ukulele-7
Goto Top

DNS Weiterleitung und Replikation

Einen schönen Freitag...

Ich habe gestern Abend einige Dinge umgestellt und bin dabei auf eine Merkwürdigkeit gestoßen die mich sehr irritiert hat. Vermutlich bin ich hier irgendwo auch ein DAU, gewisse Einrichtungen mache ich alle 10 Jahre oder so und verwalte das Netz dann an der Stelle nur noch. Aber der Reihe nach.

Grundsätzlich pflege ich in meinem Netz zwei DNS Strukturen mit dem selben Inhalt, völlig unabhängig von einander. Das eine ist eine Sophos UTM unter SG, das andere sind DNS Dienste auf den DCs. Früher gab es lange Zeit nur einen DC mit DNS, das war ads2. Ich habe bereits ads3 und ads4 aufgesetzt und auch auf beiden DNS eingerichtet. Die FSMO-Rolle hält ads4, ads2 ist aber noch nicht demoted, nur dauerhaft ausgeschaltet. Wenn ich einen A-Record auf ads3 erzeuge/anpasse, wird das auf ads4 repliziert und umgekehrt.

Ich habe einen eigenständigen Router für ein entferntes VPN. DNS-Anfragen für die Domain x.y.de (und vermutlich auch y.de) werden im Internet nicht beantwortet sondern von dem VPN Router oder von den DNS Servern in diesem entfernten Netz. Diesen Router habe ich gestern neu konfiguriert, auch die interne IP des Gateway-Routers hat sich geändert etc.

Die Sophos hat unter "DNS \ Request Forwarding" eine DNS Weiterleitung von y.de auf die lokale IP des Gateway-Routers. DNS Anfragen an die Sophos wurden vor wie auch nach der Umstellung korrekt beantwortet.

ads4 hat in den "DNS Server Eigenschaften \ Weiterleitungen" die IP der Sophos gesetzt. ads3 hat das nicht, es gibt auf ads3 nur Stammhinweise (also Public Root DNS), keine Weiterleitungen und keine Bedingte Weiterleitungen. Dennoch haben DNS Anfragen an ads3 für x.y.de vor der Umstellung über Monate funktioniert. Nach der Umstellung nicht mehr (DNS Cache habe ich mehrfach gelöscht). Ich konnte machen, was ich wollte, es lief nicht. Erst, als ich auf ads3 unter Bedingte Weiterleitungen entsprechend einen Eintrag für x.y.de gesezt habe, lief DNS sofort.

Weil mich diese Diskrepanz in der Einrichtung irritiert hat, weil ich definitiv in den letzten Monaten keine Weiterleitungen irgendwo im DNS geändert habe, habe ich mir ads2 (ohne Netzwerkverbindung) angesehen. ads2 hat eine Bedingte Weiterleitung auf x.y.de an den Gateway-Router gesetzt.

Zwischenfazit:
DNS auf ads2 <> DNS auf ads3 <> DNS auf ads4

Meine Fragen:

A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.

[gelöst] B) Warum zur Hölle hat das vorher so lange funktioniert? Die Server hatten Neustarts, die sind schon deutlich über ein Jahr so im Einsatz und ads2 ist schon sehr lange inaktiv. Die Konfiguration auf ads3 allein kann y.de niemals aufgelöst haben, nur ads4 und seine Weiterleitung war in der Lage dazu. Ich versuche, um meines inneren Seelenfriedens Willen zu verstehen, wie das funktioniert.
[Edit] Okay B ist hinfällig. Meine Clients haben alle ads4 als primary DNS, dementsprechend sind alle Anfragen immer an ads4 gegangen und dieser hat korrekt aufgelöst. Ich habe völlig verdrängt das hier keine Anfragen an ads3 zustande kommen, sofern ads4 antwortet.

Content-Key: 51675937952

Url: https://administrator.de/contentid/51675937952

Printed on: May 20, 2024 at 12:05 o'clock

Member: support-m
Solution support-m Apr 12, 2024 at 10:57:25 (UTC)
Goto Top
Zitat von @ukulele-7:
Meine Fragen:

A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.
Hi,
ja das ist korrekt. DNS Weiterleitungen werden nicht repliziert, ergibt aber auch Sinn. Angenommen du hast mehrere ADs über mehrere Standorte verteilt. Nun sollen alle ADs alle Anfragen alle anderen DNS-Server weiterleiten? Das ergäbe keinen Sinn.

