9
DNS Reverse Lookup - falsche IP
Hallo,
ich hoffe ich habe bei der Themensuche hier im Forum nicht ein ähnlichen Beitrag übersehen..
Ich habe einen Windows Server 2012 R2, der hinter einer mit static NAT konfigurierten Firewall steht. Die Firewall filtert den Verkehr zwischen dem Server und unserem Intranet. Im Intranet stehen zwei DNS Server.
Der Server hat eine private IP (172.x.x.x) die auf eine "öffentliche" IP (10.x.x.x) in unser Intranet genattet wird. Eingehender bzw. ausgehender Verkehr zwischen den Server und dem Intranet funktioniert; u.a. ist DNS freigeschaltet.
Macht man über das Intranet auf diesen Server ein nslookup auf die öffentliche IP so kommt die korrekte FQDN des Servers zurück.
Bis hierhin ist alles schick.
Mache ich nun ein nslookup auf den Hostnamen des Servers, so kommt jedoch dessen private IP (172.x.x.x) zurück.
Wo liegt hier das Problem, bzw. wie kann die DNS Registrierung des Servers so konfiguriert werden, dass er nicht die 172.x.x.x, sondern die 10.x.x.x zurück gibt?
Ich bin für jede Hilfe dankbar!
LG Johannes
ich hoffe ich habe bei der Themensuche hier im Forum nicht ein ähnlichen Beitrag übersehen..
Ich habe einen Windows Server 2012 R2, der hinter einer mit static NAT konfigurierten Firewall steht. Die Firewall filtert den Verkehr zwischen dem Server und unserem Intranet. Im Intranet stehen zwei DNS Server.
Der Server hat eine private IP (172.x.x.x) die auf eine "öffentliche" IP (10.x.x.x) in unser Intranet genattet wird. Eingehender bzw. ausgehender Verkehr zwischen den Server und dem Intranet funktioniert; u.a. ist DNS freigeschaltet.
Macht man über das Intranet auf diesen Server ein nslookup auf die öffentliche IP so kommt die korrekte FQDN des Servers zurück.
Bis hierhin ist alles schick.
Mache ich nun ein nslookup auf den Hostnamen des Servers, so kommt jedoch dessen private IP (172.x.x.x) zurück.
Wo liegt hier das Problem, bzw. wie kann die DNS Registrierung des Servers so konfiguriert werden, dass er nicht die 172.x.x.x, sondern die 10.x.x.x zurück gibt?
Ich bin für jede Hilfe dankbar!
LG Johannes
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314593
Url: https://administrator.de/contentid/314593
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
wenn nslookup für server.domäne.tdl nur eine IP zurückgibt, gibt es in der Forwardzone auch nur eine IP für genau diesen Domänennamen.
Wenn er mehrere geben würde würe nslookup das auch anzeigen und round robin machen.
Wenn der Server von extern über einen Domänennamen über die IP 172.x.x.x erreichbar sein soll, sollte über diesen namen keine 10.0.0.0 Adresse zurück kommen.
Intern und extern eine .de Domäne? Dann Split-DNS googlen
Gruß
Chonta
wenn nslookup für server.domäne.tdl nur eine IP zurückgibt, gibt es in der Forwardzone auch nur eine IP für genau diesen Domänennamen.
Wenn er mehrere geben würde würe nslookup das auch anzeigen und round robin machen.
Wenn der Server von extern über einen Domänennamen über die IP 172.x.x.x erreichbar sein soll, sollte über diesen namen keine 10.0.0.0 Adresse zurück kommen.
Intern und extern eine .de Domäne? Dann Split-DNS googlen
Gruß
Chonta
Danke erstmal für deine Antwort. Ich sehe, ich hätte mein Problem noch detailierter beschreiben müssen. ;)
Es gibt eine Domäne in unserem Intranet. Auch wenn der Server hinter einer Firewall steht, so ist dieser doch an der Intranet Domäne angebunden.
Die Firewall hat ein Bein an das Intranet. Dieses ist mit "externen" 10.x.x.x Adressen bestückt. Ein weiteres Bein geht in ein internes Netz, wo sich der Server mit seiner 172.x.x.x Adresse befindet. Eine 10.x.x.x Adresse wird mit static NAT auf den Server mit seiner 172.x.x.x Adresse geleitet.
Pinge ich aus dem Intranet den Server über die 10.x.x.x Adresse, wird diese auf den Server umgeleitet. Das funktioniert auch.
nslookup auf die externe, bzw. auf die im Inranet sichtbare 10.x.x.x Adresse funktioniert. Sie gibt mir die FQDN des Servers zurück.
Gebe ich statt der IP die FQDN des Servers an, so gibt mir nslookup die 172.x.x.x zurück, die aus dem Inranet aber gar nicht sichtbar sein sollte und auch nicht erreichbar ist. Hier sollte eigentlich die externe 10.x.x.x zurückgegeben werden.
