16
Interne Domain anlegen Windows DNS
Hallo zusammen,
und zwar möchte ich ein Webdienst in unserem Netzwerk implementieren. Dieser soll aber nur im Netzwerk erreichbar sein. Dabei ist dieser aktuell nur über die IP Adresse erreichbar (Web Dienst). Nun möchte ich das ganze so gestalten, dass dieser Dienst eine interne Domain erhält.
Wir haben zunächst einen Windows Domaincontroller (+DNS Server). Einen primären und dann einmal einen sekundären. Beide laufen unter Windows Server 2022. Dort hatte ich bereits eine DNS Zone(Forward Lookup Zone) erstellt, mit einem A Record, der Adresse des Dienstes. Wenn es keine weiteren Hindernisse dies bezüglich gibt, sollte das doch dann schon klappen oder nicht?
Dem Dienst habe ich auch schon die FQDN übermittelt.
Vielleicht stehe ich auch nur auf dem Schlauch.
Für jegendliche Hilfe bin ich sehr Dankbar :D
und zwar möchte ich ein Webdienst in unserem Netzwerk implementieren. Dieser soll aber nur im Netzwerk erreichbar sein. Dabei ist dieser aktuell nur über die IP Adresse erreichbar (Web Dienst). Nun möchte ich das ganze so gestalten, dass dieser Dienst eine interne Domain erhält.
Wir haben zunächst einen Windows Domaincontroller (+DNS Server). Einen primären und dann einmal einen sekundären. Beide laufen unter Windows Server 2022. Dort hatte ich bereits eine DNS Zone(Forward Lookup Zone) erstellt, mit einem A Record, der Adresse des Dienstes. Wenn es keine weiteren Hindernisse dies bezüglich gibt, sollte das doch dann schon klappen oder nicht?
Dem Dienst habe ich auch schon die FQDN übermittelt.
Vielleicht stehe ich auch nur auf dem Schlauch.
Für jegendliche Hilfe bin ich sehr Dankbar :D
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668303
Url: https://administrator.de/contentid/668303
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
16 Kommentare
Neuester Kommentar
Wenn es keine weiteren Hindernisse dies bezüglich gibt, sollte das doch dann schon klappen oder nicht?
So lange deine Clients die internen DNS Server nutzen, und sofern der Webdienst per https gesichert betrieben wird und die Clients dem Zertifikat vertrauen , kein Problem.Vielleicht stehe ich auch nur auf dem Schlauch.
Jepp vermutlich wieder das berühmte Brett vorm Kopp oder noch keinen Kaffee gehabt.😋
1
Zitat von @150704:
Wenn es keine weiteren Hindernisse dies bezüglich gibt, sollte das doch dann schon klappen oder nicht?
So lange deine Clients die internen DNS Server nutzen, und sofern der Webdienst per https gesichert betrieben wird und die Clients dem Zertifikat vertrauen , kein Problem.Ja, die Clients nutzen den DNS. Ein nslookup zeigt mir auch die Adresse. Und ich hab aktuell nur http aktiv -> Später natürlich dann https
Vielleicht stehe ich auch nur auf dem Schlauch.
Jepp wird wohl so sein.
Alles wird gut, wo ist jetzt das Problem?!
2
Naja, dass der Dienst eben nicht per Domäne aufrufbar ist
Fehlermeldung oder der Dienst ist ein Geheimnis oder wie?
An Kerberos gedacht wenn man sich anmelden muss? Bei Kerberos muss der genutzte FQDN für den Dienst als Dienst-Prinzipal (SPN) für die Maschine die den Dienst anbietet angelegt werden bzw. per netdom ein alternativer Computername hinterlegt werden sonst ist keine Auth/Zugriff möglich.
An Kerberos gedacht wenn man sich anmelden muss? Bei Kerberos muss der genutzte FQDN für den Dienst als Dienst-Prinzipal (SPN) für die Maschine die den Dienst anbietet angelegt werden bzw. per netdom ein alternativer Computername hinterlegt werden sonst ist keine Auth/Zugriff möglich.
1
Warum sollte dass denn ein Geheimnis sein 0.o.
Der Dienst ist Zammad (Ticketsystem), was auf einem Apache Webserver läuft.
Beim aufrufen meldet sich die Firewall mit folgender Meldung: Host not found.
Ich bezweifle einfach, dass das ein Authentifizierungsproblem ist.
Der Dienst ist Zammad (Ticketsystem), was auf einem Apache Webserver läuft.
Beim aufrufen meldet sich die Firewall mit folgender Meldung: Host not found.
Ich bezweifle einfach, dass das ein Authentifizierungsproblem ist.
Servus,
Ich rate bei den spärlichen Infos einfach Mal:
Ihr nutzt einen Webproxy auf der Firewall. Die Firewall nutzt einen externen DNS und der kennt euren Host (natürlich) nicht.
