Jump to content
Sign in to follow this  
Anderl27

DNS und Endian Firewall

Recommended Posts

Guten Morgen zusammen,

 

ui, da hab ich aber was losgetreten, aber sehr sehr sehr interessant. Wie unterschiedlich doch Vorgehensweisen sein können. Hier nun die angefragte ipconfig:

 

ich hab wie zuvor angeraten am DC/DNS bei der Weiterleitung die FW eingetragen

 

Microsoft Windows [Version 6.2.9200]
(c) 2012 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Administrator.MEINEDOMAIN>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DC2012
   Primäres DNS-Suffix . . . . . . . : MEINEDOMAIN.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : MEINEDOMAIN.local

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physische Adresse . . . . . . . . : 00-50-56-A2-09-17
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 172.16.16.157(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 172.16.16.243
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{7844C2D2-AD44-48AB-A760-04C02A2DD7C1}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter LAN-Verbindung* 6:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

C:\Users\Administrator.MEINEDOMAIN>

 

 

243 ist die FW

 

VG

Share this post


Link to post
vor 11 Stunden schrieb daabm:

Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind.

 

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden.

Es ging in meinem Vorschlag ja auch nicht darum einen externen DNS Server einzusetzen welcher die Anfragen auf die Zone selbst beantwortet, sondern jegliche Anfragen auf die AD Zone zu den DCs weiterleitet. Dementsprechend hast du auch keine Probleme mit den AD-Spezifischen SRV Records, etc.

 

Der einzige Nachteil:

vor 16 Stunden schrieb NorbertFe:

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.


Machen das seit Jahren bei einigen Kunden erfolgreich so, ohne Probleme.
Natürlich, wenns nach Microsoft geht, dann dürfte/sollte man so einiges nicht machen :)

 

 

Aber ich verabschiede mich dann auch an dieser Stelle, sonst werde ich noch angezündet :D

Share this post


Link to post

bzgl. meiner ursprünglichen Frage. 
das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist.

 

Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen?

das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt.

 

was meint ihr?

Share this post


Link to post
vor 43 Minuten schrieb Anderl27:

bzgl. meiner ursprünglichen Frage. 
das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist.

 

Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen?

das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt.

 

was meint ihr?

Wo steht in einem Post von dir eine 2te Firewall?

 

Und die Ipconfig / all will ich immer noch sehen

 

Und nein, ein google dns hat da grundsätzlich nichts zu suchen, den stellt der Provider zur Verfügung - meistens 2 Stück.

Share this post


Link to post

ups...

 

Und ja, bei DNS steht nicht die localhost sondern die 172.16.16.157 - wenn das ein DC mit DNS ist - sind das zwei, steht die IP des 2ten DC / DNS als erstes drin.

 

Btw: ich lese nix von IPv6 - abgeschaltet, wenn ja, warum?

Edited by Nobbyaushb

Share this post


Link to post

Hi, bei DNS steht doch 127.0.0.1, der loopback drin. soll ich seine eigene hinterlegen? 

 

DNS-Server  . . . . . . . . . . . : 127.0.0.1

 

hab nur den einen DC und DNS

 

weiss grad ned was du meinst

 

das mit der 2ten FW, hab ich erst nicht erwähnt, ich nutz die eher zum testen/lernen, ist ne cisco asa, ne alte Kiste, aber gut um zu lernen.

 

Share this post


Link to post

 

vor 56 Minuten schrieb Nobbyaushb:

Und ja, bei DNS steht nicht die localhost sondern die 172.16.16.157

 

vor 13 Minuten schrieb Anderl27:

Hi, bei DNS steht doch 127.0.0.1, der loopback drin. soll ich seine eigene hinterlegen? 

Edited by Sunny61

Share this post


Link to post

axo, ok, mach ich

jetzt gleich

 

....erl.

aber mal zum Verständnis, wo liegt in diesem Fall der Unterschied?

Edited by Anderl27

Share this post


Link to post
vor einer Stunde schrieb Anderl27:

axo, ok, mach ich

jetzt gleich

 

....erl.

aber mal zum Verständnis, wo liegt in diesem Fall der Unterschied?

Noch nirgends - aber du willst ja einen 2ten montieren...

Und - BestPractice ist die richtige IP

Share this post


Link to post

Manchmal ist es mit Norbert und Sunny schwer - die Antworten sind zwar fachlich korrekt, aber meist sehr "reduziert" :-):-)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...