DNS: AD integrierte Zone und zusätzlichen DNS-SRV in der DMZ?

[mc02000 10]

Hallo zusammen,

 

folgendes:

Netzaufbau:

- 10 DC´s mit DNS und AD integrierten Zonen

- 1x Radiusserver mit installiertem DNS Serverdienst in der DMZ

 

Zenario:

Unsere Remoteuser wählen sich per VPN bei uns ein. Die IP bekommen sie per fest definiertem IP Pool vom Radiusserver (kein direkter MS-DHCP-Serverdienst sondern intern über die Radiussoftware).

So weit so gut. Damit ich nun über eine RDP-Verbindung auf das Remotesystem des verbundenen Users zugreifen kann, benötige ich die IP des Clients. Da ich jedoch über den Hostnamen arbeiten möchte benötige ich einen aktuellen DNS-Eintrag im System.

Da ich jedoch den Radiusserver nicht zum DC machen möchte (steht in der DMZ) habe ich ein Problem.

Bislang wird die Zone "meine Firma" nur auf DC´s repliziert und ist auch AD integriert.

Damit diese DNS-Einträge überhaupt aktualisiert werden können, muss ich die Clientsystem (Hosts) in die AD-Gruppe "DNSUpdateProxy" nehmen, da in unserem normalen Netz der DHCP Server unsere Clients im DNS registriert.

(Da der DHCP Server der Besitzer ist, muss ich diesen Umweg über die "DNSUpdateProxy" Gruppe machen.)

 

 

Frage:

Kann ich auf dem Radius eine primäre Zone für "meine Firma" einrichten die nicht AD integriert ist, aber trotzdem die DNS-Einträge im kompletten Netz aktualisiert?

Client meldet sich über den Radius an --> Registriert sich im DNS des Radiusservers --> repliziert diesen sofort ins normale Netz auf DNS-Server (DC) --> DC repliziert die Einträge per AD-Replikation auf alle DC´s

 

Eine sekundäre Zone habe ich angelegt und diese wird auch schön aktualisiert. Aber halt nur von den DC´s aus, da es ja nur eine Kopie ist.

(Lesezugriff seitens Radiusserver). Eine einfache DNS-Weiterleitung auf einen DC hat leider nicht funktioniert. Auflösen vom Remoteclient auf Server im lokalen Netz war iO, aber die Remoteclients haben sich nicht registriert.

 

 

 

Viele Dank für eure Ideen bzw. Lösungen.

 

VG und einen schönen Abend.

 

Michael

 

 

ps.

Bei meiner letzten DNS-Umkonfiguration waren plötzlich alle DNS-Einträge fort. Also nicht die Kerberos usw. Einträge sondern "nur" die normalen HostA Einträge.

Gibt es noch eine andere Möglichkeit den DNS zu sichern als über dnscmd oder das fertige Skript "dnsdump"? Leider kann das Skript "dnsdump" nämlich nicht die Zone "meine Firma" auslesen, sondern nur meine anderen Zonen. Er findet irgendwie nicht den DC, obwohl ich das Skript dort aufrufe. Ob das jedoch wirklich die Ursache ist kann ich nicht sagen.

Diese habe ich jetzt über dnscmd gelöst. Nur der Import ist aufwändiger

und im K-Fall doch recht aufwändig. :-(

[mc02000 10]

hmm,

 

na dann werde ich die Frage etwas umformulieren.

 

Kann ich einen primären DNS Server (keine AD integrierte Zone) mit einem DNS Server (AD integrierte Zonen (also ein DC)) synchronisieren?

DNS-Einträge müssen in beide Richtigungen synchronisiert werden.

 

OS: Windows 2003 R2

 

Viele Dank.

[Christoph35 10]

Hi,

 

Du musst auf dem DC Zonentransfers zulassen (Eigenschaften der Zone) und auf dem anderen DNS Server eine sekundäre Zone einrichten. Ggf. muss auf der FW zwischen LAN und DMZ noch der Traffic für DNS Zonentransfer zugelassen sein (TCP, Port 53). Normale DNS Queries nutzen auch Port 53, aber UDP.

 

Christoph

[tpk 10]

Hallo Leute,

 

Thema ist zwar schon ein wenig älter, aber habe mittlerweile einiges an Zeit investiert (google, Boardsuche, MS usw..) aber leider nichts wirklich konkretes gefunden:

 

Wie würdet ihr Sicherheitstechnisch die Zonenübertragung an einen eigenen DNS in der DMZ einstufen? Übertragung natürlich via IPSEC gesichert, aber natürlich steht in der DMZ dann ein DNS der alle IPs bzw. Hostnamen der internen Server/Rechner "kennt".

 

Wie handhabt ihr dies? Alles (bzw. das relevante) doppelt pflegen oder eben Übertragung?
 

lg Martin

[NilsK 2.777]

Moin,

 

bitte eröffne beim nächsten Mal einen neuen Thread. Es ist nicht erwünscht, Threads mit neuen Fragen zu übernehmen. Schon gar nicht nach vier Jahren.

 

Ein grundsätzliches Sicherheitproblem entsteht nicht, wenn eine interne DNS-Zone in die DMZ repliziert wird. Das tatsächliche Sicherheitserfordernis ergibt sich aus den Einträgen selbst. Wenn die schützenswert sind, haben sie nichts in einer DMZ zu suchen.

 

Ist es denn überhaupt erforderlich, die ganze Zone in die DMZ zu übertragen? Und weitergehend: Braucht es überhaupt eine Replikation? Meist reichen in der DMZ doch sehr wenige Einzeleinträge aus, die sich üblicherweise auch selten ändern.

 

Gruß, Nils

[tpk 10]

Hallo Nils,

 

danke für die Antwort, oft ist es halt so das es wieder genau andersrum erwünscht ist, sprich für die selben/ähnlichen Themen nicht 100 Threads aufzumachen ;)

Natürlich kann jemand der sich Zugriff auf diesen Server verschafft, und die DNS Einträge genauer Analysiert evtl. rückschlüsse ziehen welche IP zB der DC oder der DHCP hat, die Frage ist eben ob diese Info ansich einem Angreifer einen solchen "Mehrwert" bietet, oder ob eine solche Person welche es schafft sich Zugriff auf eine der Systeme zu verschaffen dann ohnehin auch an solche Infos kommt (in der DMZ stehen natürlich Server welche div. Dienste/Ports nach außen offen haben).

Die ganze Zone wäre nicht erforderlich, aber ich glaube hier kann man nicht separieren oder? Es wäre halt "praktisch", da wir doch einige Zonen intern haben (2 Domains + die externe Domain wo interne Anfragen auf die Inside IP (eben DMZ) umgebogen werden). Wenn es kritisch ist natürlich "händische" Pflege, wenn man sagt nein ist eigentlich "egal" oder ist kein Risiko dann wäre natürlich automatisiert vorzuziehen.

 

lg

[NilsK 2.777]

Moin,

 

meine Ansicht generell: Da du in der DMZ nur wenige Einträge brauchst, die üblicherweise noch dazu nahezu statisch sind, würde ich gar keine Replikation vornehmen.

 

Gruß, Nils