Jump to content

Interne DNS Zone mit externem Bereich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

Euer Rat ist gefragt - irgendwie komme ich da nicht weiter bzw. möchte ungern in einer produktiven Umgebung am DNS "einfach einstellen"...

 

Folgende Situation:

 

User sollen Adressen, die einen externen DNS-Suffix haben, von "innen" mit einer internen Adresse auflösen - extern wird diese natürlich bereits mit einer externen Adresse aufgelöst. Also z.B. so:

 

system.company.com

 

=> gegen den internen DNS soll mit einer internen IP aufgelöst werden

=> gegen den externen DNS soll mit einer externen IP aufgelöst werden

 

Intern haben wir aber eine andere Lookup-Zone z.B.

 

company.local

 

Wie löst man so etwas? Hier soll nicht mit internem Suffix gearbeitet werden also nicht mit system.company.local....

 

Habt Ihr da eine Lösung oder so etwas schon einmal gemacht?

 

Dank Euch und bis bald

Euer bLUEaNGEL

Link zu diesem Kommentar

zwei getrennte DNS Server musst du dazu dann machen. Du kannst einen DNS Server in Windows ja auf einen bestimmten IP Bereich binden, von dem er Anfragen entgegennehmen soll und wo er antwortet.

 

Dummerweise kann man auf einem Windows auch nur einen DNS Server laufen lassen...klar, gibt ja auch nur einmal den Port 53.

Entweder also auf dem eigentlichen Server einen virtuellen Server laufen lassen der eine eigene IP auf seinem virtuellen Interface hat und die dann bei allen internen Clients als DNS eintragen (geht über DHCP ja schnell) und den anderen normal für die externen IPs weiterlaufen lassen, oder eben komplett zwei eigene Server, wo man dann auch etwas mehr Spielraum hat, ich weiß ja nicht, wie euer Netzwerk aussieht und in welcher Form von außen und innen Zugriff besteht.

Link zu diesem Kommentar

Gibt es diesen Server intern und extern oder ist es derselbe Server, der bei Euch intern steht und eben auch vom Internet aus erreichbar ist ? Wenn es nur um diesen einen Server geht, dieser intern steht und der z.B. wegen eines offiziellen Webzertifikates mit der richtigen URL angesprochen werden muss, dann erstelle Dir eine Zone system.company.com und füge dieser Zone einen Host zu, der KEINEN Namen hat, nur die interne IP-Adresse. So ist sicher gestellt, dass nur dieser Server mit einer internen IP von innen aus angesprochen wird, alle anderen Hosts der Domäne company.com werden über den externen DNS-Server aufgelöst.

Wenn es um mehrere Adressen geht, kann auch eine Zone company.com erstellt werden, der dann die entsprechenden Hosts mit Namen zugefügt werden. Aber kläre uns erstmal auf, was bei Dir überhaupt Sache ist und was genau Du vor hast.

Link zu diesem Kommentar
dann erstelle Dir eine Zone system.company.com und füge dieser Zone einen Host zu, der KEINEN Namen hat, nur die interne IP-Adresse.

 

ist zwar Korintenzählerrei, aber wenn man einer Zone direkt eine IP zuweist ist es identisch als wenn man einfach der Zone "company.com" einen Host "system" mit der IP zuweist.

 

Die Zonen in der DNS Verwaltung erleichtern doch lediglich die Verwaltung mehrerer Hosts und Subdom in einer Domäne :)

 

 

 

Und das Topic hab ich so verstanden, dass es ein Netzwerk mit einem DNS gibt, der von außen und innen erreichbar ist und für Zugriff aus dem Internet soll die Domäne auf einen externen Server oder so aufgelöst werden und für interne Zugriffe auf den internen Server...

 

na warten wir mal ab, was blauer Engel sagt.

Link zu diesem Kommentar
ist zwar Korintenzählerrei, aber wenn man einer Zone direkt eine IP zuweist ist es identisch als wenn man einfach der Zone "company.com" einen Host "system" mit der IP zuweist.

