10
DNS zwei Standorte unterschiedliche IP-Bereiche in einem AD
Hallo Ihr Profis! 
Habe mich schon durch einige Beiträge zum DNS gewurschtelt, aber unsere Konstellation bringt mich doch immer wieder durcheinander.
Vorab: Bin nicht der Admin des Gesamtnetzes, aber betreue unseren eigenen Standort.
Aufbau:
Ein AD in der Zentrale, dort eine DSL-Verbindung ins Internet, sowie eine DSL-Verbindung VPN zu uns.
Bei uns steht auch je ein Router für Web (140.5.1.99), ein Router für die VPN-Verbindung (140.5.1.90).
Nun aber: Unterschiedliche IP-Bereiche!
Zentrale 140.1.x.x /255.255.0.0
Wir haben 140.5.x.x /255.255.0.0
Unser Internetrouter 140.5.1.99 hat ein Routing aller Anfragen in 140.1.x.x auf den VPN-Router 140.5.1.90. Der Verkehr in Gegenrichtung von der Zentrale ist gleich geroutet.
Bisher stand also bei unseren Clients der Internetrouter 140.5.1.99 als DNS und Gateway drin.
Seit neustem haben wir einen DC (140.5.0.3) Server 2003 bekommen, der in unserem Standort unsere alte, eigenständige NT-Domäne ablöst, und ich fange gerade an die PC's in die neue Domäne zu nehmen.
Der DNS auf dem neuen DC gleicht sich offenbar mit der Zentrale ordentlich ab, es werden die Zonen 1.140... und 5.140.... dargestellt. Weiterleitung aller unbekannten Anfragen steht hier auf 140.5.1.99.
Nun meine Fragen:
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet, welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig
Wie kann ich das realisieren:
Im Client NUR den 140.5.0.3 als Gateway/DNS eingetragen werden muss, d.h.
der DC 140.5.0.3 im DNS Anfragen an
140.1.x.x auf 140.5.1.90 und
nur alles was nicht 140.1. und 140.5. heißt an 140.5.1.99 weiterleitet???
Kann es Probleme mit der Replikation der Server geben (es scheint ja nicht zu stören, dass hier schon eine weiterleitung der unbekannten Anfragen an 140.5.1.99 vorhanden ist... oder routet evtl. der DC in der Zentrale den dortigen Internetverkehr evtl. zu uns???) Wird die Weiterleitung garnicht mit repliziert???
An Änderungen der IP-Bereiche brauche ich derzeit nicht zu denken, da u.a. auch hart-programmierte Fördertechnik (Logistikbereich) in beiden Standorten im Einsatz ist...
Höchstens das aufmachen der Netzmaske auf ein A-Netz würde doch unser seltsames Routing erübrigen, oder nicht? Ist eigentlich die Verwendung eines 140.x.x.x-Netzes nicht etwas eigentümlich???
Wäre nett, wenn ich ein paar Tipps bekommen könnte
Habe mich schon durch einige Beiträge zum DNS gewurschtelt, aber unsere Konstellation bringt mich doch immer wieder durcheinander.
Vorab: Bin nicht der Admin des Gesamtnetzes, aber betreue unseren eigenen Standort.
Aufbau:
Ein AD in der Zentrale, dort eine DSL-Verbindung ins Internet, sowie eine DSL-Verbindung VPN zu uns.
Bei uns steht auch je ein Router für Web (140.5.1.99), ein Router für die VPN-Verbindung (140.5.1.90).
Nun aber: Unterschiedliche IP-Bereiche!
Zentrale 140.1.x.x /255.255.0.0
Wir haben 140.5.x.x /255.255.0.0
Unser Internetrouter 140.5.1.99 hat ein Routing aller Anfragen in 140.1.x.x auf den VPN-Router 140.5.1.90. Der Verkehr in Gegenrichtung von der Zentrale ist gleich geroutet.
Bisher stand also bei unseren Clients der Internetrouter 140.5.1.99 als DNS und Gateway drin.
