BZit 10 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Hallo zusammen, seit der Freigabe einiger neuer Top-Level-Domains gibt es bei uns massive Probleme bei der Namensauflösung unserer Clients mit unserer internen Domäne. Diese wird über das WWW "fälschlicherweise" aufgelöst, da sie mittlerweile reserviert ist und somit auch dort terminiert. Ein Client der sich im internen LAN oder WLAN befindet, löst über den internen DNS natürlich richtig auf. Verbinden sich diese Clients jetzt aber z.b. über ein Client-VPN-Tool (OpenVpn, Cisco,...), rutscht der sich aktivierende Adapter im Binding immer automatisch an die erste Stelle und bringt natürlich den DNS-Server der Zielinfrastruktur mit, welcher unsere Domain wieder falsch über das Internet auflöst. Somit fallen alle Verbindungen zu internen Ressourcen, so wie bei einer Endpunkt-Erzwingung, weg. Auch von extern besteht das Problem, zumindest temporär, und zwar genau anders herum. Verbindet sich ein Client per VPN-Tool zur Organisation, werden DNS-Anfragen weiterhin "falsch" über das Internet aufgelöst und es können keine internen Ressourcen erreicht werden. Welche Möglichkeiten gibt es, die interne Domain "*.domain.local" immer über die internen DNS-Server auflösen zu lassen? Natürlich könnte man einige zentrale Ressourcen fest in die "hosts" schreiben. Ich sucher aber eher nach einem Powershell- oder Batchscript, welches das Adapterbinding gerade zieht und gleich die DNS-Verwendung korrigiert. Die Clients sind zum Großteil auf Windows 7, aber werden demnächst auf Windows 10 umgestellt. Danke und Gruß Franz
testperson 1.859 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Hi, das einfachste wäre wohl am VPN Router ein DNS Forwarder für eure Domain einzurichten oder dem VPN Device bei Einwahl eure AD DNS Server zu verteilen. Des Weiteren wäre es sicher sinnvoll, eure "interne" Domain bei einem Provider zu registrieren. Gruß Jan
Otaku19 33 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 intene zonen wird einem kein provider anlegen, ich denke zB eine at-work.local würde es sonst ein wenig öfter geben...das wird dann eher schwierig. Selbst wenn es dann eine einzigartige interne domain gäbe....sollen dann proivate IPs ins offizielle DNS ? Interne Strukturen die man öffentlich bekanntmacht ? nene, das hat dort alles nix zu suchen, hier muss man sich ein sinnvollens Konzept überlegen: split DNS interne DNS an Clients im corporate network und per VPN von aussen gibts nur den Teil zu sehen den man von aussen eben braucht, ob Kunde, Mitarbeiter oder Consulter spielt keien Rolle. Im Idealfall sidn das dann also nur Portale die eben von aussen zugänglich sein müssen: owa, extranet, vpn Zugangspunkt, Website/shop...sowas eben. in lokalen Dateien für die Namensauflösung trägt man nur zu testzwecken etwas ein, sagen wir wenn ein host Eintrag noch nicht im DNS ist oder man einen Dienst zusätzlich noch auf einer test IP am laufen hat. Das sollte niemals ein Anlaufpunkt für normalen operativen Betrieb sein. Das gibt immer nur Ärger weil dann darauf vergessen wird, wie bekomt man Änderungen automatisch auf Clients gepusht die man nicht unter Kontrolle hat, was ist mit mobiles,tablets,irgendwelches embedded Zeugs, usw usf
BZit 10 Geschrieben 28. Juni 2016 Autor Melden Geschrieben 28. Juni 2016 Die intern verwendete Domain war bei der Einführung damals eben noch keine öffentliche. Doch das ist ja jetzt anders. Ich kann natürlich eine neue interne Domäne aufsetzen, doch was da für ein Rattenschwanz dranhängt, wissen hier sicherlich alle. Diese Domäne haben wir leider nicht selbst bekommen, sonst hätten wir hier natürlich andere Möglichkeiten. Ich kann somit nicht beeinflussen, dass Anfragen an "*.unsereinterne.domain" öffentlich (falsch) terminieren. Daher die Frage nach einem Skript oder einer anderen Möglichkeit für unsere Clients, dass diese immer den internen DNS-Server für "*.unsereinterne.domain" nutzen.
MurdocX 1.004 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Du könntest deine Domäne umbenennen: https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Hab ich schon einmal durchgeführt
NorbertFe 2.283 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Ja geht aber nur, wenn er kein Exchange hat. Und auch dann will sowas vernünftig geplant sein. ;)
BZit 10 Geschrieben 28. Juni 2016 Autor Melden Geschrieben 28. Juni 2016 Also domain name change ist kein Thema.
MurdocX 1.004 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Ja geht aber nur, wenn er kein Exchange hat. Und auch dann will sowas vernünftig geplant sein. ;) Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert :)
testperson 1.859 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert Mit Exchange 2003 war das auch noch supported ;)
NorbertFe 2.283 Geschrieben 28. Juni 2016 Melden Geschrieben 28. Juni 2016 Exchange 2003 ist aber nicht mehr supported. :p
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden