12
Windows-Domain und Pi-Hole
Hallo Community,
Ich bitte um euer Schwarm-Wissen, weil ich bei einem Problem nicht sicher bin ob das so stimmt.
Was will ich tun:
Pi-Hole (auf einem Raspberry PI 4) in meiner kleinen Windows-Domäne integrieren
Voraussetzungen:
Ich betreibe eine kleine Windows-Domäne damit ich meine 5 Rechner zentral verwalten kann.
Mein Problem:
Sämtliche Anleitungen die ich bis jetzt finden und nachvollziehen konnte, behandeln nur wie man ein PI-Hole in einem Netzwerk mit FritzBox oder ähnlichem auf die Beine stellt, sprich, Pi-Hole installieren und, in meinem Fall auf einer FritzBox, unter HeimNetz -> Netzwerk -> Netzwerk-Einstellungen -> IPv4-Einstellungen -> Lokaler DNS-Server die IP des Pi-Hole eintragen.
Alles klar! Das habe ich bisher auch so gemacht. Mir ist dabei aber ein grundlegendes Problem gar nicht aufgefallen. Nämlich dass ich keinen weiteren Rechner in die Domain hängen kann 🤦♂️. DNS nicht erreichbar. Eh klar! Der Pi-Hole ist ja nicht der DC, aber als einziger DNS in der Fritzbox eingetragen.
Mein Frage:
Ich möchte auf der Fritzbox wieder den eigentlichen DNS eintragen und Anfragen von DNS an den Pi-Hole weiterleiten.
Was genau muss ich wo machen am DNS meines DC? Kann mir da jemand mit möglichst genauer Erklärung weiterhelfen? Ich mache das einfach viel zu selten um sicher zu sein, dass das passt was ich tue 🙄
das z.B. ist mir etwas zu kryptisch um damit was anfangen zu können:
DNS im Netzwerk (Router, AD-Controller, pi-hole)
https://discourse.pi-hole.net/t/pihole-as-primary-dns-with-active-direct ...
Wenn ich es aber richtig verstanden habe, müsste ich hier mein Pi-Hole eintragen?
Zweite Frage:
Wenn ich das wie oben machen, der DC aber mal nicht läuft oder nicht erreichbar ist, dann wird es wohl auch nix mit dem Pi-Hole sein. Richtig?
Vielen Dank für die Unterstützung!
Mayho
Ich bitte um euer Schwarm-Wissen, weil ich bei einem Problem nicht sicher bin ob das so stimmt.
Was will ich tun:
Pi-Hole (auf einem Raspberry PI 4) in meiner kleinen Windows-Domäne integrieren
Voraussetzungen:
Ich betreibe eine kleine Windows-Domäne damit ich meine 5 Rechner zentral verwalten kann.
- grundlegendste Sicherheitseinstellungen
- Benutzerverwaltung
- Group-Policies für Desktop-Setting, Netzlaufwerke, usw.
- DHCP ausschließlich via FritzBox
Mein Problem:
Sämtliche Anleitungen die ich bis jetzt finden und nachvollziehen konnte, behandeln nur wie man ein PI-Hole in einem Netzwerk mit FritzBox oder ähnlichem auf die Beine stellt, sprich, Pi-Hole installieren und, in meinem Fall auf einer FritzBox, unter HeimNetz -> Netzwerk -> Netzwerk-Einstellungen -> IPv4-Einstellungen -> Lokaler DNS-Server die IP des Pi-Hole eintragen.
Alles klar! Das habe ich bisher auch so gemacht. Mir ist dabei aber ein grundlegendes Problem gar nicht aufgefallen. Nämlich dass ich keinen weiteren Rechner in die Domain hängen kann 🤦♂️. DNS nicht erreichbar. Eh klar! Der Pi-Hole ist ja nicht der DC, aber als einziger DNS in der Fritzbox eingetragen.
Mein Frage:
Ich möchte auf der Fritzbox wieder den eigentlichen DNS eintragen und Anfragen von DNS an den Pi-Hole weiterleiten.
Was genau muss ich wo machen am DNS meines DC? Kann mir da jemand mit möglichst genauer Erklärung weiterhelfen? Ich mache das einfach viel zu selten um sicher zu sein, dass das passt was ich tue 🙄
das z.B. ist mir etwas zu kryptisch um damit was anfangen zu können:
DNS im Netzwerk (Router, AD-Controller, pi-hole)
https://discourse.pi-hole.net/t/pihole-as-primary-dns-with-active-direct ...
