 Uhr
Goto Top
@GuentherH
Stimme Dir zu.

@agowa338
Das hat auch vorteile. Z. B. Kannst du dir ein VPN Sparen, es muss lediglich die Firewall richtig konfiguriert werden
Öffentliche IP-Adressen im internen Netz nutzen, bedeutet nicht zwangsläufig, dass diese extern für mich registriert sind, sprich, dass die Routen zu mir führen. Diese Info haben wir nicht.

Split DNS, oder je nach Server anzahl 2 getrennte DNS Server (z. B. Manuell gepflegter für öffentlich erreichbare). Du könntest aber auch einfach alles auf einen DNS-Server vereinen und diesen öffentlich erreichbar machen
Split DNS mit nur einen DNS-Server? Wie soll das gehen?

TO schreibt:
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Ich glaube er meint hiermit, dass - von intern abgefragt - "firma.de" nicht immer auf die internen AD-Server aufgelöst wird, sondern auf die IP-Adresse der externen WWW-Instanz. Ich verstehe das so, dass es nicht darum geht, dass im internen Netz Server mit öffentlichen Adressen stehen, welche auch von extern erreicht werden müssen. Hier geht es einfach darum, dass die internen Clients - öffentliche IP-Adressen hin- oder her - die internen IP-Adressen aufgelöst bekommen müssen, wenn sie nach internen Ressourcen fragen.
agowa338
agowa338 24.06.2016 aktualisiert um 23:25:57 Uhr
Goto Top
Zitat von @emeriks:
Öffentliche IP-Adressen im internen Netz nutzen, bedeutet nicht zwangsläufig, dass diese extern für mich registriert sind, sprich, dass die Routen zu mir führen. Diese Info haben wir nicht.
Ok, wenn das wirklich so verbastelt sein sollte, den Servern als erstes neue (zusätzliche) statische IPs auf die Interfaces zuweisen. Anschließend bei den Clients die alte IP durch die neue Ersetzen. Für freigaben kannst du z. B. dieses Skript verwenden einfach per GPO bei Benutzeranmeldung ausführen lassen.
Split DNS mit nur einen DNS-Server? Wie soll das gehen?
Ich habe mich wohl etwas unklar ausgedrückt, ich habe zwei Szenarien beschrieben. 1x Split DNS und 1x Konsolidierung auf einen DNS-Server (bzw. mehrere Synchrone)
Ich glaube er meint hiermit, dass - von intern abgefragt - "firma.de" nicht immer auf die internen AD-Server aufgelöst wird, sondern auf die IP-Adresse der externen WWW-Instanz. Ich verstehe das so, dass es nicht darum geht, dass im internen Netz Server mit öffentlichen Adressen stehen, welche auch von extern erreicht werden müssen. Hier geht es einfach darum, dass die internen Clients - öffentliche IP-Adressen hin- oder her - die internen IP-Adressen aufgelöst bekommen müssen, wenn sie nach internen Ressourcen fragen.
Stimmt, das ist ein Problem, wenn es die Adresse doppelt gibt. Da kommt man am Umbenennen nicht vorbei.
chiefteddy
chiefteddy 24.06.2016 um 23:30:57 Uhr
Goto Top
Hallo,

wenn du dein IT-System auf dem Mond aufbaust oder in einer einsamen Forschungsstation am Nordpol und niemals mit dem irdischen Internet in Berührung kommst, kannst du natürlich deine Verzeichnisdienst-Domäne nennen wie du willst. Es wird keine Probleme geben. Dummerweise haben aber viel IT-System auf der Erde nun mal eine Verbindung mit dem Internet. Und da kann man sich durch eine Konfiguration das Leben erschweren oder durch eine andere Konfiguration eben erleichtern. Und bei Microsoft mit seinem ad-integrierten DNS ist es eben bedeutend einfacher, die DNS-Domäne identisch mit der AD-Domäne zu halten. Für einen User ist es eben einfacher, wenn seine Mail-Adresse user@gumibaerchen.de lautet und sein Anmeldename nicht user@gummiebaerchen.local.

Natürlich geht es auch anders, die Freiheit hast du. Ob es dir die User danken, ist eine andere Frage.

Jürgen
mrtux
mrtux 25.06.2016 aktualisiert um 00:34:23 Uhr
Goto Top
Hi!

Zitat von @chiefteddy:
Ich habe das Problem dadurch gelöst, dass ich die interne Domäne einfach lokal.gummiebaerchen.de genannt habe. Alle extern erreichbaren
Das mit dem .local am Ende war doch schon beim ersten Wählscheibentelefon verpönt. Wird aber immer noch gerne von "Administratoren" ( bevor sich wieder einer auf den Schlips getreten fühlt: Man beachte bitte die Anführungszeichen! face-wink ) gemacht.

mrtux
fisi-pjm
fisi-pjm 25.06.2016 um 09:45:50 Uhr
Goto Top
Zitat von @chiefteddy:

wenn du dein IT-System auf dem Mond aufbaust oder in einer einsamen Forschungsstation am Nordpol und niemals mit dem irdischen Internet in Berührung kommst, kannst du natürlich deine Verzeichnisdienst-Domäne nennen wie du willst.


