Gemeinsamer DNS für Gesamtstrukurvertrauensstellung

[lukin 10]

Hallo,

 

damit zwei Unternehmen eine Exchange-Organisation nutzen können, möchte ich zwischen beiden Strukturen eine Gesamtstrukturvertrauensstellung einrichten.

 

Die Benutzer aus Gesamtstruktur A sollen auf das Exchange in Gesamtstruktur B zugreifen können. Zwischen beiden Gesamtstrukturen gibt es eine VPN. Damit die Vertrauensstellung möglich ist, muss ja zwischen beiden Domänen DNS-Kontakt bestehen. Dazu habe ich den Paketfilter von unserem Internetprovider so konfigurieren lassen, dass Gesamtstruktur A auf den DNS von B zugreifen darf und umgekehrt. Die IP-Connectivity besteht auch und Port 53 ist auch jeweils erreichbar.

 

Wenn ich allerdings auf irgendeinem DNS Server z.B. eine Weiterleitung an den anderen DNS Server einrichte, kann ich trotzdem keine Namen der anderen Gesamtstruktur auflösen. Das klappt wie gehabt nur in der jeweils eigenen Gesamtstruktur. Selbst wenn ich auf irgendeiner Arbeitsstation in Gesamtstruktur A den DNS Server von Gesamtstruktur B eintrage, kann ich keinen einzigen Namen aus Gesamtstruktur B auflösen. Ich bekomme immer nur die Meldung, dass der Servername für die IP Adresse nicht gefunden wurde (non-existent-domain) und dass die Standardserver nicht verfügbar sind. Wenn ich eine IP Adresse in einen Namen auflösen lassen möchte, passiert genau dasselbe.

 

Hat jemand eine Ahnung, wo da der Fehler liegen kann? Die Erreichbarkeit des Ports 53 habe ich übrigens mit Microsofts PortQuery getestet. Kann es evtl. sogar sein, dass ich auf Port 53 wider Erwarten nicht zugreifen darf, obwohl PortQuery mir trotzdem die Aktivität des Ports 53 anzeigt?

 

Wie auch immer, ich bin für jede Hilfe sehr dankbar!

[grizzly999 11]

Ich kann jetzt nur raten, aber Port 53 ist etwas zu wenig für eine FW-Config, dazu gehört auch noch das Protokoll

 

 

grizzly999

[lukin 10]

Ich kann jetzt nur raten, aber Port 53 ist etwas zu wenig für eine FW-Config, dazu gehört auch noch das Protokoll

 

 

grizzly999

 

 

Naja, DNS basiert ja auf dem TCP/UDP Protokoll und das ist im Paketfilter auch aufgemacht worden. Also müsste ich von der Arbeitsstation in Gesamtstruktur A ja zumindest eine DNS Anfrage an den DNS Server in Gesamtstruktur B stellen können, oder?!

[grizzly999 11]

Eben, genau darum ging es, ob der Port für UDP freigegeben ist, nicht für TCP (außer Zonentranfer sekundärer Zonen).

 

Wenn es dann trotz korrekter Eintragung oder Konfiguration der Weiterleitung nicht funktioniert, wird der Verkehr immer noch irgendwo geblockt, ODER das Routing klappt nicht. Das Routing, sagst du, geht aber.

Dann bleibt nur geblockter Verkehr. Das sollte man nochmals prüfen, z.B. mit einem Sniffer auf der Remote Seite.

 

 

grizzly999

[lukin 10]

Eben, genau darum ging es, ob der Port für UDP freigegeben ist, nicht für TCP (außer Zonentranfer sekundärer Zonen).

 

Wenn es dann trotz korrekter Eintragung oder Konfiguration der Weiterleitung nicht funktioniert, wird der Verkehr immer noch irgendwo geblockt, ODER das Routing klappt nicht. Das Routing, sagst du, geht aber.

Dann bleibt nur geblockter Verkehr. Das sollte man nochmals prüfen, z.B. mit einem Sniffer auf der Remote Seite.

 

 

grizzly999

 

 

Ich kann mir auch nur noch vorstellen, dass irgendwo noch was geblockt wird. Mal sehen, was mein Provider auf meine E-Mail antwortet. Ich gebe dann noch mal Rückmeldung. Wenn jemand noch eine andere Idee hat, immer her damit.

[Das Urmel 10]

MS KB 179442 beschreibt die zu öffnenden Ports

[grizzly999 11]

Naja, für eine DNS-Abfrage ist dies genau ein Port, und zwar Port 53 UDP ;)

 

 

grizzly999

[lukin 10]

Hi,

 

der Fehler lag wie vermutet in der Firewall: Dort war ein transparenter Proxy installiert. Der hat alle DNS Anfragen abgefangen und ins Internet gepfiffen. Mein Provider hat mich übrigens mit dem Tool "Dig" bekannt gemacht. Wer es noch nicht kennt, es ist weit besser als nslookup:

 

http://pigtail.net/LRP/dig/

 

Jetzt funktioniert alles perfekt :)

 

Gruß,