BZit 10 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Hallo zusammen, seit der Freigabe einiger neuer Top-Level-Domains gibt es bei uns massive Probleme bei der Namensauflösung unserer Clients mit unserer internen Domäne. Diese wird über das WWW "fälschlicherweise" aufgelöst, da sie mittlerweile reserviert ist und somit auch dort terminiert. Ein Client der sich im internen LAN oder WLAN befindet, löst über den internen DNS natürlich richtig auf. Verbinden sich diese Clients jetzt aber z.b. über ein Client-VPN-Tool (OpenVpn, Cisco,...), rutscht der sich aktivierende Adapter im Binding immer automatisch an die erste Stelle und bringt natürlich den DNS-Server der Zielinfrastruktur mit, welcher unsere Domain wieder falsch über das Internet auflöst. Somit fallen alle Verbindungen zu internen Ressourcen, so wie bei einer Endpunkt-Erzwingung, weg. Auch von extern besteht das Problem, zumindest temporär, und zwar genau anders herum. Verbindet sich ein Client per VPN-Tool zur Organisation, werden DNS-Anfragen weiterhin "falsch" über das Internet aufgelöst und es können keine internen Ressourcen erreicht werden. Welche Möglichkeiten gibt es, die interne Domain "*.domain.local" immer über die internen DNS-Server auflösen zu lassen? Natürlich könnte man einige zentrale Ressourcen fest in die "hosts" schreiben. Ich sucher aber eher nach einem Powershell- oder Batchscript, welches das Adapterbinding gerade zieht und gleich die DNS-Verwendung korrigiert. Die Clients sind zum Großteil auf Windows 7, aber werden demnächst auf Windows 10 umgestellt. Danke und Gruß Franz Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Hi, das einfachste wäre wohl am VPN Router ein DNS Forwarder für eure Domain einzurichten oder dem VPN Device bei Einwahl eure AD DNS Server zu verteilen. Des Weiteren wäre es sicher sinnvoll, eure "interne" Domain bei einem Provider zu registrieren. Gruß Jan Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 intene zonen wird einem kein provider anlegen, ich denke zB eine at-work.local würde es sonst ein wenig öfter geben...das wird dann eher schwierig. Selbst wenn es dann eine einzigartige interne domain gäbe....sollen dann proivate IPs ins offizielle DNS ? Interne Strukturen die man öffentlich bekanntmacht ? nene, das hat dort alles nix zu suchen, hier muss man sich ein sinnvollens Konzept überlegen: split DNS interne DNS an Clients im corporate network und per VPN von aussen gibts nur den Teil zu sehen den man von aussen eben braucht, ob Kunde, Mitarbeiter oder Consulter spielt keien Rolle. Im Idealfall sidn das dann also nur Portale die eben von aussen zugänglich sein müssen: owa, extranet, vpn Zugangspunkt, Website/shop...sowas eben. in lokalen Dateien für die Namensauflösung trägt man nur zu testzwecken etwas ein, sagen wir wenn ein host Eintrag noch nicht im DNS ist oder man einen Dienst zusätzlich noch auf einer test IP am laufen hat. Das sollte niemals ein Anlaufpunkt für normalen operativen Betrieb sein. Das gibt immer nur Ärger weil dann darauf vergessen wird, wie bekomt man Änderungen automatisch auf Clients gepusht die man nicht unter Kontrolle hat, was ist mit mobiles,tablets,irgendwelches embedded Zeugs, usw usf Zitieren Link zu diesem Kommentar
BZit 10 Geschrieben 28. Juni 2016 Autor Melden Teilen Geschrieben 28. Juni 2016 Die intern verwendete Domain war bei der Einführung damals eben noch keine öffentliche. Doch das ist ja jetzt anders. Ich kann natürlich eine neue interne Domäne aufsetzen, doch was da für ein Rattenschwanz dranhängt, wissen hier sicherlich alle. Diese Domäne haben wir leider nicht selbst bekommen, sonst hätten wir hier natürlich andere Möglichkeiten. Ich kann somit nicht beeinflussen, dass Anfragen an "*.unsereinterne.domain" öffentlich (falsch) terminieren. Daher die Frage nach einem Skript oder einer anderen Möglichkeit für unsere Clients, dass diese immer den internen DNS-Server für "*.unsereinterne.domain" nutzen. Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Du könntest deine Domäne umbenennen: https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Hab ich schon einmal durchgeführt Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Ja geht aber nur, wenn er kein Exchange hat. Und auch dann will sowas vernünftig geplant sein. ;) Zitieren Link zu diesem Kommentar
BZit 10 Geschrieben 28. Juni 2016 Autor Melden Teilen Geschrieben 28. Juni 2016 Also domain name change ist kein Thema. Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Ja geht aber nur, wenn er kein Exchange hat. Und auch dann will sowas vernünftig geplant sein. ;) Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert :) Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert Mit Exchange 2003 war das auch noch supported ;) Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 28. Juni 2016 Melden Teilen Geschrieben 28. Juni 2016 Exchange 2003 ist aber nicht mehr supported. :p Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.