Bezüglich bedingter Weiterleitungen: Ist bei der bedingten Weiterleitung hinterlegt, dass diese im AD gespeichert und repliziert werden sollen? Wenn das der Fall ist, sollte das auch funktionieren. DNS braucht manchmal aber vergleichsweise lange, bis Einträge usw repliziert werden.
Allerdigns habe ich schon gemerkt, dass ich mit Stub-Zonen besser klar komme als Bedingte Weiterleitugen.

MfG
Member: ukulele-7
ukulele-7 Apr 12, 2024 at 11:54:06 (UTC)
Goto Top
Oh ja das habe ich noch gar nicht gesehen. Bei der Bedingten Weiterleitung kann ich einen Haken für die Replizierung setzen, ist er aber nicht. Das erklärt das Warum.

Beide DNS Strukturen haben im Wesentlichen die selben Einträge. Die Sophos macht quasi eine Bedingte Weiterleitung von y.de auf den Gateway-Router. Sollte ich in demAD DNS das auch so machen (und replizieren) oder sollte ich die ADs besser über eine Weiterleitung alles unbekannte an die Sophos geben lassen? Mir scheint das dürfte keinen Unterschied machen, außer das alle Anfragen ins öffentliche Netz dann hat an öffentliche DNS Server gestellt werden und, von Sophos wie von AD DNS.
Member: support-m
support-m Apr 12, 2024 at 12:49:50 (UTC)
Goto Top
Meine Domänencontroller sind immer so konfiguriert, dass sie alle AD-DNS-Anfragen beantworten und als DNS Weiterleitung das Gateway nutzen. Alle Drucker oder nicht-AD-Geräte bekommen als DNS direkt das Gateway, wenn sie keine internen Computer auflösen müssen.

Warum du zwei verschiedene DNS-Strukturen mit gleichem Inhalt aufziehst verstehe ich nicht und befürchte, dass ich nicht genau weiß, was du wissen willst. In welcher Reihenfolge leiten deine DNS-Server Anfragen weiter? Domaincontroller an Sophos, Sophos an "Gateway-Router" (was auch immer das für ein Geräte ist) und der Gateway-Router wieder an die DCs? Oder wie oder was?
Member: Dani
Dani Apr 12, 2024 at 19:45:28 (UTC)
Goto Top
Moin,
Beide DNS Strukturen haben im Wesentlichen die selben Einträge. Die Sophos macht quasi eine Bedingte Weiterleitung von y.de auf den Gateway-Router.
was spricht dagegen, dass du die DNS-Einträge/Zonen von einem DC auf die Sophos replizierst? So dass die UTM als DNS Slave agiert. Somit entfällt die doppelte Pflege.


Gruß,
Dani
Member: ukulele-7
Solution ukulele-7 Apr 15, 2024 updated at 06:56:15 (UTC)
Goto Top
Zitat von @support-m:

Meine Domänencontroller sind immer so konfiguriert, dass sie alle AD-DNS-Anfragen beantworten und als DNS Weiterleitung das Gateway nutzen. Alle Drucker oder nicht-AD-Geräte bekommen als DNS direkt das Gateway, wenn sie keine internen Computer auflösen müssen.

Warum du zwei verschiedene DNS-Strukturen mit gleichem Inhalt aufziehst verstehe ich nicht und befürchte, dass ich nicht genau weiß, was du wissen willst.
Ich will zwei redundante DNS Server, möglichst ohne Abhängigkeiten von einander. Windows nutzt i.d.R. AD DNS, diverse andere Netze sehen keine DCs und nutzen die Sophos. Die Redundanz stammt noch aus einer Zeit mit einem DC, sie hilft mir aber auch beim Verständnis von DNS Problemen.
In welcher Reihenfolge leiten deine DNS-Server Anfragen weiter? Domaincontroller an Sophos, Sophos an "Gateway-Router" (was auch immer das für ein Geräte ist) und der Gateway-Router wieder an die DCs? Oder wie oder was?
Die Sophos ist das Gateway und leitet Anfragen an Quad9 weiter. Um die Weiterleitungen von AD DNS geht es ja hier im Thread.

Zitat von @Dani:
was spricht dagegen, dass du die DNS-Einträge/Zonen von einem DC auf die Sophos replizierst? So dass die UTM als DNS Slave agiert. Somit entfällt die doppelte Pflege.
Eigentlich nichts. Der Pflegebedarf ist aber auch nicht sehr groß und ich bin ein Freund von wenig Abhängigkeiten. Ich werde mir das mal überlegen.

Ich habe mich jetzt erstmal für eine Bedingte Weiterleitung im AD DNS entschieden (die werde ich replizieren lassen). Ich merke sonst nicht so gut, wenn interne DNS Einträge im AD DNS fehlen. Ich finde das für das Verständnis sehr gut, im Betrieb habe ich damit nie sorgen.