DNS Weiterleitung und Replikation
Einen schönen Freitag...
Ich habe gestern Abend einige Dinge umgestellt und bin dabei auf eine Merkwürdigkeit gestoßen die mich sehr irritiert hat. Vermutlich bin ich hier irgendwo auch ein DAU, gewisse Einrichtungen mache ich alle 10 Jahre oder so und verwalte das Netz dann an der Stelle nur noch. Aber der Reihe nach.
Grundsätzlich pflege ich in meinem Netz zwei DNS Strukturen mit dem selben Inhalt, völlig unabhängig von einander. Das eine ist eine Sophos UTM unter SG, das andere sind DNS Dienste auf den DCs. Früher gab es lange Zeit nur einen DC mit DNS, das war ads2. Ich habe bereits ads3 und ads4 aufgesetzt und auch auf beiden DNS eingerichtet. Die FSMO-Rolle hält ads4, ads2 ist aber noch nicht demoted, nur dauerhaft ausgeschaltet. Wenn ich einen A-Record auf ads3 erzeuge/anpasse, wird das auf ads4 repliziert und umgekehrt.
Ich habe einen eigenständigen Router für ein entferntes VPN. DNS-Anfragen für die Domain x.y.de (und vermutlich auch y.de) werden im Internet nicht beantwortet sondern von dem VPN Router oder von den DNS Servern in diesem entfernten Netz. Diesen Router habe ich gestern neu konfiguriert, auch die interne IP des Gateway-Routers hat sich geändert etc.
Die Sophos hat unter "DNS \ Request Forwarding" eine DNS Weiterleitung von y.de auf die lokale IP des Gateway-Routers. DNS Anfragen an die Sophos wurden vor wie auch nach der Umstellung korrekt beantwortet.
ads4 hat in den "DNS Server Eigenschaften \ Weiterleitungen" die IP der Sophos gesetzt. ads3 hat das nicht, es gibt auf ads3 nur Stammhinweise (also Public Root DNS), keine Weiterleitungen und keine Bedingte Weiterleitungen. Dennoch haben DNS Anfragen an ads3 für x.y.de vor der Umstellung über Monate funktioniert. Nach der Umstellung nicht mehr (DNS Cache habe ich mehrfach gelöscht). Ich konnte machen, was ich wollte, es lief nicht. Erst, als ich auf ads3 unter Bedingte Weiterleitungen entsprechend einen Eintrag für x.y.de gesezt habe, lief DNS sofort.
Weil mich diese Diskrepanz in der Einrichtung irritiert hat, weil ich definitiv in den letzten Monaten keine Weiterleitungen irgendwo im DNS geändert habe, habe ich mir ads2 (ohne Netzwerkverbindung) angesehen. ads2 hat eine Bedingte Weiterleitung auf x.y.de an den Gateway-Router gesetzt.
Zwischenfazit:
DNS auf ads2 <> DNS auf ads3 <> DNS auf ads4
Meine Fragen:
A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.
[gelöst] B) Warum zur Hölle hat das vorher so lange funktioniert? Die Server hatten Neustarts, die sind schon deutlich über ein Jahr so im Einsatz und ads2 ist schon sehr lange inaktiv. Die Konfiguration auf ads3 allein kann y.de niemals aufgelöst haben, nur ads4 und seine Weiterleitung war in der Lage dazu. Ich versuche, um meines inneren Seelenfriedens Willen zu verstehen, wie das funktioniert.
[Edit] Okay B ist hinfällig. Meine Clients haben alle ads4 als primary DNS, dementsprechend sind alle Anfragen immer an ads4 gegangen und dieser hat korrekt aufgelöst. Ich habe völlig verdrängt das hier keine Anfragen an ads3 zustande kommen, sofern ads4 antwortet.
Ich habe gestern Abend einige Dinge umgestellt und bin dabei auf eine Merkwürdigkeit gestoßen die mich sehr irritiert hat. Vermutlich bin ich hier irgendwo auch ein DAU, gewisse Einrichtungen mache ich alle 10 Jahre oder so und verwalte das Netz dann an der Stelle nur noch. Aber der Reihe nach.
Grundsätzlich pflege ich in meinem Netz zwei DNS Strukturen mit dem selben Inhalt, völlig unabhängig von einander. Das eine ist eine Sophos UTM unter SG, das andere sind DNS Dienste auf den DCs. Früher gab es lange Zeit nur einen DC mit DNS, das war ads2. Ich habe bereits ads3 und ads4 aufgesetzt und auch auf beiden DNS eingerichtet. Die FSMO-Rolle hält ads4, ads2 ist aber noch nicht demoted, nur dauerhaft ausgeschaltet. Wenn ich einen A-Record auf ads3 erzeuge/anpasse, wird das auf ads4 repliziert und umgekehrt.
Ich habe einen eigenständigen Router für ein entferntes VPN. DNS-Anfragen für die Domain x.y.de (und vermutlich auch y.de) werden im Internet nicht beantwortet sondern von dem VPN Router oder von den DNS Servern in diesem entfernten Netz. Diesen Router habe ich gestern neu konfiguriert, auch die interne IP des Gateway-Routers hat sich geändert etc.