Wenn ich es aber richtig verstanden habe, müsste ich hier mein Pi-Hole eintragen?
Zweite Frage:
Wenn ich das wie oben machen, der DC aber mal nicht läuft oder nicht erreichbar ist, dann wird es wohl auch nix mit dem Pi-Hole sein. Richtig?
Vielen Dank für die Unterstützung!
Mayho
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671820
Url: https://administrator.de/forum/windows-domain-und-pi-hole-671820.html
Ausgedruckt am: 13.04.2025 um 06:04 Uhr
12 Kommentare
Neuester Kommentar
Hey,
ja wenn du das in der Reihe machen möchtest dann nimmst du den PiHole als Forwarder für den DNS-Server bzw. AD DC Server. Ich würde mir mehr Sorgen um die fehlende Erreichbarkeit der Domäne machen als um einen Ausfall des PiHole DNS
Aber das ist eine Frage von "Prioritäten" du die erledigt haben magst. Ein echter DHCP Server könnte mehrere DNS in Reihe vergeben.. Aber wirklich Sinn macht es halt nicht. Wenn der DNS offline ist hast du kein Active Directory. Ohne Active Directory ist doof..
Edit:
Gerade gesehen das die Fritte es auch erlaubt mehrere DNS Server anzugeben. Also wäre ggf. der bessere weg primär den AD DC, sekundär den PiHole zu verwenden? Schwierig wird es dann, wenn beide offline sind. Passiert zum Beispiel nach nem Stromausfall gerne mal. Die Fritzbox startet meist von alleine neu...
Gruß
ja wenn du das in der Reihe machen möchtest dann nimmst du den PiHole als Forwarder für den DNS-Server bzw. AD DC Server. Ich würde mir mehr Sorgen um die fehlende Erreichbarkeit der Domäne machen als um einen Ausfall des PiHole DNS
Aber das ist eine Frage von "Prioritäten" du die erledigt haben magst. Ein echter DHCP Server könnte mehrere DNS in Reihe vergeben.. Aber wirklich Sinn macht es halt nicht. Wenn der DNS offline ist hast du kein Active Directory. Ohne Active Directory ist doof..
Edit:
Gerade gesehen das die Fritte es auch erlaubt mehrere DNS Server anzugeben. Also wäre ggf. der bessere weg primär den AD DC, sekundär den PiHole zu verwenden? Schwierig wird es dann, wenn beide offline sind. Passiert zum Beispiel nach nem Stromausfall gerne mal. Die Fritzbox startet meist von alleine neu...
Gruß
Moin,
ja, so, wie Du es sagst, als Forwarder. Und das Problem ist ja wohl eher, dass das AD weg ist, als der Pihole.
Was bringt Dir ein laufender Pihole, wenn die Clients Probleme haben, weil die Domäne nicht verfügbar ist? Dann doch lieber mal ohne Pihole, als ohne Domäne.
Wenn Du dann schon bastelst, dann würde ich auch den DHCP auf den DC verlagern. Was soll der auf der Fritz!Box in einer Windows-Domäne?
Gruß
DivideByZero
ja, so, wie Du es sagst, als Forwarder. Und das Problem ist ja wohl eher, dass das AD weg ist, als der Pihole.
Was bringt Dir ein laufender Pihole, wenn die Clients Probleme haben, weil die Domäne nicht verfügbar ist? Dann doch lieber mal ohne Pihole, als ohne Domäne.
Wenn Du dann schon bastelst, dann würde ich auch den DHCP auf den DC verlagern. Was soll der auf der Fritz!Box in einer Windows-Domäne?
Gruß
DivideByZero
aber als einziger DNS in der Fritzbox eingetragen.
Das ist schon dein grundsätzlicher Fehler!Damit beraubst du dich der DNS Filter Einzelstatistiken weil der PiHole oder Adguard dann die Clients nicht "sehen" kann und somit keinerlei Statistiken erstellen kann die wertvolle Infos über DNS Aktivitäten der Clients liefern.
Leider wird dieser Fehler sehr häufig gemacht beim Setup eines solchen Filters.
Richtig ist das man im DHCP Server Setup der Fritte als DNS die Pi-Hole oder Adguard IP angibt so das jeder Client im Netz die DNS Filterserver IP als DNS Server Adresse bekommt und nicht die Fritte.
