8
Website wird durch DNS Zone auf DC abgegriffen
Hallo Leute,
ich habe folgedes Problem:
Die Website eines Kunden z.b. www.kunde.de wird bei ansurfen aus dem internen Netzwerk durch die im DNS (befindet sich auf einem DC)
vorhandene Zone kunde.de abgegriffen, wo durch der Kunde aus dem internen Netzwerk kein Zugriff auf seine eigene Website hat.
Im Netzwerk gibt es Insgesamt 2 DNS :
1. DNS auf DC (Windows Server 2012R2)
2. DNS auf Firewall (Gateprotect)
Auf allen Netzwerkgeräten sind zwei DNS eingetragen, als erstes der vom DC und dann der der Firewall.
ich habe folgedes Problem:
Die Website eines Kunden z.b. www.kunde.de wird bei ansurfen aus dem internen Netzwerk durch die im DNS (befindet sich auf einem DC)
vorhandene Zone kunde.de abgegriffen, wo durch der Kunde aus dem internen Netzwerk kein Zugriff auf seine eigene Website hat.
Im Netzwerk gibt es Insgesamt 2 DNS :
1. DNS auf DC (Windows Server 2012R2)
2. DNS auf Firewall (Gateprotect)
Auf allen Netzwerkgeräten sind zwei DNS eingetragen, als erstes der vom DC und dann der der Firewall.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300629
Url: https://administrator.de/contentid/300629
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
Mach in der DNS Zone eine A Record "www" der auf die IP des externen Webservers zeigt
LG
Mach in der DNS Zone eine A Record "www" der auf die IP des externen Webservers zeigt
LG
Hallo,
Da wo er auch hingehört
Wie nennt sich deine Interne Domäne - nur kunde.de oder firma.kunde.de?
Lokale und Externe Domain haben den gleichen Namen
http://www.mcseboard.de/topic/174989-externe-website-ads-dom%C3%A4ne/
http://www.it-administrator.de/fachartikel/23925.html
http://www.msxfaq.de/konzepte/dns.htm
http://serverfault.com/questions/219555/internal-and-external-dns-from- ...
https://community.spiceworks.com/topic/423650-dns-entry-for-external-sit ...
Gruß,
Peter
Da wo er auch hingehört
vorhandene Zone kunde.de abgegriffen, wo durch der Kunde aus dem internen Netzwerk kein Zugriff auf seine eigene Website hat.
Split Brain DNS. ruft der kunden ww.kunde.de oder kunde.de auf? Mach einen Eintrag für dein WWW welche nach draussen zeigt...Wie nennt sich deine Interne Domäne - nur kunde.de oder firma.kunde.de?
Lokale und Externe Domain haben den gleichen Namen
http://www.mcseboard.de/topic/174989-externe-website-ads-dom%C3%A4ne/
http://www.it-administrator.de/fachartikel/23925.html
http://www.msxfaq.de/konzepte/dns.htm
http://serverfault.com/questions/219555/internal-and-external-dns-from- ...
https://community.spiceworks.com/topic/423650-dns-entry-for-external-sit ...
Auf allen Netzwerkgeräten sind zwei DNS eingetragen, als erstes der vom DC und dann der der Firewall.
Warum? Der zweite wird nur genommen wenn der etste nicht erreichbar ist, egal was als Antwort von 1 kommt....Gruß,
Peter
Hi
Das mit den 2 DNS Servern kann so auch nach hinten losgehen, da Windows im 15 Minuten takt die DNS Server rotiert. D.h es kann sein dass dann interne Server nicht mehr auflösbar sind, wenn sie sich nicht im DNS Cache befinden
LG
Das mit den 2 DNS Servern kann so auch nach hinten losgehen, da Windows im 15 Minuten takt die DNS Server rotiert. D.h es kann sein dass dann interne Server nicht mehr auflösbar sind, wenn sie sich nicht im DNS Cache befinden
LG
Hi,
E.
Zitat von @catachan:
Das mit den 2 DNS Servern kann so auch nach hinten losgehen, da Windows im 15 Minuten takt die DNS Server rotiert.
Windows "rotiert die DNS-Server"? Kannst Du das bitte mal erläutern?Das mit den 2 DNS Servern kann so auch nach hinten losgehen, da Windows im 15 Minuten takt die DNS Server rotiert.
E.
Hi,
Wenn ein DNS-Server die Zone "kunde.de" hostet, dann ist er dafür authorisierend. Wenn dann ein Client einen FQDN aus dieser Zone anfragt und der DNS Server für diesen keinen Record hat (oder auch keine Weiterleitung oder Delegierung, falls es ein FQDN aus einer Sub-Domain ist), dann liefert er dem Client eine sogenannte "negative Antwort", was gleichbedeutend ist mit "gibt es nicht". Wenn ein DNS Client zu einem FQDN von einem für diese Zone authorisierten DNS Server eine negative Anwort erhält, dann ist das für ihn verbindlich. D.h. er fragt dann auch keinen anderen DNS-Server mehr danach. Eine negative Antwort hat dann für diesen Client die gleiche Gültigkeit, wie alle anderen erfolgreich aus dieser Zone aufgelösten FQDN. Das heißt er wird erst nach Ablauf dieser Gültigkeit einen erneuten Versuch starten, diesen FQDN aufzulösen. Wenn der DNS-Server diesen bis dahin immer noch nicht kennt, dann beginnt das Spiel von vorn.