Die Sophos hat unter "DNS \ Request Forwarding" eine DNS Weiterleitung von y.de auf die lokale IP des Gateway-Routers. DNS Anfragen an die Sophos wurden vor wie auch nach der Umstellung korrekt beantwortet.
ads4 hat in den "DNS Server Eigenschaften \ Weiterleitungen" die IP der Sophos gesetzt. ads3 hat das nicht, es gibt auf ads3 nur Stammhinweise (also Public Root DNS), keine Weiterleitungen und keine Bedingte Weiterleitungen. Dennoch haben DNS Anfragen an ads3 für x.y.de vor der Umstellung über Monate funktioniert. Nach der Umstellung nicht mehr (DNS Cache habe ich mehrfach gelöscht). Ich konnte machen, was ich wollte, es lief nicht. Erst, als ich auf ads3 unter Bedingte Weiterleitungen entsprechend einen Eintrag für x.y.de gesezt habe, lief DNS sofort.
Weil mich diese Diskrepanz in der Einrichtung irritiert hat, weil ich definitiv in den letzten Monaten keine Weiterleitungen irgendwo im DNS geändert habe, habe ich mir ads2 (ohne Netzwerkverbindung) angesehen. ads2 hat eine Bedingte Weiterleitung auf x.y.de an den Gateway-Router gesetzt.
Zwischenfazit:
DNS auf ads2 <> DNS auf ads3 <> DNS auf ads4
Meine Fragen:
A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.
[gelöst] B) Warum zur Hölle hat das vorher so lange funktioniert? Die Server hatten Neustarts, die sind schon deutlich über ein Jahr so im Einsatz und ads2 ist schon sehr lange inaktiv. Die Konfiguration auf ads3 allein kann y.de niemals aufgelöst haben, nur ads4 und seine Weiterleitung war in der Lage dazu. Ich versuche, um meines inneren Seelenfriedens Willen zu verstehen, wie das funktioniert.
[Edit] Okay B ist hinfällig. Meine Clients haben alle ads4 als primary DNS, dementsprechend sind alle Anfragen immer an ads4 gegangen und dieser hat korrekt aufgelöst. Ich habe völlig verdrängt das hier keine Anfragen an ads3 zustande kommen, sofern ads4 antwortet.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51675937952
Url: https://administrator.de/contentid/51675937952
Ausgedruckt am: 18.12.2024 um 21:12 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @ukulele-7:
Meine Fragen:
A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.
Hi,Meine Fragen:
A) Ist das richtig das sich Lookupzonen und A-Records etc. replizieren aber weder Bedingte Weiterleitungen (auch die neu angelegt hat sich nicht repliziert) noch Weiterleitungen? Ist das so gewollt, das man die getrennt konfiguriert? Hier muss ich noch die Konfiguration sinnvoll vereinheitlichen.
ja das ist korrekt. DNS Weiterleitungen werden nicht repliziert, ergibt aber auch Sinn. Angenommen du hast mehrere ADs über mehrere Standorte verteilt. Nun sollen alle ADs alle Anfragen alle anderen DNS-Server weiterleiten? Das ergäbe keinen Sinn.
Bezüglich bedingter Weiterleitungen: Ist bei der bedingten Weiterleitung hinterlegt, dass diese im AD gespeichert und repliziert werden sollen? Wenn das der Fall ist, sollte das auch funktionieren. DNS braucht manchmal aber vergleichsweise lange, bis Einträge usw repliziert werden.
Allerdigns habe ich schon gemerkt, dass ich mit Stub-Zonen besser klar komme als Bedingte Weiterleitugen.
MfG
Meine Domänencontroller sind immer so konfiguriert, dass sie alle AD-DNS-Anfragen beantworten und als DNS Weiterleitung das Gateway nutzen. Alle Drucker oder nicht-AD-Geräte bekommen als DNS direkt das Gateway, wenn sie keine internen Computer auflösen müssen.
Warum du zwei verschiedene DNS-Strukturen mit gleichem Inhalt aufziehst verstehe ich nicht und befürchte, dass ich nicht genau weiß, was du wissen willst. In welcher Reihenfolge leiten deine DNS-Server Anfragen weiter? Domaincontroller an Sophos, Sophos an "Gateway-Router" (was auch immer das für ein Geräte ist) und der Gateway-Router wieder an die DCs? Oder wie oder was?
Warum du zwei verschiedene DNS-Strukturen mit gleichem Inhalt aufziehst verstehe ich nicht und befürchte, dass ich nicht genau weiß, was du wissen willst. In welcher Reihenfolge leiten deine DNS-Server Anfragen weiter? Domaincontroller an Sophos, Sophos an "Gateway-Router" (was auch immer das für ein Geräte ist) und der Gateway-Router wieder an die DCs? Oder wie oder was?
Moin,
Gruß,
Dani
Beide DNS Strukturen haben im Wesentlichen die selben Einträge. Die Sophos macht quasi eine Bedingte Weiterleitung von y.de auf den Gateway-Router.
was spricht dagegen, dass du die DNS-Einträge/Zonen von einem DC auf die Sophos replizierst? So dass die UTM als DNS Slave agiert. Somit entfällt die doppelte Pflege.Gruß,
Dani