4
Windows Server Core - DNS Weiterleitung per Powershell einrichten
Hallo Leute,
ich "versuche" mich gerade an einer Server Core (Testumgebung). Die Profis werden sicher milde lächeln. Folgendes Szenario. Es gibt zwei DC / DNS Server im selben Teilnetz. Der jeweils andere ist als primärer DNS Server eingetragen und die jeweils eigene IP als sekundärer DNS Server. Am Gateway ist zwar ein öffentlicher DNS Server konfiguriert und die Clients der Domäne können Adressen im WAN auflösen. Allerdings ohne dass ich eine Weiterleitung eingerichtet hätte. Sie dürften doch eigentlich nur die IPs der DC / lokalen DNS Server kennen? Ich kenne das von der Server GUI Version bisher so, dass ich in der DNS Verwaltungskonsole eine Weiterleitung für Anfragen außerhalb der eigenen Zone explizit einrichten muss. Und es ist eigentlich auch ausdrücklich so gewünscht dass Anfragen nur an einen von mir definierten (und von mir konfigurierbaren) DNS Server weitergeleitet werden.
Es ergeben sich für mich drei Fragen.
Wie kommen die Clients an die Namensauflösung ohne explizit eingerichtete Weiterleitung?
Wie kann ich das unterbinden?
Wie erstelle ich eine solche von mir definierte Weiterleitung?
Natürlich habe ich schon recherchiert wie ich analog zur Einrichtung per GUI vorgehen sollte / könnte. Was meint Ihr dazu?
Per Powershell..
Abfrage vorhander DNS Weiterleitungen
Weiterleitung einrichten
VG und ein schönes Wochenende..
ich "versuche" mich gerade an einer Server Core (Testumgebung). Die Profis werden sicher milde lächeln. Folgendes Szenario. Es gibt zwei DC / DNS Server im selben Teilnetz. Der jeweils andere ist als primärer DNS Server eingetragen und die jeweils eigene IP als sekundärer DNS Server. Am Gateway ist zwar ein öffentlicher DNS Server konfiguriert und die Clients der Domäne können Adressen im WAN auflösen. Allerdings ohne dass ich eine Weiterleitung eingerichtet hätte. Sie dürften doch eigentlich nur die IPs der DC / lokalen DNS Server kennen? Ich kenne das von der Server GUI Version bisher so, dass ich in der DNS Verwaltungskonsole eine Weiterleitung für Anfragen außerhalb der eigenen Zone explizit einrichten muss. Und es ist eigentlich auch ausdrücklich so gewünscht dass Anfragen nur an einen von mir definierten (und von mir konfigurierbaren) DNS Server weitergeleitet werden.
Es ergeben sich für mich drei Fragen.
Wie kommen die Clients an die Namensauflösung ohne explizit eingerichtete Weiterleitung?
Wie kann ich das unterbinden?
Wie erstelle ich eine solche von mir definierte Weiterleitung?
Natürlich habe ich schon recherchiert wie ich analog zur Einrichtung per GUI vorgehen sollte / könnte. Was meint Ihr dazu?
Per Powershell..
Abfrage vorhander DNS Weiterleitungen
Get-DnsServerForwarderWeiterleitung einrichten
Set-DnsServerForwarder -IPAddress "IP-XY" VG und ein schönes Wochenende..
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2380067792
Url: https://administrator.de/contentid/2380067792
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Hi.
hab's grad nicht im Zugriff, aber soweit ich mich erinnere, sind die TLD-Root-Server doch per Default als Weiterleitung eingerichtet...
Hadt du die RSAT Tools zur GUI-Verwaltung installiert?
.
hab's grad nicht im Zugriff, aber soweit ich mich erinnere, sind die TLD-Root-Server doch per Default als Weiterleitung eingerichtet...
Hadt du die RSAT Tools zur GUI-Verwaltung installiert?
.
1
Hallo,
genau so ist es. Per Default arbeitet der Windows-DNS als Resolver und fängt bei den Root-Servern an, sich rekursiv durchzufragen. Rekursive DNS-Abfragen lassen sich aber abschalten.
https://docs.microsoft.com/en-us/powershell/module/dnsserver/set-dnsserv ...
Ich denke mal:
Grüße
lcer
genau so ist es. Per Default arbeitet der Windows-DNS als Resolver und fängt bei den Root-Servern an, sich rekursiv durchzufragen. Rekursive DNS-Abfragen lassen sich aber abschalten.
https://docs.microsoft.com/en-us/powershell/module/dnsserver/set-dnsserv ...
