bgn
Goto Top

Eigenen DNS Server mit Windows 2003 betreiben

Hallo

ich habe vor als eine Testumgebung und für Lernzwecke eine Domain am eigenen DNS Server an meinem DSL Anschluss zu betreiben.
Ich habe an meinem Internetanschluss eine feste IP Adresse. Der DNS Server ist auch soweit konfiguriert und läuft im vorhandenem AD Problemlos.

Das DNS Suffix meiner "lokalen" Domäne ist das selbe wie meiner TLD.

Ich habe im Router Port 53 auf meinen W2k3 Server zeigen. (DMZ, deaktivierte Firewall etc. hab ich auch schon probiert).

Bei meinem Provider habe ich den NS der domain meinname.de auf meinen vom provider zugewiesenen Hostnamen geändert ( der ist immer gleich da feste IP )

Lokale Auflösungen mit nslookup in alle Richtungen gehen Problemlos.

Wenn ich nun von einem anderem Rechner an einem anderen Anschluss nun versuche mit nslookup Informationen zu bekommen z.b.:

nslookup meinname.de <meineip>

bekomme ich folgendes

DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse <meineip> konnte nicht gefunden werden:
Timed out
Server: UnKnown
Address: <meineip>

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
* Zeitüberschreitung bei Anforderung an UnKnown


Ich gehe davon aus das der DNS Server nicht erreichbar ist, nur leider habe ich keine Ahnung wieso.
Ist ein DNS via NAT nicht erreichbar oder müssen noch weitere Ports aufgemacht werden?. DMZ hatte ich ja auch schon probiert aber half auch nix.... das einzige was ich mir noch vorstellen könnte ist das Windows selber die Anfragen aus dem Internet nicht zulässt, aber ich hab keine Ahnung wo ich das zulassen könnte.

Hat jemand evtl. eine idee

mfg

Patrick Hau

Content-ID: 43049

Url: https://administrator.de/contentid/43049

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

hackfresse1703
hackfresse1703 26.10.2006 um 08:00:27 Uhr
Goto Top
Moin,

solche Fragen zu nächtlichen Stunden! Ist denn der Server prinzipiell per Ping aus dem WAN erreichbar? Ist in der Forward Lookup auch eine . Zone ?

Stefan Tolksdorf
bGn
bGn 26.10.2006 um 08:28:42 Uhr
Goto Top
Moin,

solche Fragen zu nächtlichen Stunden!
Ist denn der Server prinzipiell per Ping aus
dem WAN erreichbar?

Wenn ich das am Router zulasse jein dann pingt er den router denk ich mal... wenn ich port 7 auf die interne ip meines servers forwarde ...würde er dann den server pingen?
Telnet <ip> 53 gibt nen schwarzen Bildschirm anstatt zu sagen cannot connect.


Ist in der Forward Lookup
auch eine . Zone ?

erwischt...

nein nur meine meinedomain.de zone

was bewirkt denn eine . zone?


Stefan Tolksdorf

danke erstmal face-smile
hackfresse1703
hackfresse1703 26.10.2006 um 08:39:24 Uhr
Goto Top
> Moin,
>
> solche Fragen zu nächtlichen
Stunden!
> Ist denn der Server prinzipiell per
Ping aus
> dem WAN erreichbar?

Wenn ich das am Router zulasse jein dann
pingt er den router denk ich mal... wenn ich
port 7 auf die interne ip meines servers
forwarde ...würde er dann den server
pingen?

sollte er schon, es sei den der server blockt icmp (evtl. filter in den netzwerkkarteneigenschaften)

Telnet <ip> 53 gibt nen schwarzen
Bildschirm anstatt zu sagen cannot connect.

läuft der telnet dienst ? außerdem benötigt telent noch den port 23/TCP



> Ist in der Forward Lookup
> auch eine . Zone ?

erwischt...

nein nur meine meinedomain.de zone

was bewirkt denn eine . zone?

die Punkt Zone gibt an das es ein root dns ist (also oberste vermittlungsebene so wie .de oder .com etc.)
wenn das so wäre ist auch keine weiterleitung oder angabe der 13 Stamm DNS Server.


