Jump to content
Sign in to follow this  
Anderl27

DNS und Endian Firewall

Recommended Posts

Hallo zusammen,

möglicherweise bin ich nicht der erste der diese Frage stellt (gestellt hat), aber ich wurde vor kurzem verunsichert.

 

Wir haben hier ein kleines, flaches Netz.

 

Clients -> DC (inkl AD und DNS) -> Endian-FW -> Router -> Glasfaser

 

So, ich hab das bisher immer so konfiguriert:

 

DNS bei den Clients ist der DC

GW bei den Clients ist die FW

 

der DC erhält als DNS Adresse was standardmäßig eingetragen wurde (Irgendein Rootserver)

Als GW erhält er auch die FW

 

An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet.

 

Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug.

Kann mir das bitte jemand erklären wieso das so ist?

 

danke

Anderl27

Share this post


Link to post

Der DC (wieso nur ein DC? sollten min. zwei sein!) muss sich selbst bzw. einen anderen DC als DNS Server konfiguriert haben. Im DNS Server selbst nutzt man den Router (oder bei dir Endian, wenn das als DNS Forwarder arbeitet) oder einen Provider DNS als Forwarder.

Share this post


Link to post

wieso nur einer? wieso zwei? :) uns reicht der eine. bei 20 Arbeitsplätzen ist das sehr überschaubar.

 

ok, dann pack ich bei der Weiterleitung die Endian rein und in den Netzwerkeinstellungen hab ich loopback drin, ok?

Was ändert sich durch diese Einstellung eigentlich im Detail?

 

danke dir

Share this post


Link to post

Alle Maschinen (Clients und DC) fragen den internen DNS Server (DC) und dieser löst interne Adressen auf und alles andere geht an den Forwarder (Endian, Router oder Provider), welcher andere DNS Server oder die DNS-Root Server fragt.

 

Ich würde in jedem produktiven Netzwerk, egal wie groß, zwei DC's nutzen.

Share this post


Link to post

echt? was macht es denn einfacher? ok, wenn mal neu gestartet werden muss ist immer noch ein DC oder DNS da, das sicherlich, aber das lässt sich ja "planen"

Share this post


Link to post
vor 14 Minuten schrieb Anderl27:

echt? was macht es denn einfacher? ok, wenn mal neu gestartet werden muss ist immer noch ein DC oder DNS da, das sicherlich, aber das lässt sich ja "planen"

Nicht, wenn er dir wegen eins Soft- und/oder Hardwarefehlers ausfällt - und ja, auch eine VM kann defekt sein - oder der Host, oder, oder - es gibt viele Gründe.

 

In eine Domäne gehören immer mindestens 2 DC´s - Punkt.

Je nach Größe mehr.

Alles andere fällt in den Bereich leichtsinnig bis fahrlässig - meine Meinung

Edited by Nobbyaushb
Typo

Share this post


Link to post
vor 4 Minuten schrieb Anderl27:

ok, verstehe, danke für Eure Hilfe, werde drüber nachdenken einen weiteren reinzupacken

Nicht drüber nachdenken, machen.

 

Poste mal ein ipconfig /all | clip von dem (noch einsamen) DC und einem Client, dann bekommst du passende Tips von den Leuten hier.

:-)

Share this post


Link to post

Meine Meinung zu dem Thema:

 

Die Clients bekommen die Firewall als primären DNS Server.
Wieso die Firewall und nicht der DC? In der Regel sind über 80% der DNS Anfragen außerhalb der eigenen Zone, wieso den Domaincontroller damit belasten?
Abgesehen davon, werden die Requests dann sowieso vom DC zu Firewall weitergeleitet, warum also nicht direkt zur Firewall?
In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

Edited by falkebo

Share this post


Link to post
vor 10 Minuten schrieb falkebo:

wieso den Domaincontroller damit belasten?

Weil dem sonst langweilig ist wenn ihn niemand fragt. ;) wo isn jetzt der Vorteil bei deiner Variante? Und jetzt sag bitte nicht beim booten des dcs kann noch gesurft werden. ;) und ja man kann das auch so konfigurieren.

Share this post


Link to post
vor 2 Minuten schrieb NorbertFe:

Weil dem sonst langweilig ist wenn ihn niemand fragt. ;) wo isn jetzt der Vorteil bei deiner Variante? Und jetzt sag bitte nicht beim booten des dcs kann noch gesurft werden. ;) und ja man kann das auch so konfigurieren.

Da habe ich 2 Beispiele für dich :)

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall
Punkt 2: IDS / IPS Systeme wissen direkt welcher Client versucht hat z.B. einen "bösen" lookup durchzuführen. Ansonsten sieht es für die Firewall so aus als würden alle Anfragen von den DCs kommen.

 

Kann man natürlich auch anders machen, aber ich sehe in dieser Variante keinen Nachteil.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...