Seit neustem haben wir einen DC (140.5.0.3) Server 2003 bekommen, der in unserem Standort unsere alte, eigenständige NT-Domäne ablöst, und ich fange gerade an die PC's in die neue Domäne zu nehmen.
Der DNS auf dem neuen DC gleicht sich offenbar mit der Zentrale ordentlich ab, es werden die Zonen 1.140... und 5.140.... dargestellt. Weiterleitung aller unbekannten Anfragen steht hier auf 140.5.1.99.
Nun meine Fragen:
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet, welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig
Wie kann ich das realisieren:
Im Client NUR den 140.5.0.3 als Gateway/DNS eingetragen werden muss, d.h.
der DC 140.5.0.3 im DNS Anfragen an
140.1.x.x auf 140.5.1.90 und
nur alles was nicht 140.1. und 140.5. heißt an 140.5.1.99 weiterleitet???
Kann es Probleme mit der Replikation der Server geben (es scheint ja nicht zu stören, dass hier schon eine weiterleitung der unbekannten Anfragen an 140.5.1.99 vorhanden ist... oder routet evtl. der DC in der Zentrale den dortigen Internetverkehr evtl. zu uns???) Wird die Weiterleitung garnicht mit repliziert???
An Änderungen der IP-Bereiche brauche ich derzeit nicht zu denken, da u.a. auch hart-programmierte Fördertechnik (Logistikbereich) in beiden Standorten im Einsatz ist...
Höchstens das aufmachen der Netzmaske auf ein A-Netz würde doch unser seltsames Routing erübrigen, oder nicht? Ist eigentlich die Verwendung eines 140.x.x.x-Netzes nicht etwas eigentümlich???
Wäre nett, wenn ich ein paar Tipps bekommen könnte
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 90520
Url: https://administrator.de/contentid/90520
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
moin,
Der Datenverkehrstechnische Tipp lautet - Gateway auf dem Router belassen - DNS auf dem Server so einstellen, daß der Router als Forwarder im DNS vom Server ist.
Und den Clients den Server als DNS mitgeben.
Nun meine Fragen:
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet,
welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig
Wäre es Datenverkehrstechnisch nicht schöner, wenn die Clients NUR den hiesigen DC als DNS und Gateway eingetragen haben, und dieser entscheidet,
welche Anfrage wohin geht? Die Hüpferei von Router zu Router "am DC vorbei" gefällt mir nicht so richtig
Der Datenverkehrstechnische Tipp lautet - Gateway auf dem Router belassen - DNS auf dem Server so einstellen, daß der Router als Forwarder im DNS vom Server ist.
Und den Clients den Server als DNS mitgeben.
Hm hast recht - eigentlich logisch.
Gateway 1.99 (Webrouter), DNS nur noch der DC - funktioniert... weiterleitung auf den Router stand ja schon.
Allerdings läuft so immer noch jede Anfrage in das Netz der Zentrale auf den Webrouter, von dort per Route auf den VPN-Router. Ist das nicht "unschön"? Unser DC kennt die IP's doch - kann der die nicht gleich auf den VPN-Router schicken?
Eine Weiterleitung für die vorhandene Zone konnte ich jedoch nicht anlegen.
Würde sich was ändern, wenn ich dem DC die Route bekannt mache?
Gateway 1.99 (Webrouter), DNS nur noch der DC - funktioniert... weiterleitung auf den Router stand ja schon.
Allerdings läuft so immer noch jede Anfrage in das Netz der Zentrale auf den Webrouter, von dort per Route auf den VPN-Router. Ist das nicht "unschön"? Unser DC kennt die IP's doch - kann der die nicht gleich auf den VPN-Router schicken?
Eine Weiterleitung für die vorhandene Zone konnte ich jedoch nicht anlegen.
Würde sich was ändern, wenn ich dem DC die Route bekannt mache?
jupp,
du kannst (mußt) auf allen Rechnern die Route zum 140.1.x.x /255.255.0.0 auf den VPN Router setzen - nicht (nur) auf dem DC - wenn schon.
Der Standardgateway Router hat die Route aber permanent im Speicher - von daher verspreche dir nicht allzuviel davon.
