6
DNS - Reverse Lookup zu Server in anderem Netzwerk ohne weiteres möglich?
Hallo,
folgendes Szenario:
2 vorhandene Netze (A - meines, B - Fremdnetz) mit jeweils AD und DNS, etc.
Diese sind durch eine Hardware-Firewall gekoppelt. Es ist nur eine IP (172.17.1.10) für Port 445 (SMB) in der Firewall freigegeben, so das Netz A auf Netz B zugreifen kann.
Nun zur eigentlichen Frage.
Ich kann den Fileserver erreichen, funktioniert soweit alles gut, jedoch nur per IP und nicht per Hostname.
Dies will ich nun verbessern und dachte mir, das probiere ich mit einer Reverse Lookup Zone in meinem DNS.
Ich habe nun eine AD integrierte primäre neue Reverse Lookupzone mit der IP angelegt. Diese steht dort nun als:
1.17.172.in-addr.arpa
In dieser habe ich einen PTR Eintrag mit der vollen IP 172.17.1.10 und dem Hostnamen des Servers vorgenommen.
In der Zone sind auch die NS und SOA Einträge Server aus meinem Netz A und nicht aus Netz B, da ich diese gar nicht kenne und selbst wenn keine HW-FW Freigabe existieren würde.
Wie gesagt, es gibt keinerlei Freigaben für DC o. DNS Server auf Netz B und auch keine Form eines Trust's. Ist dies daohne überhaupt möglich?
Eigentlich sollte ja mein DNS in der Lage sein den Hostnamen aufzulösen, da er alle benötigten Informationen hat.
Irgendwas übersehe ich sicher, wenn es ohne Zugriff auf die DNS Server von Netz B, möglich sein sollte.
An der HW-FW Config und an der Config von Netz B kann kein Einfluss genommen werden.
Netz B hätte natürlich auch eine Domäne in der Form: b.de.xxxyyy.com
Hat jemand einen Hinweis ob ich hier selbst die Auflösung bewerkstelligen kann? Vielleicht gebe ich ja im DNS nur etwas nicht ganz korrekt ein?
folgendes Szenario:
2 vorhandene Netze (A - meines, B - Fremdnetz) mit jeweils AD und DNS, etc.
Diese sind durch eine Hardware-Firewall gekoppelt. Es ist nur eine IP (172.17.1.10) für Port 445 (SMB) in der Firewall freigegeben, so das Netz A auf Netz B zugreifen kann.
Nun zur eigentlichen Frage.
Ich kann den Fileserver erreichen, funktioniert soweit alles gut, jedoch nur per IP und nicht per Hostname.
Dies will ich nun verbessern und dachte mir, das probiere ich mit einer Reverse Lookup Zone in meinem DNS.
Ich habe nun eine AD integrierte primäre neue Reverse Lookupzone mit der IP angelegt. Diese steht dort nun als:
1.17.172.in-addr.arpa
In dieser habe ich einen PTR Eintrag mit der vollen IP 172.17.1.10 und dem Hostnamen des Servers vorgenommen.
In der Zone sind auch die NS und SOA Einträge Server aus meinem Netz A und nicht aus Netz B, da ich diese gar nicht kenne und selbst wenn keine HW-FW Freigabe existieren würde.
Wie gesagt, es gibt keinerlei Freigaben für DC o. DNS Server auf Netz B und auch keine Form eines Trust's. Ist dies daohne überhaupt möglich?
Eigentlich sollte ja mein DNS in der Lage sein den Hostnamen aufzulösen, da er alle benötigten Informationen hat.
Irgendwas übersehe ich sicher, wenn es ohne Zugriff auf die DNS Server von Netz B, möglich sein sollte.
An der HW-FW Config und an der Config von Netz B kann kein Einfluss genommen werden.
Netz B hätte natürlich auch eine Domäne in der Form: b.de.xxxyyy.com
Hat jemand einen Hinweis ob ich hier selbst die Auflösung bewerkstelligen kann? Vielleicht gebe ich ja im DNS nur etwas nicht ganz korrekt ein?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169148
Url: https://administrator.de/contentid/169148
Ausgedruckt am: 26.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hey,
so sollte es funktionieren. Was erhälst Du denn für eine meldung?