Gruß,
Avoton
Ich rate bei den spärlichen Infos einfach Mal:
Ihr nutzt einen Webproxy auf der Firewall. Die Firewall nutzt einen externen DNS und der kennt euren Host (natürlich) nicht.
Gruß,
Avoton
1Zitat von @Avoton:
Servus,
Ich rate bei den spärlichen Infos einfach Mal:
Ihr nutzt einen Webproxy auf der Firewall. Die Firewall nutzt einen externen DNS und der kennt euren Host (natürlich) nicht.
Servus,
Ich rate bei den spärlichen Infos einfach Mal:
Ihr nutzt einen Webproxy auf der Firewall. Die Firewall nutzt einen externen DNS und der kennt euren Host (natürlich) nicht.
Das könnte sein. Da muss ich schauen ob ich in unserer Sophos Firewall was finde
Gruß,
Avoton
Weil du es hier nicht genannt hast, weil eigentlich selbstverständlich ... wegen aus der Nase ziehen usw....
Der Dienst ist Zammad (Ticketsystem), was auf einem Apache Webserver läuft.
OKBeim aufrufen meldet sich die Firewall mit folgender Meldung: Host not found.
Welche Firewall, die des Netzes oder des Zielsystems? (Reverse-)Proxy im Einsatz, dort die Domain statt IP genutzt und auf dem Router anderer DNS?1Zitat von @150704:
Weil du es hier nicht genannt hast, weil eigentlich selbstverständlich ... wegen aus der Nase ziehen usw....
Weil du es hier nicht genannt hast, weil eigentlich selbstverständlich ... wegen aus der Nase ziehen usw....
Der Dienst ist Zammad (Ticketsystem), was auf einem Apache Webserver läuft.
OKBeim aufrufen meldet sich die Firewall mit folgender Meldung: Host not found.
Welche Firewall, die des Netzes oder des Zielsystems? (Reverse-)Proxy im Einsatz, dort die Domain statt IP genutzt und auf dem Router anderer DNS?Wir nutzen aktuell eine Sophos SG 210 Firewall. Proxy ist ebenfalls im Einsatz. Ich glaube die Firewall nutzt tatsächlich einen anderen DNS, somit ist es klar wieso die Adresse nicht aufgelöst werden kann. Nun muss ich schauen wie ich das nun anstelle
Also es ist tatsächlich die Firewall. Nehme ich im Proxy eine Ausnahme hinein mit der Adresse und rufe die Webseite auf geht es natürlich. Ist die Frage was ich da nun mache
Zitat von @prplemk2:
Also es ist tatsächlich die Firewall. Nehme ich im Proxy eine Ausnahme hinein mit der Adresse und rufe die Webseite auf geht es natürlich. Ist die Frage was ich da nun mache
Entweder die IP für den internen Host im Reverse Proxy eintragen oder den internen DNS-Server als default eintragen und auf dem internen DNS-Server den Provider DNS als Forwarder eintragen.Also es ist tatsächlich die Firewall. Nehme ich im Proxy eine Ausnahme hinein mit der Adresse und rufe die Webseite auf geht es natürlich. Ist die Frage was ich da nun mache
1
Oder die Ausnahme für den Proxy drin lassen... Bringt meines Erachtens nach bei einem internen Dienst eh nichts, solange der selbst keine Verbindung nach außen hat...
Gruß,
Avoton
Gruß,
Avoton
Zitat von @150704:
Zitat von @prplemk2:
Also es ist tatsächlich die Firewall. Nehme ich im Proxy eine Ausnahme hinein mit der Adresse und rufe die Webseite auf geht es natürlich. Ist die Frage was ich da nun mache
Entweder die IP für den internen Host im Reverse Proxy eintragenAlso es ist tatsächlich die Firewall. Nehme ich im Proxy eine Ausnahme hinein mit der Adresse und rufe die Webseite auf geht es natürlich. Ist die Frage was ich da nun mache
Naja aber der Reverse Proxy ist auch nur intern. Wir haben ein richtigen normalen Proxy. Und Intern läuft ein Reverse Proxy z.B für das Ticketsystem
oder den internen DNS-Server als default eintragen und auf dem internen DNS-Server den Provider DNS als Forwarder eintragen.
Dann kannst Du auf dem Provider DNS einen A record für die interne Adresse des reverse proxys eintragen, so läuft das ganze zwangsläufig auf den rev-proxy zurück und der verweist dann auf den Webserver.
So kannst Du das ganze auch über die externe Domain abwickeln, sieht meißt auch schöner aus als eine .local Adresse
Grüße
So kannst Du das ganze auch über die externe Domain abwickeln, sieht meißt auch schöner aus als eine .local Adresse
Grüße
1
Habs nun hinbekommen und es läuft über die Adresse :D. Jetzt muss ich nur noch das SSL Zertifikat einbinden und dann geht alles :D