Ein Hop fällt damit weg - mehr nicht - dafür hast du den Wartungsbedarf nun an allen Clients, im Fall eines Falles ;-/
du kannst (mußt) auf allen Rechnern die Route zum 140.1.x.x /255.255.0.0 auf den VPN Router setzen - nicht (nur) auf dem DC - wenn schon.
Der Standardgateway Router hat die Route aber permanent im Speicher - von daher verspreche dir nicht allzuviel davon.
Ein Hop fällt damit weg - mehr nicht - dafür hast du den Wartungsbedarf nun an allen Clients, im Fall eines Falles ;-/
Das ist ein Argument. In dem Fall halt ich wohl die Füße still, und freue mich *g*.
Danke Dir auf alle Fälle
Danke Dir auf alle Fälle
Das ist Unsinn, was oben steht und du verkennst scheinbar die Funktion des ICMP Protokolls in deinem Netz oder kennst sie gar nicht ! 
Richtig ist wenn du über DHCP oder statisch arbeitest als Standardgateway IMMER den normalen Internet Router anzugeben !!!
Dieser hat ja eine Route zum Netz in die Zentrale via VPN Router konfiguriert also sowas wie
ip route 140.1.0.0 maske 255.255.0.0 gateway 140.5.1.90
D.h. alle Packet für die Zielnetze 140.1.0.0 wandern zum VPN Router.
Da der Internet Router und der VPN Router aber im gleichen IP Netz sind schickt der Internet Router bei einem solchen Packet sofort ein ICMP Redirect Paket (ICMP Typ 5) an den Client der ihm sagt das das richtige Gateway für das 140.1.0.0er Netz im selben Segment ist und die 140.5.1.99 ist.
Der Client sendet daraufhin seine Pakete direkt dort hin.
Die Funktion von ICMP redirect kannst du hier nachlesen:
http://en.wikipedia.org/wiki/ICMP_Redirect_Message
oder
http://de.wikipedia.org/wiki/ICMP
Zum tieferen Verständnis für dich sähe eine VPN Kommunikation mit den beiden Routern dann so aus:
Es ist also technisch unsinnig diese Route auf allen PCs und Server zu konfigurieren und es besteht auch keinesfalls ein Muss das zu tun wie fälschlicherweise oben beschrieben !!
Routen sollen die Router aber niemals die Endgeräte !!!
Es reicht vollkommen für dein Netz ein Standardgateway Eintrag auf den Router der euer Default Gateway ist und das sollte der Internet Router mit der 140.5.1.90 sein !!!
Alle Endgeräte wie PCs und Server haben nur einen default Gateway Eintrag sonst gar nichts !!! Also niemals statische Routen auf einem Endgerät !
Noch ein kritisches Wort zu deinen IP Adressen da du ja auch richtig bemerkst das deren verwendung nicht das Gelbe vom Ei ist:
Natürlich ist die Verwendung mehr als bedenklich, denn sowohl die Netze 140.1.0.0 als 140.5.0.0 sind öffentliche IP Adressen die dem US Department of Defense (Verteidigungministerium) gehören und nicht auf ein Unternehmen am Bodensee mit irgendeiner Fördertechnik registriert sind.
Nachkontrollieren kannst du das hier:
http://www.heise.de/netze/tools/whois-abfrage
Ihr benutzt also intern öffentliche IP Adressen die euch nicht gehören ! Keine sehr gute Idee und zeugt von erheblichem Unwissen desjenigen der eure Netze eingerichtet bzw. designt hat.
Wenn du kannst, solltest du (oder dein Admin) das schnellstens ändern in sog. Private IP Netze nach RFC 1918:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Generell ist das machbar auch öffentliche IPs zu verwenden aber es ist bestimmt nicht besonders gut wenn solche Pakete von euch mal ins offene Internet gelangen die offiziell nicht zu euch gehören.... Schon gar nicht im Hinblick auf den rechtmässigen Besitzer dieser IP Adressen !!
Richtig ist wenn du über DHCP oder statisch arbeitest als Standardgateway IMMER den normalen Internet Router anzugeben !!!
