arcmos
Goto Top

Sophos UTM und Server 2012 R2 The Best "DNS Best Practice"???

Hallo

Von Sophos gibt es ein Dokument "DNS Best Practice" in welchem eine "optimale" Konfiguration beschrieben wird. Von Kollegen, anderen Admins und/oder im Web gibt es dazu aber sehr unterschiedliche Meinungen zur Konfiguration der UTM. Deshalb wollte ich mal fragen wie denn euer best practice für eine Sophos UTM in Verbindung mit Windows Server 2012 R2 ist.

DNS Best Practice von Sophos

Streitpunkte in rot

DNS allowed networks
Network Services | DNS | Global > Your internal networks if clients use UTM as DNS server OR Your DNS servers if clients use an internal DNS server for DNS requests

DNS availability group
Network Definition Google DNS Servers > Availability Group > Google DNS 1 & Google DNS 2

DNS forwarders
Select the option 'Use forwarders assigned by ISP'
Remove any internal DNS servers from this list
Add the availability group 'Google DNS Servers' created earlier

Request routing
New DNS request route > Configure rule as follows > Domain: [Your domain] - Target Servers: [Your internal DNS server]

Reverse DNS
New DNS request route > Domain: [PTR record for your network] - Target Servers: [Your internal DNS server]

Network Configuration
Although not required if the above options have been configured, you may want to consider setting your workstations to use your internal DNS server as their DNS server rather than the UTM. You must then in turn make sure the UTM is configured as a forwarder on your internal DNS server.

The result of this would be internal DNS requests would go directly to the DNS server rather than being relayed via the UTM. The tradeoff is external DNS requests would now have to be relayed via your internal DNS server to the UTM.

https://community.sophos.com/kb/de-de/120283

Hier gibt es auch Streitpunkte:

Domain Join
UTM in die Domäne aufnehmen sonst merkwürdiges Verhalten
Aufnahme in Domäne nur bei SSO sinnvoll


Wie macht ihr das?

Content-ID: 312840

Url: https://administrator.de/contentid/312840

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

em-pie
em-pie 17.08.2016 um 11:49:19 Uhr
Goto Top
Moin,

also wir haben das wie folgt:

die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks

Was ich bis vor ca. 1,5 Monaten noch aktiv hatte: Der UTM feste externe DNS-Server mitgegeben.
Wir hatten hier jedoch Probleme, dass sporadisch nach einer Zwangstrennung die UTM Probleme hatte, den Up2Date Server zu kontaktieren. Die Ursache war jedoch, dass ich vor vielen, vielen Monaten mal an der WAN-Strecke etwas versucht hatte (was nicht klappte) und ich im Punkt DNS forwarderseine IP-Adresse nicht wieder entfernt hatte, die zu einem vorgeschalteten Router führte. Beim Troubleshooting fiel das dann dem Sophos-Support auf und die meinten: "Ihr habt doch einen ADSL-Business-Anschluss, verwendet besser die vom ISP mitgegebenen, denn das führt bei einem Reconnect zu weniger Problemen"

Ansonsten ist, zwecks SSO für VPN und WebProtection, die UTM gejoined worden. Auch weil die Admin-/ Userportalzugänge dann via AD-Gruppen "leichter" gepflegt werden können.

Gruß
em-pie
arcmos
arcmos 17.08.2016 um 14:59:02 Uhr
Goto Top
Zitat von @em-pie:

Moin,

also wir haben das wie folgt:

die beiden DCs (Win 2008R2) dienen uns als interne DNS-Server.
Kennen die beiden DCs wiederum einen Namen/ eine IP nicht, so fragen nur die beiden die UTM an. Andere Geräte/ Netzwerke dürfen die UTM nicht abfragen (Ausnahme ist das Gäste-WLAN, welches über die UTM realisiert wird)
=> fahren also einen Mix bei den DNS allowed networks
auf der UTM steht ja: Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.
theoretisch müsste man ja das Feld leer lassen. Vorbehalt protect your internal DNS servers from DNS Poisoning

Hast du bei 2012 R2 > DNS Manager > Servername > Properties > TAB Forwarders die UTM mit IP und FQDN eingetragen bzw. den Haken bei Use root hints if no forwarders are available gesetzt?