Solltest du einen internen DNS Server im AD betrieben, dann konfigurierst in dem PiHole/Adguard lediglich eine Weiterleitung auf den internen DNS oder umgekehrt. Letzteres hast du oben ja schon im Screenshot gezeigt. Also Forwarder kommt dann dort die IP des PiHole rein. In dem Falle hat man dann aber wieder den negativen Effekt das du keinerlei Client DNS Statistiken im Dasboard des Filters mehr sehen kannst.
Nebenbei kann man dich nur ermuntern statt des Pi-Hole den deutlich besseren Adguard Home zu verwenden dessen Installation identisch vonstatten geht er aber mit onboard DoH und DoT bessere DNS Optionen bietet und auch ein umfassendes Dashboard um ungeliebte Schnüffel Apps wie Facebook, .ru Mails, Smart TV und Chinesen Apps mit einem Mausklick filtert.
https://www.heise.de/ratgeber/Adblocker-fuers-Netz-Starthilfe-und-Tipps- ...
https://www.heise.de/ratgeber/Effizient-Werbung-blockieren-Anleitung-fue ...
2
Zitat von @aqui:
Damit beraubst du dich der DNS Filter Einzelstatistiken weil der PiHole oder Adguard dann die Clients nicht "sehen" kann und somit keinerlei Statistiken erstellen kann die wertvolle Infos über DNS Aktivitäten der Clients liefern.
Leider wird dieser Fehler sehr häufig gemacht beim Setup eines solchen Filters.
aber als einziger DNS in der Fritzbox eingetragen.
Das ist schon dein grundsätzlicher Fehler!Damit beraubst du dich der DNS Filter Einzelstatistiken weil der PiHole oder Adguard dann die Clients nicht "sehen" kann und somit keinerlei Statistiken erstellen kann die wertvolle Infos über DNS Aktivitäten der Clients liefern.
Leider wird dieser Fehler sehr häufig gemacht beim Setup eines solchen Filters.
Ich sehe das gar nicht so falsch. Meiner Meinung nach MUSS primär das interne DNS für Active Directory richtig funktionieren. DNS ist die Grundlage für ein korrekt funktionierendes AD. Daher sind bei den Clients auch die DCs als DNS Server eingetragen (sofern natürlich der DNS Dienst auf den DCs läuft). Ein AD integrierter DNS ist einem externen immer vorzuziehen. Da geht es z.B. auch um den DC als NTP Server, der dort ja mit dem Namen eingetragen ist. In den DNS Servern wird dann unter der Weiterleitung primär der Pihole eingetragen und drunter mit weniger prio dann die Fritzbox oder sonst. öffentlicher DNS. Ich verliere damit die von Aqui angesprochene Statistik. Das ist richtig. Aber mein DNS im AD funktioniert korrekt und ich hab ein Backup, falls beim Pihole mal nicht läuft. Denn der Client fragt den aufzulösenden Namen zuerst beim internen DNS ab, weiß der nicht weiter, stellt er die Frage an den Pihole, gibt es den gerade nicht, geht die Anfrage an einen öffentlichen DNS Server.
Wenn du in deinem Fritzbox primär den DC einträgst und sekundär den Pihole, welchen DNS Server wird der Client dann wohl nehmen, wenn beide laufen? Dann kannst du dir den Pihole auch sparen, wenn der gar keine Anfrage bekommt
Meiner Meinung nach MUSS primär das interne DNS für Active Directory richtig funktionieren.
Keine Frage, das ist natürlich richtig. Der interne DNS fürs AD ist aber ganz sicher wohl nicht die Fritzbox und schon gar nicht der Pi-Hole!Folglich ist hier also schon ein grundsätzlicher DNS Fehler, vorausgesetzt die Fritte vergibt als zentraler DHCP Server die Client IP Adressen.
Dann muss der lokale DNS Server logischerweise im DHCP Server der Fritte definiert sein und dieser lokale DNS Server dann eine entsprechende Weiterleitung auf den Pi-Hole haben.
Auch das wäre ungewöhnlich wenn eine Fritte DHCP macht in so einem AD Netz. In der Regel ist das ja auch ein DHCP Dienst der mit dem DNS Dienst auf dem AD Server rennt.