Lösungen können sein:
- einen A-Record für "www" in dieser Zone erstellen (wie bereits vorgeschlagen)
- einen Eintrag in der lokalen HOST Datei der Clients vornehmen (umständlich, nur sehr kleienr Clientanzahl praktikabel)
Split-Brain DNS ist nur dann sinnvoll bzw. notwendig, wenn der WWW-Server im internen Netz steht und von extern unter einer anderen IP-Adresse angesprochen werden muss als von intern.
Am Client den DNS der Firewall als 2. DNS Server zu konfigurieren macht m.E. nur dann Sinn, wenn dieser DNS eine Sekundär-Zone von "firma.de" von DC/DNS repliziert.
E.
Die Website eines Kunden z.b. www.kunde.de wird bei ansurfen aus dem internen Netzwerk durch die im DNS (befindet sich auf einem DC)
vorhandene Zone kunde.de abgegriffen, wo durch der Kunde aus dem internen Netzwerk kein Zugriff auf seine eigene Website hat.
Da wird nichts "abgegriffen". Das ist ein logisches Standardverhalten.vorhandene Zone kunde.de abgegriffen, wo durch der Kunde aus dem internen Netzwerk kein Zugriff auf seine eigene Website hat.
Wenn ein DNS-Server die Zone "kunde.de" hostet, dann ist er dafür authorisierend. Wenn dann ein Client einen FQDN aus dieser Zone anfragt und der DNS Server für diesen keinen Record hat (oder auch keine Weiterleitung oder Delegierung, falls es ein FQDN aus einer Sub-Domain ist), dann liefert er dem Client eine sogenannte "negative Antwort", was gleichbedeutend ist mit "gibt es nicht". Wenn ein DNS Client zu einem FQDN von einem für diese Zone authorisierten DNS Server eine negative Anwort erhält, dann ist das für ihn verbindlich. D.h. er fragt dann auch keinen anderen DNS-Server mehr danach. Eine negative Antwort hat dann für diesen Client die gleiche Gültigkeit, wie alle anderen erfolgreich aus dieser Zone aufgelösten FQDN. Das heißt er wird erst nach Ablauf dieser Gültigkeit einen erneuten Versuch starten, diesen FQDN aufzulösen. Wenn der DNS-Server diesen bis dahin immer noch nicht kennt, dann beginnt das Spiel von vorn.
Lösungen können sein:
- einen A-Record für "www" in dieser Zone erstellen (wie bereits vorgeschlagen)
- einen Eintrag in der lokalen HOST Datei der Clients vornehmen (umständlich, nur sehr kleienr Clientanzahl praktikabel)
Split-Brain DNS ist nur dann sinnvoll bzw. notwendig, wenn der WWW-Server im internen Netz steht und von extern unter einer anderen IP-Adresse angesprochen werden muss als von intern.
Am Client den DNS der Firewall als 2. DNS Server zu konfigurieren macht m.E. nur dann Sinn, wenn dieser DNS eine Sekundär-Zone von "firma.de" von DC/DNS repliziert.
E.
Hi
https://onemoretech.wordpress.com/2014/06/08/forcing-windows-to-obey-dns ...
Hatte das mal bei einem Kunden
https://onemoretech.wordpress.com/2014/06/08/forcing-windows-to-obey-dns ...
Hatte das mal bei einem Kunden
@catachan
Ach so, das meinst Du. Das hast Du dann aber falsch verstanden oder hier falsch wiedergegeben.
Ach so, das meinst Du. Das hast Du dann aber falsch verstanden oder hier falsch wiedergegeben.
da Windows im 15 Minuten takt die DNS Server rotiert.
Das stimmt so nicht. Windows überprüft alle 15 min die DNS-Server, mit denen der Client konfiguriert ist. Solange der 1. erreichbar bleibt, ändert sich dann auch nichts. Nur, wenn dieser mal nicht erreichbar ist, dann prüft der DNS Client von Windows die konfigurierten DNS Server der aktuellen Prioritätenliste entsprechend, welcher denn der nächste verfügbare Server ist, und setzt diesen an die Spitze der Liste. Und dabei gibt es standardmäßig für 15 min kein Fallback-Verhalten. Wenn der zuletzt an Prio 1 gesetzte DNS Server verfügbar bleibt, dann benutzt der DNS Client diesen für 15 min weiter als 1. DNS Server, auch wenn der per manueller TCP/IP-Konfiguration oder per DHCP eingestellte 1. DNS-Server wieder verfügbar wird. Erst nach 15 min wird die Prioritätenliste der DNS-Server wieder zurückgesetzt. Das kann natürlich zu einem Problem werden, wenn der an 2. Stelle eingetragene DNS-Server kein adäquater Ersatz für den ersten ist. Dann hat man u.U. einen 15-Minuten-Ausfall statt nur eines kurzzeitigen, den ein DNS-Server nicht verfügbar wäre.
Die lösung war das eintragen der Festen IP der Website in den DNS-Server des Kunden. WWW -Eintrag