Dieser hat ja eine Route zum Netz in die Zentrale via VPN Router konfiguriert also sowas wie
ip route 140.1.0.0 maske 255.255.0.0 gateway 140.5.1.90
D.h. alle Packet für die Zielnetze 140.1.0.0 wandern zum VPN Router.
Da der Internet Router und der VPN Router aber im gleichen IP Netz sind schickt der Internet Router bei einem solchen Packet sofort ein ICMP Redirect Paket (ICMP Typ 5) an den Client der ihm sagt das das richtige Gateway für das 140.1.0.0er Netz im selben Segment ist und die 140.5.1.99 ist.
Der Client sendet daraufhin seine Pakete direkt dort hin.
Die Funktion von ICMP redirect kannst du hier nachlesen:
http://en.wikipedia.org/wiki/ICMP_Redirect_Message
oder
http://de.wikipedia.org/wiki/ICMP
Zum tieferen Verständnis für dich sähe eine VPN Kommunikation mit den beiden Routern dann so aus:
Es ist also technisch unsinnig diese Route auf allen PCs und Server zu konfigurieren und es besteht auch keinesfalls ein Muss das zu tun wie fälschlicherweise oben beschrieben !!
Routen sollen die Router aber niemals die Endgeräte !!!
Es reicht vollkommen für dein Netz ein Standardgateway Eintrag auf den Router der euer Default Gateway ist und das sollte der Internet Router mit der 140.5.1.90 sein !!!
Alle Endgeräte wie PCs und Server haben nur einen default Gateway Eintrag sonst gar nichts !!! Also niemals statische Routen auf einem Endgerät !
Noch ein kritisches Wort zu deinen IP Adressen da du ja auch richtig bemerkst das deren verwendung nicht das Gelbe vom Ei ist:
Natürlich ist die Verwendung mehr als bedenklich, denn sowohl die Netze 140.1.0.0 als 140.5.0.0 sind öffentliche IP Adressen die dem US Department of Defense (Verteidigungministerium) gehören und nicht auf ein Unternehmen am Bodensee mit irgendeiner Fördertechnik registriert sind.
Nachkontrollieren kannst du das hier:
http://www.heise.de/netze/tools/whois-abfrage
Ihr benutzt also intern öffentliche IP Adressen die euch nicht gehören ! Keine sehr gute Idee und zeugt von erheblichem Unwissen desjenigen der eure Netze eingerichtet bzw. designt hat.
Wenn du kannst, solltest du (oder dein Admin) das schnellstens ändern in sog. Private IP Netze nach RFC 1918:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Generell ist das machbar auch öffentliche IPs zu verwenden aber es ist bestimmt nicht besonders gut wenn solche Pakete von euch mal ins offene Internet gelangen die offiziell nicht zu euch gehören.... Schon gar nicht im Hinblick auf den rechtmässigen Besitzer dieser IP Adressen !!
Servus Aqui 
Yupp "so" stimmts - aber ich hab wohl (mal wieder?) zu global geschrieben...
Du hast mein Zitat leider etwas aus dem Zusammenhang gerissen - obwohl das schon "krumm" geschrieben war
Das (mußt) bezog sich auf "nicht (nur) auf dem DC - wenn schon."
Auf die öffentlichen Adressen hab ich auch nicht geschaut - gutes Auge
Dafür bist du dann auch der einzige im Forum, der Pakete mit ck schreiben darf
Gruß
es besteht auch keinesfalls ein Muss das zu tun wie fälschlicherweise oben beschrieben !!
Yupp "so" stimmts - aber ich hab wohl (mal wieder?) zu global geschrieben...
Du hast mein Zitat leider etwas aus dem Zusammenhang gerissen - obwohl das schon "krumm" geschrieben war
du kannst (mußt) auf allen Rechnern die Route zum 140.1.x.x /255.255.0.0 auf den VPN Router setzen - nicht (nur) auf dem DC - wenn schon.
Das (mußt) bezog sich auf "nicht (nur) auf dem DC - wenn schon."
Der Standardgateway Router hat die Route aber permanent im Speicher - von daher verspreche dir nicht allzuviel davon.
