DNS-Frage zu bedingter Weiterleitung

[nobex 10]

Hallo Zusammen,

 

ich möchte an einem DNS-Server folgendes erreichen:

1. Anfragen nach den von ihm gehosteten Zonen sollen von ihm beantwortet werden -> kein Problem.

2. Anfragen nach einer bestimmte Domain sollen per Weiterleitung (egal ob Rekursiv oder nicht) von ihm beantwortet werden -> bedingte Weiterleitung eingerichtet

3. Anfragen nach anderen Domains sollen von ihm nicht beantwortet werden -> diese kann ich ihm allerdings nicht abgewöhnen :confused:

 

Ist diese Konfig nicht vorgesehen oder übersehe ich etwas?

 

Vielleicht kann mir jemand auf die Sprünge helfen

 

Danke und Gruß

Robert

[ChristianHemker 10]

Hallo,

 

um das zu ereichen, musst du die Root Hints löschen, ansonsten befragt der Server immer die DNS Root Server.

[nobex 10]

Also doch .... mir kam die Lösung irgendwie so radikal vor, dass ich sie ich sie gleich wieder abgetan hatte :rolleyes:

[Stephan Betken 43]

Rootzone erstellen geht aber auch. Neue Forward-Lookup-Zone ".".

[nobex 10]

Rootzone erstellen geht aber auch. Neue Forward-Lookup-Zone ".".

Dann kann ich aber keine Weiterleitung mehr konfigurieren

[Stephan Betken 43]

Dann kann ich aber keine Weiterleitung mehr konfigurieren

 

Tatsächlich. Habe ich nicht wirklich drauf geachtet. Schon wieder was gelernt.

[IThome 10]

Hm, sollte das nicht auch klappen, wenn Du für "Alle anderen DNS-Domänen" einen nicht existenten DNS-Server einträgst, für Deine aufzulösenden Domänen die bedingten Weiterleiter und dann den Haken "Keine Rekursion" setzt ? Zusätzlich ´ne Regel in der Firewall, dass nur die Weiterleiter vom internen DNS-Server via DNS angesprochen werden können ... Eventuell auch was mit Loose Wildcarding, so ähnlich wie hier ...

https://www.mcseboard.de/windows-forum-ms-backoffice-31/dns-alles-ip-webserver-umleiten-125369.html

[nobex 10]

Ich erläutere den Fall mal genauer:

Der DNS-Server hostet unsere externen Domains. In 2 Domains befinden sich CNAME-Aliase, welche auf Hostnamen in externen Zonen/Domains verweisen.

Nun gibt der Server, warum auch immer, nur eine sinnvolle Antwort, wenn er selber Anfragen an diese externen Domains absetzen kann und aufgelöst bekommt. Es würde ja theoretisch reichen, wenn er den Alias rausgibt und der Requester kümmert sich um den Rest selber.

 

Ok, morgen wird weitergetestet.

[IThome 10]

Und das klappt nicht mit gesetztem "Keine Rekursion" Haken ?

[nobex 10]

Und das klappt nicht mit gesetztem "Keine Rekursion" Haken ?

Nein. Ich denke, dieser Haken lässt den Server bei seinen Weiterleitungen die Rekursion nicht anzufordern.

[IThome 10]

Ich beziehe mich auf den Punkt 3 Deiner Frage. Dieser Haken sagt ja aus, dass ausschliesslich Weiterleiter benutzt werden und keine Root-Server ... Naja, vielleicht reden wir auch irgendwie aneinander vorbei :D

[nobex 10]

Ich beziehe mich auf den Punkt 3 Deiner Frage. Dieser Haken sagt ja aus, dass ausschliesslich Weiterleiter benutzt werden und keine Root-Server ... Naja

Dies war auch mein Gedanke. Also habe ich an der Stelle keinen Weiterleiter eigetragen und den Haken gesetzt mit dem Ergebnis, dass er weiterhin alles auflöst.

Die Konfig mit einem nicht existenten Server an dieser Stelle habe ich noch nicht getestet, klingt mir allerdings auch nicht sooo sauber.

Schön wäre, wenn man einfach den Eintrag 'Alle anderen DNS-Domänen' entfernen könnte, so eine bedingte Weiterleitung gesetzt wurde.

[IThome 10]

Ne, sauber ist das in der Tat nicht ... Allerdings wüsste ich nicht, dass man "Alle anderen DNS-Domänen" entfernen kann. Und wie sieht es mit Firewallregeln aus ?

[ChristianHemker 10]

Hallo,

 

wo ist denn das Problem?

Die Root Hints bekommt man ja leicht wieder, einfach die Cache.DNS Datei sichern. Man kann sich die auch von einem anderen Server holen.

[nobex 10]

Ich denke, ein Löschen der Root-Einträge ist wirklich der bessere Weg als den Server gegen die Firewall laufen zulassen oder auf nicht existente IPs zu verweisen.