2
Sophos UTM und Server 2012 R2 The Best "DNS Best Practice"???
Hallo
Von Sophos gibt es ein Dokument "DNS Best Practice" in welchem eine "optimale" Konfiguration beschrieben wird. Von Kollegen, anderen Admins und/oder im Web gibt es dazu aber sehr unterschiedliche Meinungen zur Konfiguration der UTM. Deshalb wollte ich mal fragen wie denn euer best practice für eine Sophos UTM in Verbindung mit Windows Server 2012 R2 ist.
DNS Best Practice von Sophos
Streitpunkte in rot
DNS allowed networks
Network Services | DNS | Global > Your internal networks if clients use UTM as DNS server OR Your DNS servers if clients use an internal DNS server for DNS requests
DNS availability group
Network Definition Google DNS Servers > Availability Group > Google DNS 1 & Google DNS 2
DNS forwarders
Select the option 'Use forwarders assigned by ISP'
Remove any internal DNS servers from this list
Add the availability group 'Google DNS Servers' created earlier
Request routing
New DNS request route > Configure rule as follows > Domain: [Your domain] - Target Servers: [Your internal DNS server]
Reverse DNS
New DNS request route > Domain: [PTR record for your network] - Target Servers: [Your internal DNS server]
Network Configuration
Although not required if the above options have been configured, you may want to consider setting your workstations to use your internal DNS server as their DNS server rather than the UTM. You must then in turn make sure the UTM is configured as a forwarder on your internal DNS server.
The result of this would be internal DNS requests would go directly to the DNS server rather than being relayed via the UTM. The tradeoff is external DNS requests would now have to be relayed via your internal DNS server to the UTM.
https://community.sophos.com/kb/de-de/120283
Hier gibt es auch Streitpunkte:
Domain Join
UTM in die Domäne aufnehmen sonst merkwürdiges Verhalten
Aufnahme in Domäne nur bei SSO sinnvoll
Wie macht ihr das?
Von Sophos gibt es ein Dokument "DNS Best Practice" in welchem eine "optimale" Konfiguration beschrieben wird. Von Kollegen, anderen Admins und/oder im Web gibt es dazu aber sehr unterschiedliche Meinungen zur Konfiguration der UTM. Deshalb wollte ich mal fragen wie denn euer best practice für eine Sophos UTM in Verbindung mit Windows Server 2012 R2 ist.
DNS Best Practice von Sophos
Streitpunkte in rot
DNS allowed networks
Network Services | DNS | Global > Your internal networks if clients use UTM as DNS server OR Your DNS servers if clients use an internal DNS server for DNS requests
DNS availability group
Network Definition Google DNS Servers > Availability Group > Google DNS 1 & Google DNS 2
DNS forwarders
Select the option 'Use forwarders assigned by ISP'
Remove any internal DNS servers from this list
Add the availability group 'Google DNS Servers' created earlier
Request routing
New DNS request route > Configure rule as follows > Domain: [Your domain] - Target Servers: [Your internal DNS server]
Reverse DNS
New DNS request route > Domain: [PTR record for your network] - Target Servers: [Your internal DNS server]
Network Configuration
Although not required if the above options have been configured, you may want to consider setting your workstations to use your internal DNS server as their DNS server rather than the UTM. You must then in turn make sure the UTM is configured as a forwarder on your internal DNS server.
The result of this would be internal DNS requests would go directly to the DNS server rather than being relayed via the UTM. The tradeoff is external DNS requests would now have to be relayed via your internal DNS server to the UTM.
https://community.sophos.com/kb/de-de/120283
Hier gibt es auch Streitpunkte:
Domain Join
UTM in die Domäne aufnehmen sonst merkwürdiges Verhalten
Aufnahme in Domäne nur bei SSO sinnvoll
Wie macht ihr das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312840
Url: https://administrator.de/contentid/312840
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
also wir haben das wie folgt:
die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks
Was ich bis vor ca. 1,5 Monaten noch aktiv hatte: Der UTM feste externe DNS-Server mitgegeben.
Wir hatten hier jedoch Probleme, dass sporadisch nach einer Zwangstrennung die UTM Probleme hatte, den Up2Date Server zu kontaktieren. Die Ursache war jedoch, dass ich vor vielen, vielen Monaten mal an der WAN-Strecke etwas versucht hatte (was nicht klappte) und ich im Punkt DNS forwarderseine IP-Adresse nicht wieder entfernt hatte, die zu einem vorgeschalteten Router führte. Beim Troubleshooting fiel das dann dem Sophos-Support auf und die meinten: "Ihr habt doch einen ADSL-Business-Anschluss, verwendet besser die vom ISP mitgegebenen, denn das führt bei einem Reconnect zu weniger Problemen"
Ansonsten ist, zwecks SSO für VPN und WebProtection, die UTM gejoined worden. Auch weil die Admin-/ Userportalzugänge dann via AD-Gruppen "leichter" gepflegt werden können.
Gruß
em-pie
also wir haben das wie folgt:
die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks
Was ich bis vor ca. 1,5 Monaten noch aktiv hatte: Der UTM feste externe DNS-Server mitgegeben.
Wir hatten hier jedoch Probleme, dass sporadisch nach einer Zwangstrennung die UTM Probleme hatte, den Up2Date Server zu kontaktieren. Die Ursache war jedoch, dass ich vor vielen, vielen Monaten mal an der WAN-Strecke etwas versucht hatte (was nicht klappte) und ich im Punkt DNS forwarderseine IP-Adresse nicht wieder entfernt hatte, die zu einem vorgeschalteten Router führte. Beim Troubleshooting fiel das dann dem Sophos-Support auf und die meinten: "Ihr habt doch einen ADSL-Business-Anschluss, verwendet besser die vom ISP mitgegebenen, denn das führt bei einem Reconnect zu weniger Problemen"
Ansonsten ist, zwecks SSO für VPN und WebProtection, die UTM gejoined worden. Auch weil die Admin-/ Userportalzugänge dann via AD-Gruppen "leichter" gepflegt werden können.
Gruß
em-pie
Zitat von @em-pie:
Moin,
also wir haben das wie folgt:
die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks
auf der UTM steht ja: Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.Moin,
also wir haben das wie folgt:
die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks
theoretisch müsste man ja das Feld leer lassen. Vorbehalt protect your internal DNS servers from DNS Poisoning
Hast du bei 2012 R2 > DNS Manager > Servername > Properties > TAB Forwarders die UTM mit IP und FQDN eingetragen bzw. den Haken bei Use root hints if no forwarders are available gesetzt?