Du solltest erstmal sicherstellen das dein server aus dem wan erreichbar ist.

dann interessiert mich dein dns namespace? du hast den namespace für deine ad intergrierte zone identisch dem
namespace bei deinem webseitenanbieter ? und wahrscheinlich deinen namespace für die ad ebenso?

Stefan Tolksdorf
bGn
bGn 26.10.2006 um 13:50:18 Uhr
Goto Top
also ...ich versuche nochmal alles was jetzt momentan so steht mal zu erläutern.

ich möchte allerdings nicht meine ip und den richtigen domainnamen schreiben weil halt nicht nur wir das hier lesen können face-smile

also angenommen meine feste ip ist 85.116.204.122 mein hostname vom provider ist 122.204.116.85.dsl.provider.de

meine aktuelle AD Dömane heisst wirbelwind.de und der DC heisst sylvana.wirbelwind.de

Im DNS habe ich die Forward Lookup Zone wirbelwind.de
und als Reverse Lookup die 192.168.1.x/24 Subnet

Im router (192.168.1.100) habe ich port 53 auf die 192.168.1.1 (DNS) geforwardet.

Ich kann im Router leider nur einstellen das er auf Pings am WAN Port reagieren soll oder nicht. ICMP forward auf den Server hat leider nicht funktioniert (Port 7).

Im Router ist allerdings eine SPI-Firewall aktiv.... ich hatte es zwar schon ohne probiert aber leider ohne Erfolg...

Sehe ich das richtig das wenn ich jetz von einem anderem Rechner mit Internetzugang
nslookup google.de 122.204.116.85.dsl.provider.de
eingebe normalerweise eine antwort von meinem Server kriegen müsste?

Und ja...der namespace der AD Domäne ist der selbe wie der meiner Domain im Internet

Ich habe halt gedacht wenn ich einen eigenen DNS installiere ...der ja nach aussen hin wunderbar Arbeitet und beim provider als prim DNS deklariere es einfach so hinhaut...
aber mitlerweile musste ich feststellen dass das DNS update bei der Denic nicht hingehauen hat ...wahrscheinlich weil der Server nicht erreichbar war...bzw. nicht korrekt konfiguriert ist...

Allerdings habe ich mit dem Zone Tool auf der Denic Homepage ein wenig gespielt und wenn ich ihm mit dem jetzigem hostnamen und der IP gefüttert habe hat er anfangs
die serial, die werte für expire etc. bemängelt und wenn ich die angepasst hatte hat er nur noch bemängelt das mein dns bei der denic nicht eingetragen ist, also scheint der server ja von aussen erreichbar zu sein...nur ich kriege ihn bei der denic nicht rein...kann aber trozdem manuell über nslookup <domain> <use_this_dns> von einem anderern rechner mit extra i-net connection keine namen auflösen.

ich bin ratlos :>
hackfresse1703
hackfresse1703 26.10.2006 um 14:18:54 Uhr
Goto Top
also ...ich versuche nochmal alles was jetzt
momentan so steht mal zu erläutern.

ich möchte allerdings nicht meine ip
und den richtigen domainnamen schreiben weil
halt nicht nur wir das hier lesen können
face-smile

also angenommen meine feste ip ist
85.116.204.122 mein hostname vom provider ist
122.204.116.85.dsl.provider.de

meine aktuelle AD Dömane heisst
wirbelwind.de und der DC heisst
sylvana.wirbelwind.de

Im DNS habe ich die Forward Lookup Zone
wirbelwind.de
und als Reverse Lookup die 192.168.1.x/24
Subnet

Im router (192.168.1.100) habe ich port 53
auf die 192.168.1.1 (DNS) geforwardet.

