Jump to content

DNS-Weiterleitung nur mit gateway?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich bin gerade dabei unser Netzwerk noch etwas besser abzusichern und erlaube den Servern per Firewall auf dem Router nurnoch auf bestimmte Ports zugreifen zu dürfen (z.B. Port 80 & 21 für die Updates unter debian etc.).

 

Nun bin ich bei unseren AD-Server angekommen. Auf diesen laufen auch die entsprechenden DNS-Server. Eine Weiterleitung für Hostnamen die nicht aufgelöst werden können habe ich auf unseren Router eingerichtet (auf diesem läuft auch ein DNS-Server). Daher habe ich mir gedacht, dass ich eigentlich das Standard-Gateway komplett entfernen kann. Allerdings funktioniert dann die Auflösung externer Hostnamen nicht mehr - doch wieso? Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen.

 

Was habe ich nicht beachtet? Was hat es mit den Servern unter Stammhinweise auf sich? Hier sind einige externe Adressen hinterlegt. Vlt. liegts ja darann?!

 

Danke für eure Hilfe,

Grüße Johannes

Link to comment
Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen.

Hi,

 

hier blicke ich noch nicht so ganz durch, könntest du dies noch einmal genauer beschreiben? Auf welchem Rechner wird nslookup ausgeführt und bringt dann den Fehler?

Link to comment

Hi,

 

wenn ich es richtig verstehe, entfernst Du den Gateway bei den Clients. Wie sollen die dann "raus" kommen? Egal ob die den Namen aufgelöst bekommen haben oder nicht - sie kommen nicht aus ihrem Netzwerk raus, da sie nicht wissen wie.

Wenn ich es falsch verstanden habe: Vergiss die Antwort einfach. ;);)

 

BG

flarag

Link to comment

Hallo zusammen,

 

der ganze von mir beschriebene Vorgang spielt sich auf einem Server ab (einer der das AD beherbert und dazu passend auch den DNS-Server).

Der DNS-Server auf diesem Server hat als Weiterleitungsserver für ihn unbekannte Zonen (also bei uns alle != Domäne) unseren Router eingetragen. Dieser hat ja dann ebenfalls wieder als Weiterleitungen die Provider DNS-Server eingetragen und kann somit dann z.B. mcseboard.de korrekt auflösen.

 

Also theoretisch erfolgt die DNS-Abfrage für das öffnen der Seite mcseboard.de bei uns so ab:

 

Client -> Server (AD, DNS [dieser verwaltet die Zone natürlich nicht selbst, daher Weiterleitung]) -> Router -> Provider DNS -> mcseBoardDNS-Server -> IP zurück an Client

 

Soweit klappt das bei uns auch schon seit Jahren einwandfrei. Beim Server ist momentan ein Gateway eingetragen (der Router). Dieses ist ja eigentlich überflüssig, da der Server (so dachte ich jedenfalls) keine direkte Verbindung ins Internet braucht. Entferne ich also nun das Gateway aus den Netzwerkeinstellungen, bekomme ich beim Ausführen von nslookup auf dem Server einen DNS-Timeout.

nslookup - ip.vom.server
-> DNS-Timeout beim auflösen der externen Adresse.

Führe ich auf dem Server aus

nslookup - ip.vom.router
-> DNS-Auflösung klappt ohne Probleme

Es liegt also nicht grundsätzlich an einer Verbindung zwischen Server und Router.

 

Daher muss der Windows-DNS-Server die Anfrage ja irgendwie nicht zum Router weiterleiten sondern gibt einen timeout raus.

Setze ich den Gateway wieder ein kann er korrekt auflösen.

 

Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen.

 

Ich hoffe jetzt ist alles klarer geworden.

Grüße Johannes

Link to comment

Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen.

Die dürften damit gar nichts zu tun haben. Ich teste das ganze mal eben in meinem Testlab durch. ;)

 

/edit:

 

Funktioniert wirklich nur mit eingetragenem Standardgateway!

Edited by Necron
Link to comment

Sicher funktioniert das auch ohne Gateway (warum auch nicht ?). Der Server fragt, wenn er nicht zuständig ist, rekursiv den konfigurierten Weiterleiter, der sich in diesem Fall im eigenen Netzwerk befindet. Dieser ist dann zuständig für die vollständige Namensauflösung. Wenn zusätzlich noch der Haken "Keine Rekursion für diese Domäne verwenden" gesetzt ist, werden auch keine Stammserver befragt.

Das ist dann wohl eher ein Problem des "DNS-Servers" auf dem Router ...

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...