Zum Inhalt wechseln


Foto

Internetadressen werden vom falschen DNS aufgelöst


  • Bitte melde dich an um zu Antworten
13 Antworten in diesem Thema

#1 kalingo

kalingo

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2017 - 07:16

Internetadressen werden vom falschen DNS aufgelöst.
 
Hallo zusammen,
 
erstmal Vorweg, meine DNS Kenntnisse sind nicht so besonders. Vermutlich benötige ich auch deshalb Hilfe :-)
Ich betreibe ein kleines AD ohne jegliche große Konfiguration. Es dient hier nur dafür, dass sich jeder überall anmelden kann.
Vor einem halben Jahr habe ich von Server 2008R2 nach 2012R2 gewechselt. Die Domäne/Server wurde komplett frisch aufgesetzt.
 
Da der DNS des Domaincontrollers als primärdns eingetragen ist (so war meines Wissens best practice), versucht er auch Internetadressen als erstes darüber aufzulösen.
Mich stört nicht das er es Versucht, mich stört, das er es schafft. Ich bin mir ziemlich sicher das mein DNS auf dem DC unter 2008R2 nur lokale Adressen aufgelöst hat.
Das Problem an der Sache ist, das der sekundäre DNS (welcher auch default gateways ist) Internetadressensperren via DNS Forwarding beherbergt die natürlich nun alle nicht mehr greifen, da der Domaincontroller meint auch Internetadressen aufzulösen.
 
Beispiel mit falschem DNS-Server (DC Conntroller DNS Server):
 
> facebook.com
Server:  UnKnown
Address:  10.10.10.254 (IP von DC)
 
Nicht autorisierende Antwort:
Name:    facebook.com
Addresses:  2a03:2880:f127:83:face:b00c:0:25de
          31.13.66.36
 
 
Beispiel mit richtigem DNS Server:
 
> server 10.10.10.3
Standardserver:  [10.10.10.3]
Address:  10.10.10.3
 
> facebook.com
Server:  [10.10.10.3]
Address:  10.10.10.3
 
Name:    facebook.com
Address:  127.1.1.1
 
>
 
 
Die Quick und Dirty-Lösung ist vermutlich einfach das Gateways auf dem DC zu entfernen, dann war es das aber auch mit Internetkontakt (Windows Updates z.B).
Vielleicht kann mir jemand ein paar hilfreiche Tips geben.
 
Vielen Dank
 
Tobias


#2 testperson

testperson

    Board Veteran

  • 4.574 Beiträge

 

Geschrieben 07. August 2017 - 07:44   Lösung

Hi,

 

du solltest am Windows DNS dein Gateway als Forwarder eintragen (Was ebenfalls Best Practice ist) und die DNS-Root-Server löschen bzw. deaktivieren.

Dann solltest du an den Clients nur den DC als DNS nutzen und den sekundären DNS überall entfernen.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 zahni

zahni

    Expert Member

  • 16.447 Beiträge

 

Geschrieben 07. August 2017 - 07:53

Was ist nochmal der  "richtige" DNS-Server?

Denn der arbeitet nicht richtig. Oder filtert absichtlich "facebook.com" mit falschen IP-Adressen?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#4 Dukel

Dukel

    Board Veteran

  • 9.297 Beiträge

 

Geschrieben 07. August 2017 - 08:11

Ist der Sekundäre DNS ein weiterer DC oder der Router (oder sonst irgendwas)?

 

Internetsperren macht man mit einem Proxy und nicht via DNS. Was machst du wenn der Nutzer die IP von facebook sich aufschreibt und diese im Browser eingibt?


Stop making stupid people famous.


#5 kalingo

kalingo

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2017 - 08:19

Hallo Danke für eure Antworten.

@testperson Dafür bräuchte ich irgendwie weitere Hilfestellung? Gibt es irgendwie eine Anleitung um deinen Vorschlag umzusetzen? Hatte von damals was mit "Bedingter Weiterleitung" im Kopf. Aber da hab ich schon gefummelt...der nimmt die 10.10.10.3 nicht mal als DNS an.

 

@zahni @Dukel

 

Domaincontroller mit DNS ist 10.10.10.254

Router mit DNS ist 10.10.10.3

 

Für lokale Namensauflösung soll er logischerweise den DC nehmen. Für Internetadressen nur den Router. Das Facebook auf die falsche IP aufgelöst wird ist so beabsichtig (siehe meine Beschreibung Sperrung via DNS Forwarding) und richtig. Leider nutzt er für die Namensauflösung von Internetseiten meistens den DC DNS, was dann die Sperrung umgeht. 