Ich kann im Router leider nur einstellen das
er auf Pings am WAN Port reagieren soll oder
nicht. ICMP forward auf den Server hat leider
nicht funktioniert (Port 7).

Im Router ist allerdings eine SPI-Firewall
aktiv.... ich hatte es zwar schon ohne
probiert aber leider ohne Erfolg...

Sehe ich das richtig das wenn ich jetz von
einem anderem Rechner mit Internetzugang
nslookup google.de
122.204.116.85.dsl.provider.de
eingebe normalerweise eine antwort von
meinem Server kriegen müsste?

ne, mit nslookup kannst du die forward und reverse des dns server (derjenige der in den tcp eigenschaften angegeben ist) testen bzw. eine auflösung herbeiführen


Und ja...der namespace der AD Domäne
ist der selbe wie der meiner Domain im
Internet

Ich habe halt gedacht wenn ich einen eigenen
DNS installiere ...der ja nach aussen hin
wunderbar Arbeitet und beim provider als prim
DNS deklariere es einfach so hinhaut...
aber mitlerweile musste ich feststellen dass
das DNS update bei der Denic nicht hingehauen
hat ...wahrscheinlich weil der Server nicht
erreichbar war...bzw. nicht korrekt
konfiguriert ist...

Jetzt müssen wir genau werden, dein eigener Server hostet eine eigene Zone wirbelwind.de als Primärzone
jetzt müsstest du die dns zone bei deinem isp als sekundäre zone definieren sie erhält dann eine schreibgeschützte Kopie deiner Zonendatenbank in
der auch alle SRV Records und A-Host Einträge enthält, das willst du nicht wirklich!



Allerdings habe ich mit dem Zone Tool auf
der Denic Homepage ein wenig gespielt und
wenn ich ihm mit dem jetzigem hostnamen und
der IP gefüttert habe hat er anfangs
die serial, die werte für expire etc.
bemängelt und wenn ich die angepasst
hatte hat er nur noch bemängelt das mein
dns bei der denic nicht eingetragen ist, also
scheint der server ja von aussen erreichbar
zu sein...nur ich kriege ihn bei der denic
nicht rein...kann aber trozdem manuell
über nslookup <domain>
<use_this_dns> von einem anderern
rechner mit extra i-net connection keine
namen auflösen.

ich bin ratlos :>


Für mein Verständniss: hast du einen registrierte Domain www.wirbelwind.de bei deinem ISP und zugleich noch einen DynDns Account ?


was soll denn eigentlich am ende erreicht werden?

dein dns soll deine eigenen anfragen intern und zum wan auflösen.

zugleich willst du aber auch anfragen aus dem wan in dein lan auflösen,um ggfs einen webserver zu erreichen?

stimmt das soweit ?
bGn
bGn 26.10.2006 um 14:46:59 Uhr
Goto Top
erreicht werden soll...das mein nameserver der primary dns für meine domain ist
und ich sie quasi von zuhause hoste ... wie oben geschrieben für test und lernzwecke...

was mach ich wenn mal ne firma von mir sowas in der art möchte das die hp und mailserver im lan fürs wan gehostet werden soll
hackfresse1703
hackfresse1703 26.10.2006 um 14:54:53 Uhr
Goto Top
erreicht werden soll...das mein nameserver
der primary dns für meine domain ist
und ich sie quasi von zuhause hoste ... wie
oben geschrieben für test und
lernzwecke...

ich hoffe du meinst die AD domain und nicht die vom ISP (wir sollten eindeutige Begrifflichkeiten wählen)



was mach ich wenn mal ne firma von mir sowas
in der art möchte das die hp und
mailserver im lan fürs wan gehostet
werden soll

also wenn eine firma einen eigenen mailserver/webserver betreiben will dieser aber im LAN steht.

diesen in eine dmz stellen und einen zweiten dns dazu der die zone für den mail/webserver hostet (dann würde man die einträge händisch vornehmen) beim isp eine sekundäre zone dazu und fertsch