Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

kalingo

Internetadressen werden vom falschen DNS aufgelöst

Empfohlene Beiträge

Internetadressen werden vom falschen DNS aufgelöst.

 

Hallo zusammen,

 

erstmal Vorweg, meine DNS Kenntnisse sind nicht so besonders. Vermutlich benötige ich auch deshalb Hilfe :-)

Ich betreibe ein kleines AD ohne jegliche große Konfiguration. Es dient hier nur dafür, dass sich jeder überall anmelden kann.

Vor einem halben Jahr habe ich von Server 2008R2 nach 2012R2 gewechselt. Die Domäne/Server wurde komplett frisch aufgesetzt.

 

Da der DNS des Domaincontrollers als primärdns eingetragen ist (so war meines Wissens best practice), versucht er auch Internetadressen als erstes darüber aufzulösen.

Mich stört nicht das er es Versucht, mich stört, das er es schafft. Ich bin mir ziemlich sicher das mein DNS auf dem DC unter 2008R2 nur lokale Adressen aufgelöst hat.

Das Problem an der Sache ist, das der sekundäre DNS (welcher auch default gateways ist) Internetadressensperren via DNS Forwarding beherbergt die natürlich nun alle nicht mehr greifen, da der Domaincontroller meint auch Internetadressen aufzulösen.

 

Beispiel mit falschem DNS-Server (DC Conntroller DNS Server):

 

> facebook.com

Server:  UnKnown

Address:  10.10.10.254 (IP von DC)

 

Nicht autorisierende Antwort:

Name:    facebook.com

Addresses:  2a03:2880:f127:83:face:b00c:0:25de

          31.13.66.36

 

 

Beispiel mit richtigem DNS Server:

 

> server 10.10.10.3

Standardserver:  [10.10.10.3]

Address:  10.10.10.3

 

> facebook.com

Server:  [10.10.10.3]

Address:  10.10.10.3

 

Name:    facebook.com

Address:  127.1.1.1

 

>

 

 

Die Quick und Dirty-Lösung ist vermutlich einfach das Gateways auf dem DC zu entfernen, dann war es das aber auch mit Internetkontakt (Windows Updates z.B).

Vielleicht kann mir jemand ein paar hilfreiche Tips geben.

 

Vielen Dank

 

Tobias

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

du solltest am Windows DNS dein Gateway als Forwarder eintragen (Was ebenfalls Best Practice ist) und die DNS-Root-Server löschen bzw. deaktivieren.

Dann solltest du an den Clients nur den DC als DNS nutzen und den sekundären DNS überall entfernen.

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was ist nochmal der  "richtige" DNS-Server?

Denn der arbeitet nicht richtig. Oder filtert absichtlich "facebook.com" mit falschen IP-Adressen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ist der Sekundäre DNS ein weiterer DC oder der Router (oder sonst irgendwas)?

 

Internetsperren macht man mit einem Proxy und nicht via DNS. Was machst du wenn der Nutzer die IP von facebook sich aufschreibt und diese im Browser eingibt?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Danke für eure Antworten.

@testperson Dafür bräuchte ich irgendwie weitere Hilfestellung? Gibt es irgendwie eine Anleitung um deinen Vorschlag umzusetzen? Hatte von damals was mit "Bedingter Weiterleitung" im Kopf. Aber da hab ich schon gefummelt...der nimmt die 10.10.10.3 nicht mal als DNS an.

 

@zahni @Dukel

 

Domaincontroller mit DNS ist 10.10.10.254

Router mit DNS ist 10.10.10.3

 

Für lokale Namensauflösung soll er logischerweise den DC nehmen. Für Internetadressen nur den Router. Das Facebook auf die falsche IP aufgelöst wird ist so beabsichtig (siehe meine Beschreibung Sperrung via DNS Forwarding) und richtig. Leider nutzt er für die Namensauflösung von Internetseiten meistens den DC DNS, was dann die Sperrung umgeht. 

Ob jetzt ein Proxy die bessere Wahl wäre, lass ich mal dahingestellt. Dafür wären die anderen Einschränkungen die mir dadurch in meiner Privaten Umgebung entstehen zu groß.

Für die Zukunft ist Filtern via DPI geplant, das kann der Router auch. Für den Moment, muss es so reichen wie es ist ...und vorallem hat es 3 Jahre (bis zum Wechsel auf 2012R2 als Server) die Sache gut gemacht.

bearbeitet von kalingo

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann mach das von "Testperson".

Trage  Deinen Router  als Forwarder im DNS ein.

 

Und wie Dukel schrieb: Richtig macht man dass über  einen Proxy. Dann müssen im LAN überhaupt  keine  Internetadressen aufgelöst werden (können). Nur beim Proxy...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das was du vorhast wird so nicht gehen. Nutze nur den DC und trag in diesem Forwarder ein (den Router). Wenn du unbedingt DNS sperren machen willst, dann setze diese im DNS Server auf dem DC um.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ach ja, wenn man einige Domänen sperren will, im DNS von Windows einfach eine leere Zone "facebook.com" einrichten. Schon wird unter facebook.com nichts mehr gefunden...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich wunder mich nur, warumd as bei Server 2008R2 nie ein Problem war. Da lief es von Anfang an richtig :-/

 

Kann mir noch jemand verraten wo ich die entsprechende Forwarder-Sache finden kann? Bedingte Weiterleitung ist es scheinbar nicht.

Wenn ich das richtig verstehe und die DNS anfragen für Internetseiten an den Router "forwarded" werden, können die Sperren auch weiterhin im Router bleiben,oder?

bearbeitet von kalingo

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Server -> Eigenschaften -> Weiterleitungen: Eintragen, Haken bei Stammhinweise... raus.

 

Zu Deinen DNS-Sperren: Wenn Du meinst.. Es ist aber eleganter Adressen überhaupt nicht aufzulösen als mit einer ungültigen IP-Adresse,

bearbeitet von zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@zahni du hast schon recht. ich glaube ich sträube mich auch nur ein wenig weil ich zu viel dann hier umstellen müsste. Der Router ist hier momentan halt leider das Zentrale Element, welches z.B auch für VPN und entsprechender Auflösung zuständig ist. Ich probiere es heute mal mit der Weiterleitung erst mal. Später wenn DPI greift, ,sind diese Filterungen per DNS eh überflüssig.

Mich würde nur noch interessieren was Testperson mit "DNS-Root-Server löschen bzw. deaktivieren." im Zuge des forwardings meinte. Ihr beide habt davon nicht mehr gesprochen. Ist dieses notwendig und wenn ja, was muss ich dafür genau löschen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So, konnte es gerade testen. 

 
Standardserver:  UnKnown
Address:  10.10.10.254
 
> facebook.com
Server:  UnKnown
Address:  10.10.10.254
 
Name:    facebook.com
Address:  127.1.1.1
 
 
Perfekt. Die erste Antwort war also schon die richtige und es funktioniert jetzt genau so, wie ich es mir vorgestellt habe.
Ich danke euch, für eure schnelle Hilfe.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×