basstscho 10 Posted December 23, 2009 Report Share Posted December 23, 2009 Hallo zusammen, ich bin gerade dabei unser Netzwerk noch etwas besser abzusichern und erlaube den Servern per Firewall auf dem Router nurnoch auf bestimmte Ports zugreifen zu dürfen (z.B. Port 80 & 21 für die Updates unter debian etc.). Nun bin ich bei unseren AD-Server angekommen. Auf diesen laufen auch die entsprechenden DNS-Server. Eine Weiterleitung für Hostnamen die nicht aufgelöst werden können habe ich auf unseren Router eingerichtet (auf diesem läuft auch ein DNS-Server). Daher habe ich mir gedacht, dass ich eigentlich das Standard-Gateway komplett entfernen kann. Allerdings funktioniert dann die Auflösung externer Hostnamen nicht mehr - doch wieso? Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen. Was habe ich nicht beachtet? Was hat es mit den Servern unter Stammhinweise auf sich? Hier sind einige externe Adressen hinterlegt. Vlt. liegts ja darann?! Danke für eure Hilfe, Grüße Johannes Quote Link to comment
Necron 71 Posted December 23, 2009 Report Share Posted December 23, 2009 Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen. Hi, hier blicke ich noch nicht so ganz durch, könntest du dies noch einmal genauer beschreiben? Auf welchem Rechner wird nslookup ausgeführt und bringt dann den Fehler? Quote Link to comment
flarag 10 Posted December 23, 2009 Report Share Posted December 23, 2009 Hi, wenn ich es richtig verstehe, entfernst Du den Gateway bei den Clients. Wie sollen die dann "raus" kommen? Egal ob die den Namen aufgelöst bekommen haben oder nicht - sie kommen nicht aus ihrem Netzwerk raus, da sie nicht wissen wie. Wenn ich es falsch verstanden habe: Vergiss die Antwort einfach. ;);) BG flarag Quote Link to comment
basstscho 10 Posted December 23, 2009 Author Report Share Posted December 23, 2009 Hallo zusammen, der ganze von mir beschriebene Vorgang spielt sich auf einem Server ab (einer der das AD beherbert und dazu passend auch den DNS-Server). Der DNS-Server auf diesem Server hat als Weiterleitungsserver für ihn unbekannte Zonen (also bei uns alle != Domäne) unseren Router eingetragen. Dieser hat ja dann ebenfalls wieder als Weiterleitungen die Provider DNS-Server eingetragen und kann somit dann z.B. mcseboard.de korrekt auflösen. Also theoretisch erfolgt die DNS-Abfrage für das öffnen der Seite mcseboard.de bei uns so ab: Client -> Server (AD, DNS [dieser verwaltet die Zone natürlich nicht selbst, daher Weiterleitung]) -> Router -> Provider DNS -> mcseBoardDNS-Server -> IP zurück an Client Soweit klappt das bei uns auch schon seit Jahren einwandfrei. Beim Server ist momentan ein Gateway eingetragen (der Router). Dieses ist ja eigentlich überflüssig, da der Server (so dachte ich jedenfalls) keine direkte Verbindung ins Internet braucht. Entferne ich also nun das Gateway aus den Netzwerkeinstellungen, bekomme ich beim Ausführen von nslookup auf dem Server einen DNS-Timeout. nslookup - ip.vom.server -> DNS-Timeout beim auflösen der externen Adresse. Führe ich auf dem Server aus nslookup - ip.vom.router -> DNS-Auflösung klappt ohne Probleme Es liegt also nicht grundsätzlich an einer Verbindung zwischen Server und Router. Daher muss der Windows-DNS-Server die Anfrage ja irgendwie nicht zum Router weiterleiten sondern gibt einen timeout raus. Setze ich den Gateway wieder ein kann er korrekt auflösen. Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen. Ich hoffe jetzt ist alles klarer geworden. Grüße Johannes Quote Link to comment
Necron 71 Posted December 23, 2009 Report Share Posted December 23, 2009 (edited) Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen. Die dürften damit gar nichts zu tun haben. Ich teste das ganze mal eben in meinem Testlab durch. ;) /edit: Funktioniert wirklich nur mit eingetragenem Standardgateway! Edited December 23, 2009 by Necron Quote Link to comment
basstscho 10 Posted December 23, 2009 Author Report Share Posted December 23, 2009 Hallo zusammen, ich hab jetzt einfach mal alle Ports bis auf den 53er UDP per Firewall blockiert (also für die Server IP am Router). Fazit: Die Auflösung funktioniert wie sie soll. Was ich allerdings noch nicht weiß ist, wo er denn da ne DNS-Abfrage durchstellt... Grüße Johannes Quote Link to comment
IThome 10 Posted December 30, 2009 Report Share Posted December 30, 2009 Sicher funktioniert das auch ohne Gateway (warum auch nicht ?). Der Server fragt, wenn er nicht zuständig ist, rekursiv den konfigurierten Weiterleiter, der sich in diesem Fall im eigenen Netzwerk befindet. Dieser ist dann zuständig für die vollständige Namensauflösung. Wenn zusätzlich noch der Haken "Keine Rekursion für diese Domäne verwenden" gesetzt ist, werden auch keine Stammserver befragt. Das ist dann wohl eher ein Problem des "DNS-Servers" auf dem Router ... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.