Das war "mein" versuch es so zu schreiben, wie du es gemacht hast - nimm mirs nicht krumm - auch ich lerne noch (besser & ausführlicher zu argumentieren)Auf die öffentlichen Adressen hab ich auch nicht geschaut - gutes Auge
Dafür bist du dann auch der einzige im Forum, der Pakete mit ck schreiben darf
Gruß
Oopsa... Recht hast du allerdings darf ich als Ausrede sagen das in der ersten Reform 2004 beide Schreibweisen erlaubt waren nur mit der Reform 2006 es wieder rückgängig gemacht wurde...
http://www.ids-mannheim.de/reform/
OK, von der kranken Rechtschreibreform bei der keiner mehr durchblickt zurück zum Thread...
Hatte schon vermutet das du das so meinst, also sorry falls es etwas zu eindringlich formuliert ist....wollte nur verhindern, das Bodenseehost da technisch jetzt in eine Sackgasse rennt...
Du weisst ja von wem es kommt..
http://www.ids-mannheim.de/reform/
OK, von der kranken Rechtschreibreform bei der keiner mehr durchblickt zurück zum Thread...
Hatte schon vermutet das du das so meinst, also sorry falls es etwas zu eindringlich formuliert ist....wollte nur verhindern, das Bodenseehost da technisch jetzt in eine Sackgasse rennt...
Du weisst ja von wem es kommt..
Wie auch immer fühle ich mich nun ein wenig schlauer...
Dass unser IP-Bereich ein wenig willkürlich ist, hatte mich schon bei meinem Einstieg ins Unternehmen gewundert... leider - wie erwähnt - stecken die Adressen wohl recht "hart" in einem 22.000-Paletten-Hochregal-Roboter *fg*
Viel gelesen, und nu bleibt alles wie's ist... hatte einfach den Eindruck hier währe noch was zu gewinnen.
Danke Euch beiden
Dass unser IP-Bereich ein wenig willkürlich ist, hatte mich schon bei meinem Einstieg ins Unternehmen gewundert... leider - wie erwähnt - stecken die Adressen wohl recht "hart" in einem 22.000-Paletten-Hochregal-Roboter *fg*
Viel gelesen, und nu bleibt alles wie's ist... hatte einfach den Eindruck hier währe noch was zu gewinnen.
Danke Euch beiden
Das ist Unsinn. IP Adressen sind niemals hart irgendwo drin. Man kann sie leicht ändern nur muss wissen wie. Scheinbar hat der Hochregalroboter Hersteller euch das nicht erzählt (weil er wohl mit der schnellen Dienstleistung ein bischen Geld verdienen will )
Was wolltest du denn gewinnen mit so einer schlechten Netzwerkplanung ??? Wunder in der IP Adressierung kann auch ein noch so tolles Forum leider nicht vollbringen !!!
Wenns das war bitte dann
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
)Was wolltest du denn gewinnen mit so einer schlechten Netzwerkplanung ??? Wunder in der IP Adressierung kann auch ein noch so tolles Forum leider nicht vollbringen !!!
Wenns das war bitte dann
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Nein - kein Unsinn. Die IP-Adressen für die Regalroboter, die Materialflusspunkte, als auch die Kontrolleinheiten und Lagersteuerrechner sind HART im Code, und müssten an vielen vielen vielen Stellen geändert werden. Aufgrund unseres eher seltenen und auch in Zukunft eher nicht zu erwartenden Kontaktes zur Amerikanischen Verteidigung wird da sicher auch so bald nichts geändert... habe ich schließlich nicht zu entscheiden ;)
Verwirrt hatte mich letztlich eher, dass die DNS-Auflösung einen "anderen Weg" nimmt, als der tatsächliche Paketverkehr. Letztlich muss ich nun nur noch das vorgeschlagene "Erledigt" setzen *g*
Verwirrt hatte mich letztlich eher, dass die DNS-Auflösung einen "anderen Weg" nimmt, als der tatsächliche Paketverkehr. Letztlich muss ich nun nur noch das vorgeschlagene "Erledigt" setzen *g*