Ob jetzt ein Proxy die bessere Wahl wäre, lass ich mal dahingestellt. Dafür wären die anderen Einschränkungen die mir dadurch in meiner Privaten Umgebung entstehen zu groß.

Für die Zukunft ist Filtern via DPI geplant, das kann der Router auch. Für den Moment, muss es so reichen wie es ist ...und vorallem hat es 3 Jahre (bis zum Wechsel auf 2012R2 als Server) die Sache gut gemacht.


Bearbeitet von kalingo, 07. August 2017 - 08:25.


#6 zahni

zahni

    Expert Member

  • 16.447 Beiträge

 

Geschrieben 07. August 2017 - 08:24

Dann mach das von "Testperson".

Trage  Deinen Router  als Forwarder im DNS ein.

 

Und wie Dukel schrieb: Richtig macht man dass über  einen Proxy. Dann müssen im LAN überhaupt  keine  Internetadressen aufgelöst werden (können). Nur beim Proxy...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#7 Dukel

Dukel

    Board Veteran

  • 9.297 Beiträge

 

Geschrieben 07. August 2017 - 08:24

Das was du vorhast wird so nicht gehen. Nutze nur den DC und trag in diesem Forwarder ein (den Router). Wenn du unbedingt DNS sperren machen willst, dann setze diese im DNS Server auf dem DC um.


Stop making stupid people famous.


#8 zahni

zahni

    Expert Member

  • 16.447 Beiträge

 

Geschrieben 07. August 2017 - 08:26

Ach ja, wenn man einige Domänen sperren will, im DNS von Windows einfach eine leere Zone "facebook.com" einrichten. Schon wird unter facebook.com nichts mehr gefunden...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#9 kalingo

kalingo

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2017 - 08:26

Ich wunder mich nur, warumd as bei Server 2008R2 nie ein Problem war. Da lief es von Anfang an richtig :-/

 

Kann mir noch jemand verraten wo ich die entsprechende Forwarder-Sache finden kann? Bedingte Weiterleitung ist es scheinbar nicht.

Wenn ich das richtig verstehe und die DNS anfragen für Internetseiten an den Router "forwarded" werden, können die Sperren auch weiterhin im Router bleiben,oder?


Bearbeitet von kalingo, 07. August 2017 - 08:28.


#10 zahni

zahni

    Expert Member

  • 16.447 Beiträge

 

Geschrieben 07. August 2017 - 08:39

Server -> Eigenschaften -> Weiterleitungen: Eintragen, Haken bei Stammhinweise... raus.

 

Zu Deinen DNS-Sperren: Wenn Du meinst.. Es ist aber eleganter Adressen überhaupt nicht aufzulösen als mit einer ungültigen IP-Adresse,


Bearbeitet von zahni, 07. August 2017 - 08:41.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#11 kalingo

kalingo

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2017 - 08:49

@zahni du hast schon recht. ich glaube ich sträube mich auch nur ein wenig weil ich zu viel dann hier umstellen müsste. Der Router ist hier momentan halt leider das Zentrale Element, welches z.B auch für VPN und entsprechender Auflösung zuständig ist. Ich probiere es heute mal mit der Weiterleitung erst mal. Später wenn DPI greift, ,sind diese Filterungen per DNS eh überflüssig.

Mich würde nur noch interessieren was Testperson mit "DNS-Root-Server löschen bzw. deaktivieren." im Zuge des forwardings meinte. Ihr beide habt davon nicht mehr gesprochen. Ist dieses notwendig und wenn ja, was muss ich dafür genau löschen?



#12 testperson

testperson

    Board Veteran

  • 4.574 Beiträge

 

Geschrieben 07. August 2017 - 08:51

https://www.google.d...4pnVfLVsQy_ApM:


Good morning, that's a nice TNETENNBA!

#13 zahni

zahni

    Expert Member

  • 16.447 Beiträge

 

Geschrieben 07. August 2017 - 08:54

Denk Haken raus, schrub ich doch? Lesen sollte man schon, was da in der GUI steht.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#14 kalingo

kalingo

    Newbie

  • 5 Beiträge

 

Geschrieben 07. August 2017 - 11:43

So, konnte es gerade testen. 

 
Standardserver:  UnKnown
Address:  10.10.10.254
 
> facebook.com
Server:  UnKnown
Address:  10.10.10.254
 
Name:    facebook.com
Address:  127.1.1.1
 
 
Perfekt. Die erste Antwort war also schon die richtige und es funktioniert jetzt genau so, wie ich es mir vorgestellt habe.
Ich danke euch, für eure schnelle Hilfe.