Ich denke mal:
Set-dnsserverrecursion -Enable $falseGrüße
lcer
1
Moin,
die Kollegen haben fast recht. Das Domain Name System funktioniert so:
Ein DNS-Server hat (in der Regel) eine oder auch mehrere Zonen, für die er zuständig ist. Wird er nach einer Adresse aus dieser Zone gefragt, so antwortet er direkt und gibt die IP zurück. Wird er nun nach einer Adresse gefragt, die nicht in seiner Zone liegt, dann passiert Folgendes ausgehend davon, dass er nichts über die Zone weiß:
Jeder Nameserver enthält eine Liste der dreizehn Rootserver A-M (oder sind es mehr geworden?). Diese dreizehn Root-Server sind nur dafür zuständig, Auskunft über die jeweiligen Nameserver der TLDs zu geben. Der erste Schritt ist also, dass mein Nameserver einen Rootserver fragt: "Ich brauche die IP von www.administrator.de." Antwort des Rootservers: "Frage einen Nameserver, der zuständig ist für .de." In der Antwort stehen dann natürlich auch die IPs der Server.
Dann fragt mein Nameserver einen .de-NS. Die NS der TLDs sind aber immer noch nicht zuständig. Sie geben lediglich Auskunft über die zuständigen NS der Domains, die in der TLD liegen. Also lautet jetzt die Antwort: "Frage einen für administrator.de zuständigen NS." Nun kann mein NS einen zuständigen fragen. Der gibt die Antwort. Mein NS reicht dann die Antwort an den Client weiter.
Die Kollegen haben nur insofern unrecht, als sie das als Weiterleitung bezeichnen. Das ist es gerade nicht. Es ist die vollständige DNS-Abfrage, in die der fragende NS die ganze Zeit involviert ist. Deshalb sollte man auch im eigenen DNS eine Weiterleitung nach außen einrichten, um den Server und auch das Netz zu entlasten. Eine Weiterleitung bewirkt nämlich, dass der NS dem Client sagt, dass er die Frage nicht beantworten kann und deshalb an einen Dritten weiterleitet. Der ganze Mechanismus wird dann nicht mehr vom eigenen Server abgearbeitet, sondern von dem, auf den weitergeleitet wurde.
hth
Erik
die Kollegen haben fast recht. Das Domain Name System funktioniert so:
Ein DNS-Server hat (in der Regel) eine oder auch mehrere Zonen, für die er zuständig ist. Wird er nach einer Adresse aus dieser Zone gefragt, so antwortet er direkt und gibt die IP zurück. Wird er nun nach einer Adresse gefragt, die nicht in seiner Zone liegt, dann passiert Folgendes ausgehend davon, dass er nichts über die Zone weiß:
Jeder Nameserver enthält eine Liste der dreizehn Rootserver A-M (oder sind es mehr geworden?). Diese dreizehn Root-Server sind nur dafür zuständig, Auskunft über die jeweiligen Nameserver der TLDs zu geben. Der erste Schritt ist also, dass mein Nameserver einen Rootserver fragt: "Ich brauche die IP von www.administrator.de." Antwort des Rootservers: "Frage einen Nameserver, der zuständig ist für .de." In der Antwort stehen dann natürlich auch die IPs der Server.
Dann fragt mein Nameserver einen .de-NS. Die NS der TLDs sind aber immer noch nicht zuständig. Sie geben lediglich Auskunft über die zuständigen NS der Domains, die in der TLD liegen. Also lautet jetzt die Antwort: "Frage einen für administrator.de zuständigen NS." Nun kann mein NS einen zuständigen fragen. Der gibt die Antwort. Mein NS reicht dann die Antwort an den Client weiter.
Die Kollegen haben nur insofern unrecht, als sie das als Weiterleitung bezeichnen. Das ist es gerade nicht. Es ist die vollständige DNS-Abfrage, in die der fragende NS die ganze Zeit involviert ist. Deshalb sollte man auch im eigenen DNS eine Weiterleitung nach außen einrichten, um den Server und auch das Netz zu entlasten. Eine Weiterleitung bewirkt nämlich, dass der NS dem Client sagt, dass er die Frage nicht beantworten kann und deshalb an einen Dritten weiterleitet. Der ganze Mechanismus wird dann nicht mehr vom eigenen Server abgearbeitet, sondern von dem, auf den weitergeleitet wurde.
hth
Erik
1
Vielen Dank für Eure Unterstützung. Problem gelöst!
