Jump to content

Frage zu dynamischen DNS-Updates


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich habe hier ein Active Directory, dessen Clients sich insgesamt in 5x Subnetzen befinden. Der DNS-Server des AD ist so konfiguriert, dass er nur sichere dynamische Updates gestattet. Ein DC und DNS-Server befindet sich nur im Hauptstandort.

 

- Hauptstandort = 192.168.0.0/24

- Zweigstelle 1 = 192.168.1.0/24

- Zweigstelle 2 = 192.168.1.2/24

- Zweigstelle 3 = 192.168.3.0/24

- Zweigstelle 4 = 192.168.4.0/24

 

Die Clients im Hauptstandort erhalten Ihre IP-Adressen von einem autorisierten DHCP-Server, der auch gleich die DNS-Aktualisierung vornimmt. In den Zweigstellen übernimmt ein lokaler DHCP-Server, der in die Firewall integriert ist, die IP-Zuweisung. Die IP-Aktualisierung am DNS-Server der Clients im Hauptstandort funktioniert fehlerfrei. Problematisch ist nun die Aktualisierung der Einträge von den Zweigstellen. Diese funktioniert nur sporadisch. Besonders problematisch ist die DNS-Aktualisierung, wenn Geräte von einer Zweigstelle im Hauptstandort waren und dort mit einer 192.168.0.0er IP-Adresse im DNS durch den DHCP-Server registriert wurden. Sind die Geräte am nächsten Tag wieder in Zweigstelle, bleibt der DNS-Eintrag bei 192.168.0.0 stehen und wird nicht auf das Zweigstellen-Subnetz aktualisiert. In den Sicherheitseinstellungen des A-Records sehe ich, dass der Eintrag durch den Benutzer des DHCP-Server erzeugt wurde. Der "nicht autorisierte" DHCP-Server in der Zweigstelle hat somit also keine Berechtigung den Eintrag zu aktualisieren, dass müsste somit der Client übernehmen.

 

Ändere ich die dynamischen DNS-Update von "Nur sichere" auf "Sicher und nicht sichere" Aktualisierungen funktioniert alles korrekt. Aus Sicherheitsgründen möchte ich diese Konfiguration jedoch vermeiden.

 

Wie sollte ich meinen DNS-Server für dieses Szenarion konfigurieren?

bearbeitet von lionheart
Link zu diesem Kommentar

Hi,

 

falls du tatsächlich nur einen DC hast, solltest du evtl. mal einen weiteren DC bereitstellen.

 

Wenn die Firewalls DHCP Relay können, kannst du die Anfragen alle zum DHCP in der Zentrale leiten und dort die Adressen entsprechend verteilen lassen. Alternativ dürfte dir die "Lösungsvariante und Ihre Auswirkungen" aus diesem Artikel helfen: https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/

 

Gruß

Jan

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo Jan,

 

ich habe alles so konfiguriert, wie in deinem Link beschrieben. Die AD-integrierte DNS-Zone akzeptiert nur "sichere Updates". Der DHCP-Server ist in den DNS-Optionen so konfiguriert, dass er die "DNS-Einträge nur nach Aufforderung vom DHCP-Client dynamisch aktualisiert".

 

Leider ist es dennoch so, dass der DHCP-Server alle DNS-Registrierungen meiner Windows 10 Clients übernimmt. Schaue ich im DNS-Server nach den Einträgen in der DNS-Zone so wurde der Eintrag durch den DHCP-Server und nicht durch das Computerkonto erstellt.

 

Windows 10 sollte die DNS-Registrierung doch selbst übernehmen können und nicht an den DHCP-Server delegieren. Weshalb fordern die DHCP-Clients den DHCP-Server zur DNS-Registrierung auf?

dns.PNG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...