Folglich müsste dann in dem Falle dieser DHCP Server auch diesen lokalen DNS definiert haben der dann wiederum die Weiterleitung an den Pi-Hole macht.
Daraus folgt dann auch das der Pi-Hole / Adguard die einzelnen Clients nicht mehr "sieht" und damit keinerlei auf die Clients heruntergebrochene Filterstatistik mehr zur Verfügung steht. Logisch, denn der Pi-Hole "sieht" ja einzig nur noch die Client DNS Requests vom lokalen DNS kommen.
Die Client Statistiken bekommt man nur dann hin wenn man den DNS Prozess andersrum macht. Der DHCP Server vergibt also den Pi-Hole als DNS IP an die Clients und der Pi-Hole leitet im Uplink dann weiter an den lokalen DNS und der dann wiederum an seinen Uplink DNS Server, Fritte etc.
Je nachdem also ob dir die Client Statistiken etwas wert sind oder nicht.
De facto falsch ist aber den Pi-Hole als singulären DNS in der Fritzbox einzutragen.
Erst einmal weil die Fritte sehr wahrscheinlich gar nicht zentraler DHCP Server in einem AD Umfeld ist und ihr DHCP Server desgalb natürlich deaktiviert sein muss. (Es kann nur einen geben...)
Sollte sie wider Erwarten doch zentraler DHCP Server spielen dürfte niemals der Pi-Hole als primärer DNS drinstehen sondern immer der lokale DNS.
Das Fritten Setup ist also, egal wie man es betrachtet, immer falsch so wie es oben geschildert ist.
1
Da kann ich nur zu 100% zustimmen. Genau so!
1
du musst unter /etc/dnsmasq.d/02-mydomain.conf den Eintrag server=/mydomain/192.168.x.x hinzufügen damit kann Pi Hole den Domainnamen auflösen
Zitat von @CH3COOH:
Eigentlich wird ja überall empfohlen Pi-Hole hier einzutragen. Da gibts aber nur 1x DNS:
Hingegen wären hier schon 2 Felder für DNS. Habe ich bisher aber immer vermieden. Vielleicht sollte ich da den Eintrag machen. Ich fürchte Side Effects:
@DivideByZero:
Wie oben schon geschrieben. Ist ja nur Pseudo um ein paar bleibende Settings zentral zu verwalten. Man ändert ja nicht jeden Tag ein Netzlaufwerk oder Einstellungen im File-Explorer. Darum ist der Server schon öfter off. Braucht einfach zu viel Strom, auch wenn nur ein kleiner Desk-Topper ist.
@aqui:
Es wird halt in fast jeder Anleitung gezeigt, die ich gelesen habe zum Thema Pi-Hole, dass man die IP des Pi im Feld DNS des internen Netzwerks eintragen soll. So wird dann ja automatisch jeder Rechner im Netzwerk auf diesen DNS geleitet. So habe ich das zumindest verstanden.
Ich bin mir jetzt nicht ganz sicher welche der Einzelstatistiken du genau meinst, weil ich sehe sowohl alle meine Rechner gelistet im Pi-Hole als auch Statistiken dazu.
Soll ich meinen DNS und Pi-Hole also besser doch bei Internet => Zugangsdaten => DNS-Server eintragen, wie @CH3COOH das schon angedeutet hat?
deine Antwort auf @beck2oldschool:
Aha! Danke für den Tipp zu Adguard! Schaue ich mit auf jeden Fall an.
@beck2oldschool:
in der Rubrik "Netzwerk" gibt es eben nur 1 Feld für den DNS-Server (siehe oben). In der Rubrik "Internet" gäbe es Primar und Sekundär für den DNS-Server. Wie schon geschrieben, empfehlen aber die meisten Tutorials den DNS-Server unter "Netzwerk" einzutragen oder sie beziehen sich auf andere Umgebungen die mich nicht betreffen.
Also nochmal kurz die Frage in die Runde:
Soll ich meinen primären DNS-Server und den sekundären (Pi-Hole) DNS-Server lieber hier eintragen? Dann scheint es auch egal zu sein, wenn der DC/DNS mal nicht läuft bzw. erreichbar ist und Pi-Hole oder Adguard (Wie @aqui empfiehlt) wachen trotzdem über das Netzwerk.
Danke für eure vielen Kommentare und die Hilfe bisher!