Gruß
so sollte es funktionieren. Was erhälst Du denn für eine meldung?
Gruß
STOP:
Wen du ihn oer Hostnamen erreichen willst, sprich servername.local eingeben, dann brauchst du eine forward zone!
forward: name -> ip
reverse: ip -> name
Gruß
Wen du ihn oer Hostnamen erreichen willst, sprich servername.local eingeben, dann brauchst du eine forward zone!
forward: name -> ip
reverse: ip -> name
Gruß
Moin
Das ist ganz einfach zu lösen: Du musst die Zonenübertragung zum jeweils anderen Server zulassen und die Zone als sekundäre Zone einrichten.
http://technet.microsoft.com/de-de/library/cc739056(WS.10).aspx
Und schon klappts auch mit der Namensauflösung...
und wenn das aus welchem Grund auch immer nicht gehen sollte, dann musst du die andere Zone als primäre einrichten und die geforderten Hosteinträge von Hand machen
Gruß
Hubert
edit: "Zwei Firewalls gekoppelt" heißt für mich, dass es ein VPN gibt - da glaube ich nicht daran, dass nur ein Port offen ist - oder sollte ich mich da irren ?!
edit2: und mit einem Reverse-Lookup hat das weniger als nichts zu tun...
Das ist ganz einfach zu lösen: Du musst die Zonenübertragung zum jeweils anderen Server zulassen und die Zone als sekundäre Zone einrichten.
http://technet.microsoft.com/de-de/library/cc739056(WS.10).aspx
Und schon klappts auch mit der Namensauflösung...
und wenn das aus welchem Grund auch immer nicht gehen sollte, dann musst du die andere Zone als primäre einrichten und die geforderten Hosteinträge von Hand machen
Gruß
Hubert
edit: "Zwei Firewalls gekoppelt" heißt für mich, dass es ein VPN gibt - da glaube ich nicht daran, dass nur ein Port offen ist - oder sollte ich mich da irren ?!
edit2: und mit einem Reverse-Lookup hat das weniger als nichts zu tun...
Ah danke StingerMAC, Du hast natürlich recht. Da hatte ich einen Knoten im Gehirn, weil ich nur die IP hatte und jetzt zum HN wollte, aber ich will ja den HN eingeben. Gut da wäre ich schon mal auf dem richtigen Wege.
Leider hat diese Anpassung noch nicht zum Erfolg geführt, manchmal braucht die Aktualisierung ja etwas, ich probiere es morgen noch mal.
@ HubertN ja auch Du hast mit edit2 Recht.
Ja das mit der Zonenübertragung und sekundäre Zone kenne ich alles, habe ich auch bereits als Endziellösung vorgeschlagen gehabt. Aber da ich dies nicht groß beeinflussen kann, möchte ich wenn möglich, erst mal eine schnelle Lösung herbeiführen, die vollständig in meiner Hand liegt. Es geht nur um 2 IP's. Ist dies denn ohne Verbindung zum DNS Server der den Namen auflöst (also den in Netz B) prinzipiell überhaupt möglich?
Von zwei Firewalls habe ich nichts geschrieben.
Es gibt in den 2 Netzen um die es geht nur eine, die diese trennt. Die IP's der anderen DNS Server sind definitiv nicht erreichbar, daher fällt zunächst die Zonenübertragungen aus.
Na gut im großen Gesamtkonzept gibt es noch so einige Firewalls mehr und natürlich auch VPN, aber das ist für meine Sache hier unwichtig.
Leider hat diese Anpassung noch nicht zum Erfolg geführt, manchmal braucht die Aktualisierung ja etwas, ich probiere es morgen noch mal.
@ HubertN ja auch Du hast mit edit2 Recht.
