Jump to content

DNS und Endian Firewall


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

möglicherweise bin ich nicht der erste der diese Frage stellt (gestellt hat), aber ich wurde vor kurzem verunsichert.

 

Wir haben hier ein kleines, flaches Netz.

 

Clients -> DC (inkl AD und DNS) -> Endian-FW -> Router -> Glasfaser

 

So, ich hab das bisher immer so konfiguriert:

 

DNS bei den Clients ist der DC

GW bei den Clients ist die FW

 

der DC erhält als DNS Adresse was standardmäßig eingetragen wurde (Irgendein Rootserver)

Als GW erhält er auch die FW

 

An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet.

 

Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug.

Kann mir das bitte jemand erklären wieso das so ist?

 

danke

Anderl27

Link zu diesem Kommentar
vor 14 Minuten schrieb Anderl27:

echt? was macht es denn einfacher? ok, wenn mal neu gestartet werden muss ist immer noch ein DC oder DNS da, das sicherlich, aber das lässt sich ja "planen"

Nicht, wenn er dir wegen eins Soft- und/oder Hardwarefehlers ausfällt - und ja, auch eine VM kann defekt sein - oder der Host, oder, oder - es gibt viele Gründe.

 

In eine Domäne gehören immer mindestens 2 DC´s - Punkt.

Je nach Größe mehr.

Alles andere fällt in den Bereich leichtsinnig bis fahrlässig - meine Meinung

bearbeitet von Nobbyaushb
Typo
Link zu diesem Kommentar

Meine Meinung zu dem Thema:

 

Die Clients bekommen die Firewall als primären DNS Server.
Wieso die Firewall und nicht der DC? In der Regel sind über 80% der DNS Anfragen außerhalb der eigenen Zone, wieso den Domaincontroller damit belasten?
Abgesehen davon, werden die Requests dann sowieso vom DC zu Firewall weitergeleitet, warum also nicht direkt zur Firewall?
In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

bearbeitet von falkebo
Link zu diesem Kommentar
vor 2 Minuten schrieb NorbertFe:

Weil dem sonst langweilig ist wenn ihn niemand fragt. ;) wo isn jetzt der Vorteil bei deiner Variante? Und jetzt sag bitte nicht beim booten des dcs kann noch gesurft werden. ;) und ja man kann das auch so konfigurieren.

Da habe ich 2 Beispiele für dich :)

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall
Punkt 2: IDS / IPS Systeme wissen direkt welcher Client versucht hat z.B. einen "bösen" lookup durchzuführen. Ansonsten sieht es für die Firewall so aus als würden alle Anfragen von den DCs kommen.

 

Kann man natürlich auch anders machen, aber ich sehe in dieser Variante keinen Nachteil.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...