Also das Dörfchen liegt zwar weit ab vom Schuss, aber eine Verbindung zum Internet habe Sie trotzdem face-wink


Natürlich geht es auch anders, die Freiheit hast du. Ob es dir die User danken, ist eine andere Frage.


Bei einer MS Domäne, mit Computern die Teil dieser MS Domäne sind, kommst du als Normalbenutzer eigentlich nie in die Verlegenheit deinen kompletten FQDN anzugeben. MS reicht bei korrekter Konfiguration der Benutzername. (IMHO)
fisi-pjm
fisi-pjm 25.06.2016 um 09:48:01 Uhr
Goto Top
Zitat von @emeriks:

TO schreibt:
Aktuell habe ich allerdings das Problem, dass Zahlreiche Netzwerkanmeldung beim Auflösen eines Servernamens die, wer hätte es gedacht, ebenfall unter gleichem Domänennamen registrierte, Öffentliche IP des Webservers der von einem Online Anbieter gehostet wird zurück bekommen.
Ich glaube er meint hiermit, dass - von intern abgefragt - "firma.de" nicht immer auf die internen AD-Server aufgelöst wird, sondern auf die IP-Adresse der externen WWW-Instanz. Ich verstehe das so, dass es nicht darum geht, dass im internen Netz Server mit öffentlichen Adressen stehen, welche auch von extern erreicht werden müssen. Hier geht es einfach darum, dass die internen Clients - öffentliche IP-Adressen hin- oder her - die internen IP-Adressen aufgelöst bekommen müssen, wenn sie nach internen Ressourcen fragen.


100 Punkte
fisi-pjm
fisi-pjm 25.06.2016 um 10:13:18 Uhr
Goto Top
Zitat von @GuentherH:


wenn Du es doch ganz einfach mit Split Brain in den Griff bekommen kannst?

Genauso ist es. Und das wäre meiner Meinung nach auch der sinnvollste Weg.


Okay, hab mir mal "Splitbrain DNS" angesehen. Hört sich ziemlich sicher nach dem an was ich suche.
Habe unterschiedliche Ansätze gesehen. Unter anderem die Anpassung der Hosts Datei. Das werde ich vermeiden, denke das wird nachträglich den Administrativen Aufwand nur erhöhen.
Habe folgenden Link gefunden
https://blogs.technet.microsoft.com/networking/2015/05/12/split-brain-dn ...
versteh ich das allerdings richtig das die Definition von Intern und extern hier via rfc1918 stattfindet?
Dann wäre ich mit meiner IP Adressvergabe ja wieder genau so nass.


Ein klein bischen Off Topic:
Ich betreue schon seit einigen Jahren sowohl eigene als auch Kundennetze, die ich zum Teil selbst erstellt und zum Teil übernommen habe und bis dato hatten alle eine DNS Trennung via local oder intern. Dementsprechend fehlt mir natürlich ein wenig die Erfahrung mit anderen Aufbauten. Bis jetzt hatte ich aber mit diesem Aufbau nie Probleme. Server die Dienste nach außen publizieren stehen hier allerdings auch alle in einer DMZ die entsprechend einen anderen Namensraum hat.

Wünsche ein trockenes Wochenende
PJM
emeriks
emeriks 25.06.2016 aktualisiert um 14:09:01 Uhr
Goto Top
Habe folgenden Link gefunden
https://blogs.technet.microsoft.com/networking/2015/05/12/split-brain-dn ...
versteh ich das allerdings richtig das die Definition von Intern und extern hier via rfc1918 stattfindet?
Dann wäre ich mit meiner IP Adressvergabe ja wieder genau so nass.
Nein, dass geht an Deinem Szenario vorbei, denke ich. Erstens erst ab Windows 2016 und zweitens geht es davon aus, dass man den DNS-Server für die externe Zone delbst hostet, was in den seltensten Fällen so ist.
  • DNS-Server für die externen Anfragen: Der DNS-Server beim Zonen-Provider. Bekommst Du im Zeifelsfall mit einer DENIC-Abfrage raus. Hat eine Zone für "firma.de". Die Zone enthält nur Records für Dienste, welche von extern erreichbar sein müssen. Egal wo diese stehen - bei einem externen Hoster oder bei Euch in der DMZ. z.B. "www.firma.de", "ftp.firma.de", "mail.firma.de" usw.
  • DNS-Server für die internen Anfragen: Der DNS-Server bei Euch im internen Netz. Bei Euch wahrscheinlich ein DC der AD-Domäne "firma.de". Dieser hat eine Zone für "firma.de" welche:
    1. für die internen Ressourcen Records hat, welche auf die internen Adressen auflösen
    2. für Ressourcen in der DMZ Records hat, welche auf die DMZ-Adressen auflöst
    3. für Ressourcen im Internet (beim Hoster) Records hat, welche auf die öffentlichen Adressen auflöst (also nochmal für "www.firma.de", "ftp.firma.de" usw.
Punkte 2 und 3 sind jene, welche beim Split DNS für den doppelten Verwaltungsaufwand sorgen. Da diese Ressorcen sich aber höchstwahrscheinlich nur sehr selten ändern werden, oder neue hinzukommen, ist der zusätzlich Aufwand durch die doppelte DNS-Zone sehr gering.

Die internen Clients verwenden nur den internen DNS-Server.