Jump to content
Anderl27

DNS und Endian Firewall

Recommended Posts

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.

Share this post


Link to post
Share on other sites
vor 47 Minuten schrieb falkebo:

In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig?

 

vor 27 Minuten schrieb falkebo:

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall

Und wieviel Millisekunden oder KB willst du dadurch einsparen was diese Argumentation rechtfertigt? 

 

 

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb Anderl27:

wegen Ausfallsicherheit?

 

Verfügbarkeit

vor 4 Stunden schrieb Anderl27:

wieso nur einer? wieso zwei? :) uns reicht der eine. bei 20 Arbeitsplätzen ist das sehr überschaubar.

 

Natürlich reicht bei 20 Clients für den Betrieb der Domäne ein DC aus. Warum einen zweiten DC vorhalten, die Kosten dafür tragen? Wie sieht es aber aus, falls der eine DC ausfällt? Was funktioniert dann noch, was funktioniert nicht? Was wird benötigt? Was wird nicht wirklich so dringend benötigt? Wie schnell kann ein neuer DC hergestellt werden, geeignete Hardware vorhanden, kann der DC aus der Sicherung hergestellt werden? Wirklich, getestet, funktioniert?

 

Ich bin Jahre mit je einem DC pro Domäne und Einrichtung ausgekommen, und dann fiel der am ungünstigsten stationierte aus. Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten, das anzupassen kostete mir die Osterferien.

 

 

Edited by lefg
  • Haha 1

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb NorbertFe:

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.

Das mit der dynamischen Registrierung stimmt, da müsste man prüfen wie man das lösen könnte.

 

vor 1 Stunde schrieb MurdocX:

Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig?

Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos.
1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen!

2. Das selbe Szenario kann dir auch mit einem DC passieren.


PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig.

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb falkebo:

da müsste man prüfen wie man das lösen könnte.

Man trägt den dc als DNS bei den Clients ein. ;)

vor 40 Minuten schrieb lefg:

Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten

Naja das eine gehört zum anderen. ;)

Share this post


Link to post
Share on other sites
vor 11 Minuten schrieb NorbertFe:
vor 51 Minuten schrieb lefg:

Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten

Naja das eine gehört zum anderen. ;)

 

Das habe ich wohl missverständlich geschrieben. Mit User-Datensätze sind gemeint die Homeverzeichnisse, mit den Arbeiten der Studierenden und Auszubildenden. (Fachschule für Betriebswirtschaft und Berufsakademie)

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb falkebo:

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall

Wo ist unnötiger doppelter Traffic? Es ist nur 1 Station dazwischen, nichts unnötig und nichts doppelt.

Share this post


Link to post
Share on other sites
vor 17 Minuten schrieb lefg:

Das habe ich wohl missverständlich geschrieben.

Nö, ich hab dich schon verstanden. Aber sid und ad gehören nunmal zusammen.

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb Anderl27:
 

An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet.

 

Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug.

Kann mir das bitte jemand erklären wieso das so ist?

Die Diskussion ist zwar interessant, hat aber inzwischen wenig mit der Frage des TO zu tun.

 

Das kann man meiner Meinung nach nicht so pauschal beantworten - das kommt auf die verwendeten Geräte und den Provider an.

 

Wenn die Firewall (wir haben SecurePoint und Lancom im Einsatz) DNS kann, steht der Name / die IP der Firewall im Forward der DNS Zone

 

@falkebo deine Ansicht ist teilweise nachzuvollziehen, aber nicht best Practice, und würde ich in einem AD nie machen

 

:-)

Share this post


Link to post
Share on other sites

Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind.

 

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden.

Share this post


Link to post
Share on other sites
vor 15 Stunden schrieb falkebo:

In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

 

vor 12 Stunden schrieb falkebo:

Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos.
1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen!

2. Das selbe Szenario kann dir auch mit einem DC passieren.

 

PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig.

Genau, 2 DCs auf den Clients eintragen anstatte eine Firewall. Von HA war hier ja nicht die Rede ;-) 

 

Gründe warum man das nicht macht, wurden ja genug genannt. 

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb daabm:

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden. 

 

Nach den DC als DNS und weiteren internen DNS, nach den des ISP, den 8.8.8.8 und 8.8.4.4 als weitere externe DNS? Wäre das diskussionswürdig?

Share this post


Link to post
Share on other sites

Wer gern mehr Daten an Google schicken will für den sicher. Wobei dein "nach" zu klären wäre. Am Client würde ich das nicht empfehlen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...