Ich würde mir mehr Sorgen um die fehlende Erreichbarkeit der Domäne machen als um einen Ausfall des PiHole DNS
Wie schon geschrieben. ich verwende den nur für Desktop-Settings und paar andere Kleinigkeiten, die ja bleiben sobald sie gesetzt sind. Man muss ja auch bisserl Strom sparen. Darum rennt der Server nicht immer. 😉Gerade gesehen das die Fritte es auch erlaubt mehrere DNS Server anzugeben. Also wäre ggf. der bessere weg primär den AD DC, sekundär den PiHole zu verwenden? Schwierig wird es dann, wenn beide offline sind. Passiert zum Beispiel nach nem Stromausfall gerne mal. Die Fritzbox startet meist von alleine neu...
Eigentlich wird ja überall empfohlen Pi-Hole hier einzutragen. Da gibts aber nur 1x DNS:
Hingegen wären hier schon 2 Felder für DNS. Habe ich bisher aber immer vermieden. Vielleicht sollte ich da den Eintrag machen. Ich fürchte Side Effects:
@DivideByZero:
Wie oben schon geschrieben. Ist ja nur Pseudo um ein paar bleibende Settings zentral zu verwalten. Man ändert ja nicht jeden Tag ein Netzlaufwerk oder Einstellungen im File-Explorer. Darum ist der Server schon öfter off. Braucht einfach zu viel Strom, auch wenn nur ein kleiner Desk-Topper ist.
@aqui:
Es wird halt in fast jeder Anleitung gezeigt, die ich gelesen habe zum Thema Pi-Hole, dass man die IP des Pi im Feld DNS des internen Netzwerks eintragen soll. So wird dann ja automatisch jeder Rechner im Netzwerk auf diesen DNS geleitet. So habe ich das zumindest verstanden.
Ich bin mir jetzt nicht ganz sicher welche der Einzelstatistiken du genau meinst, weil ich sehe sowohl alle meine Rechner gelistet im Pi-Hole als auch Statistiken dazu.
Soll ich meinen DNS und Pi-Hole also besser doch bei Internet => Zugangsdaten => DNS-Server eintragen, wie @CH3COOH das schon angedeutet hat?
deine Antwort auf @beck2oldschool:
Folglich ist hier also schon ein grundsätzlicher DNS Fehler, vorausgesetzt die Fritte vergibt als zentraler DHCP Server die Client IP Adressen.
Das ist der Fall. Fritzi ist der DHCP-Server. Das einfach aus dem Grund, weil bei mir von Android-Geräten bis Windows-Teile herumschwirrt.Aha! Danke für den Tipp zu Adguard! Schaue ich mit auf jeden Fall an.
@beck2oldschool:
in der Rubrik "Netzwerk" gibt es eben nur 1 Feld für den DNS-Server (siehe oben). In der Rubrik "Internet" gäbe es Primar und Sekundär für den DNS-Server. Wie schon geschrieben, empfehlen aber die meisten Tutorials den DNS-Server unter "Netzwerk" einzutragen oder sie beziehen sich auf andere Umgebungen die mich nicht betreffen.
Also nochmal kurz die Frage in die Runde:
Soll ich meinen primären DNS-Server und den sekundären (Pi-Hole) DNS-Server lieber hier eintragen? Dann scheint es auch egal zu sein, wenn der DC/DNS mal nicht läuft bzw. erreichbar ist und Pi-Hole oder Adguard (Wie @aqui empfiehlt) wachen trotzdem über das Netzwerk.
Danke für eure vielen Kommentare und die Hilfe bisher!
Danke für die vielen Antworten! Wenn ich euch bitten darf oben meine Antwort zu lesen. Da habe ich allen explizit geantwortet.
Danke!
Danke!
Du kannst in den Einstellungen der Fritzbox unter Zugangsart .> DNS-Server natürlich den PiHole als DNS für die Fritzbox definieren. Funktioniert.. Alternativ brauchst du dann halt noch einen öffentlichen DNS-Server.
Gruß
Gruß
Wenn die Thematik gelöst ist bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Hallo zusammen,
Sorry wegen der verspäteten Rückmeldung!
Die Hauptsächlichen Fragen sind geklärt! Ich bedanke mich nochmal für die Unterstützung!
Grüße,
Mayho
Sorry wegen der verspäteten Rückmeldung!
Die Hauptsächlichen Fragen sind geklärt! Ich bedanke mich nochmal für die Unterstützung!
Grüße,
Mayho