Hoffe das kam jetzt verständlicher rüber
LG Johannes
Es gibt eine Domäne in unserem Intranet. Auch wenn der Server hinter einer Firewall steht, so ist dieser doch an der Intranet Domäne angebunden.
Die Firewall hat ein Bein an das Intranet. Dieses ist mit "externen" 10.x.x.x Adressen bestückt. Ein weiteres Bein geht in ein internes Netz, wo sich der Server mit seiner 172.x.x.x Adresse befindet. Eine 10.x.x.x Adresse wird mit static NAT auf den Server mit seiner 172.x.x.x Adresse geleitet.
Pinge ich aus dem Intranet den Server über die 10.x.x.x Adresse, wird diese auf den Server umgeleitet. Das funktioniert auch.
nslookup auf die externe, bzw. auf die im Inranet sichtbare 10.x.x.x Adresse funktioniert. Sie gibt mir die FQDN des Servers zurück.
Gebe ich statt der IP die FQDN des Servers an, so gibt mir nslookup die 172.x.x.x zurück, die aus dem Inranet aber gar nicht sichtbar sein sollte und auch nicht erreichbar ist. Hier sollte eigentlich die externe 10.x.x.x zurückgegeben werden.
Hoffe das kam jetzt verständlicher rüber
LG Johannes
Dann check mal die DNS Server was die für in der Zone drin stehen haben, denn was da drin steht geben die auch zurück.
In der Reversezone kann was anderes drin stehen, jeh nachdem wie man die Zonen verwaltet und pflegt.
Gruß
Chonta
In der Reversezone kann was anderes drin stehen, jeh nachdem wie man die Zonen verwaltet und pflegt.
Gruß
Chonta
1
Hi,
das ist logisch, denn ich nehme an, der Server im 172. benutzt auch die DNS-Server im Intranet. Also wird er sich dort mit seiner echten IP-Adresse aus dem 172.' registrieren.
Am Server an der NIC die DNS-Registrierung deaktivieren. (NIC -> IPv4 -> Eigenschaften -> DNS) Dann im Intranet-DNS manuell einen A-Record für diesen Server mit seiner 10.* Adresse erstellen.
E.
das ist logisch, denn ich nehme an, der Server im 172. benutzt auch die DNS-Server im Intranet. Also wird er sich dort mit seiner echten IP-Adresse aus dem 172.' registrieren.
Am Server an der NIC die DNS-Registrierung deaktivieren. (NIC -> IPv4 -> Eigenschaften -> DNS) Dann im Intranet-DNS manuell einen A-Record für diesen Server mit seiner 10.* Adresse erstellen.
E.
1
Danke erstmal für die Antworten.
Ich habe auch schon mit den Verantwortlichen der DNS Server gesprochen. Aber die meinten, die Registrierung geht automatisch und es muss an dem Server eingestellt werden. Dass ein NAT dazwischen hängt, scheint die aber nicht zu interessieren. Wenn ich sie zu einem A-Record bringen könnte wäre mir ziemlich geholfen. Aber bis ich das geschafft habe werde ich wohl jede Menge graue Haare haben ^^
Ich schaue mal was ich tun kann und halte euch auf dem laufenden.
LG Johannes
Ich habe auch schon mit den Verantwortlichen der DNS Server gesprochen. Aber die meinten, die Registrierung geht automatisch und es muss an dem Server eingestellt werden. Dass ein NAT dazwischen hängt, scheint die aber nicht zu interessieren. Wenn ich sie zu einem A-Record bringen könnte wäre mir ziemlich geholfen. Aber bis ich das geschafft habe werde ich wohl jede Menge graue Haare haben ^^
Ich schaue mal was ich tun kann und halte euch auf dem laufenden.
LG Johannes
Ich schaue mal was ich tun kann
Was zu tun ist, hat dir emeriks schon genau beschrieben. Die externe Netzwerkkarte darf sich nicht im DNS registrieren.
LG Günther
Die DNS Registrierung ist raus. Dennoch brauche ich ja einen Reverse Eintrag. Der Server soll ja mal ein Webserver werden. Und da werden ja die Webseiten nicht über die IP Adresse, sondern über Namen aufgelöst. Der Weg führt nicht um einen manuellen A-Record in der Reverse DNS Zone, das habe ich schon verstanden 
LG Johannes
LG Johannes
A-Record in der Reverse DNS Zone, das habe ich schon verstanden
Ich fürchte nicht A-Record kommt in die Forward-Zone!
Ups, stimmt. Das wäre konfgurationstechnisch auch nicht möglich gewesen ^^
Ändert leider nicht, dass ich es nicht selber eintragen kann.
LG Johannes
Ändert leider nicht, dass ich es nicht selber eintragen kann.
LG Johannes