Falsch ! Erstelle ich eine Zone company.com, ist der interne DNS-Server authoritativ, also für ALLE Hosts dieser Zone. Habe ich nur einen weiteren Server extern, z.B. WWW, müsste ich auch diesen zur Zone zufügen und alle weiteren ebenso. Anderenfalls können diese Namen nicht aufgelöst werden. Erzeuge ich eine Zone system.company.com und weise ihr eine interne IP-Adresse zu, ist der Server nur für diese Zone zuständig, er ist also nur bei Anfrage nach system.company.com zuständig. Für ALLE anderen Hosts der Domäne company.com ist er nicht zuständig, schickt also entweder zur Root oder zum Forwarder ...

Link zu diesem Kommentar

das ist was anderes...du hattest oben ja von einem einzelnen Server geschrieben und wenn man auf einem DNS Server eine weitere Zone zu einer bestehenden hinzufügt, dann ist es ja so wie ein weiterer Host, das meinte ich oben auch.

 

Klar, wenn man nun eine Weiterleitung macht und einen zweiten DNS Server aufsetzt für eine eigene Zone, dann ist es wie von dir beschrieben :)

Link zu diesem Kommentar

Ich rede natürlich nur von einem DNS-Server, der intern steht und eine weitere Zone wie beschrieben bekommt. Die Lösung setzt voraus, dass der Client nur die interne Adresse mit diesem Namen anspricht und nicht auch die externe mit gleichem Namen. Die Internetuser sprechen also einen externen DNS-Server an, der diese Zone hostet und die öffentlichen IPs rausgibt. Die internen Benutzer sprechen den internen DNS-Server an, der entweder die die gleiche Zone wie der externe DNS-Server hat oder eben den FQDN als Zone.

Ich frage mich, wie Du das mit 2 internen DNS-Servern lösen willst ...

edit: so wie hier ist es gemeint

http://www.mcseboard.de/windows-forum-ms-backoffice-31/dyndns-org-rechner-eigener-dns-zone-139391.html

Link zu diesem Kommentar

ich hätte da einfach eine DMZ oder so gemacht und den internen DNS Server mit zwei Netzwerkkarten ausgerüstet für das interne und DMZ Netz....er nimmt aber nur DNS Anfragen von intern entgegen kann aber trotzdem Zonentransfers oder so mit dem externen machen, insofern es Zonen gibt, die bei beiden gleich sind.

 

Wenn der interne nur eine Zone hat und keine Transfers braucht, kann man in natürlich auch gleich rein ins interne Netz stellen.

 

Ich weiß ja halt auch nicht, wie das Netz aussehen soll und welche Zonen nun extern und welche intern benötigt werden.

Link zu diesem Kommentar

Hallo zusammen,

 

wow - mit soviel Resonanz hätte ich nicht gerechnet - Euer Tipp, eine Zone für den Host zu erstellen war goldwert - ist genau das, was wir haben wollten und funktioniert einwandfrei - Tausend Dank dafür.

 

Wir haben also nun dies hier gemacht:

 

auf internem DNS die Zone:

 

host.company.com mit einem leeren Host erstellt, der die interne IP besitzt

 

Nochmals Danke - wirklich klasse.

 

Euch ein schönes Wochenende

bLUEaNGEL

Link zu diesem Kommentar

oh 'tschuldigung - das stelle ich gerne dar:

 

LAN

 

DNS1 => hier ist eine Zone "company.local" und nun eine neue Zone "host.company.com" dort wurde ein leerer Host-Eintrag mit der internen IP für diesen Host in der DMZ

 

---------------

DMZ

 

DNS2 => hier ist eine Zone "company.com" mit hosts....z.B. host = externe IP

 

 

host

 

---------------

anfrage von außen nach "host.company.com" Antwort mit externer IP

anfrage von innen nach "host.company.com" Antwort mit interner IP

 

##########

 

Somit muss der User sich nicht mehr zwei Adressen für einen Dienst merken....

 

 

(hoffe ich hab die Umgebung so dargestellt - oder?)

 

Bis bald

bLUEaNGEL

Link zu diesem Kommentar

der host existiert aber trotzdem nur einmal in der DMZ oder gibt es noch zwei Hosts? Weil wenn er in der DMZ ist, sollte er doch eh nur eine IP haben...ich dachte jetzt, ihr hätte in der DMZ einen Host wo von intern drauf zugegriffen werden soll und zusätzlich auf einem Server mit besserer Anbindung ist der eigentliche Host, der von überall erreichbar sein sollte, das wäre irgendwie sinnvoll.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...