Ja das mit der Zonenübertragung und sekundäre Zone kenne ich alles, habe ich auch bereits als Endziellösung vorgeschlagen gehabt. Aber da ich dies nicht groß beeinflussen kann, möchte ich wenn möglich, erst mal eine schnelle Lösung herbeiführen, die vollständig in meiner Hand liegt. Es geht nur um 2 IP's. Ist dies denn ohne Verbindung zum DNS Server der den Namen auflöst (also den in Netz B) prinzipiell überhaupt möglich?
Von zwei Firewalls habe ich nichts geschrieben.
Es gibt in den 2 Netzen um die es geht nur eine, die diese trennt. Die IP's der anderen DNS Server sind definitiv nicht erreichbar, daher fällt zunächst die Zonenübertragungen aus.Na gut im großen Gesamtkonzept gibt es noch so einige Firewalls mehr und natürlich auch VPN, aber das ist für meine Sache hier unwichtig.
Von zwei Firewalls habe ich nichts geschrieben
hast Recht. Zwei Netze habe ich gleich in zwei Standorte übersetzt...
Die IP's der anderen DNS Server sind definitiv nicht erreichbar
du routest doch in das andere Netz ? das muss ich jetzt nicht verstehen.
Es geht nur um 2 IP's. Ist dies denn ohne Verbindung zum DNS Server der den Namen auflöst (also den in Netz B) prinzipiell überhaupt möglich?
Ja klar:
- Editiere deine hosts-Datei
- Esrelle eine primäre Zone auf deinem DNS-Server (aber das schrieb ich ja schon...)
Ein bischen komisch finde ich es schon, dass man auf Daten des anderen Netzwerkes zugreifen können will, aber bei einer DNS Zonenübertragung sicherheitstechnish wohl über die zulässige Grenze hinnaus schießt.
Das war der entscheidende Hinweis. Darauf war ich nicht gekommen. Dies bei allen Clients zu tätigen wäre ja zwar möglich, aber zu aufwendig. Auf den 2 DNS-Server hält sich der Aufwand in Grenzen, eigentlich braucht man es sogar nur bei einem tun, das funktioniert auch, ist natürlich nicht so ausfallsicher. Der Eintrag in der primären Zone alleine reicht also nicht aus, obwohl da ja eigentlich das selbe drin steht wie in der hosts-Datei.
Ich hatte dann noch eine primäre Zone mit der echten Bezeichnung der anderen Domäne angelegt, aber wenn ich die beiden A-Einträge dort vorgenommen habe, hat es nicht funktioniert. Jedoch in meiner prim. Domäne Zone hat es dann bestens funktioniert. Vermutlich konnte er in der anderen Zone nicht zugreifen, weil ihm die richtige Verbindung fehlt.
- Esrelle eine primäre Zone auf deinem DNS-Server (aber das schrieb ich ja schon...)
Der Eintrag in der primären Zone alleine reicht also nicht aus, obwohl da ja eigentlich das selbe drin steht wie in der hosts-Datei.Ich hatte dann noch eine primäre Zone mit der echten Bezeichnung der anderen Domäne angelegt, aber wenn ich die beiden A-Einträge dort vorgenommen habe, hat es nicht funktioniert. Jedoch in meiner prim. Domäne Zone hat es dann bestens funktioniert. Vermutlich konnte er in der anderen Zone nicht zugreifen, weil ihm die richtige Verbindung fehlt.
Ein bischen komisch finde ich es schon, dass man auf Daten des anderen Netzwerkes zugreifen können will, aber bei einer DNS
Zonenübertragung sicherheitstechnish wohl über die zulässige Grenze hinnaus schießt.
Ich sage ja nicht das dies komplett ausgeschlossen ist, jedoch sind die politischen Klärungen solcher Themen in einer Großfirma häufig äußert zäh. Ich denke Du verstehst was ich meine. Daher muss ich erstmal eine Lösung mit den mir derzeit vorhandenen Mitteln erstellen, welche ich Dank Dir und auch Stinger jetzt habe. Also besten Dank.Zonenübertragung sicherheitstechnish wohl über die zulässige Grenze hinnaus schießt.
