steppe 10 Geschrieben 5. Juni 2008 Melden Geschrieben 5. Juni 2008 Hallo zusammen, ich bekomme die richtige Einstellung nicht hin. Folgende Einstellung hätte ich gerne: DNS Server nimmt nur Updates vom DHCP Server an " soll keine Einträge löschen. (Server werden manuell eingepflegt) Der DHCP Server soll nach Ablauf der Leasezeit die Einträge löschen. Das wars eigentlich schon. Ich habe als Anmeldedaten für den DHCP Server am DNS Server den Administrator hinterlegt. Gibt es da Sicherheitsbedenken ? Da Microsoft einen Domänenbenutzer vorschlägt. Wie verhindere ich nun dass die Clients sich registrieren ? Muss ich das über eine Gruppenrichtlinie machen oder kann ich das auch beim DNS Snapin konfigurieren? Info: W2k Server und W2k3 Server/W2k3 R2 Danke für eure Hilfe Grüße Stephan Zitieren
steppe 10 Geschrieben 6. Juni 2008 Autor Melden Geschrieben 6. Juni 2008 Nachtrag: Wie kann ich verhindern, dass mehrere Clients sich auf die gleiche IP Adresse registrieren ? Meistens Problem bei VPN Verbindungen. Grüße Stephan Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Ich habe nun auch noch die Berechtigungen auf die Forward Lookup Zone gesetzt. Authentifizierte Benutzer auf Lesen anstatt auf übergeordnete Objekte erstellen. Gibt es hierfür echt keine Lösung ? Grüße Stephan Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Wenn auf den Clients eingestellt ist, dass sie automatisch aktualisieren sollen, dann können sie es grundsätzlich auch. Bekommen diese Clients die Adressen vom DHCP und ist der so eingestellt, dass er an Stelle der Clients registriert, dann macht es eben der DHCP. Wird auf dem Client die Möglichkeit der dynamischen Registrierung abgeschaltet, dann macht es auch der DHCP-Server nicht für ihn. Bekommen die Clients ihre Adresse nicht vom DHCP und ist die dynamische Aktualisierung der LAN-Karte aktiv, dann wird der Client es selbst versuchen und auch erfolgreich sein, wenn die Zone entsprechend eingestellt ist und auf dem Client die richtigen Einstellungen vorgenommen wurden. Einen Administrator würde ich nicht nehmen, dann kannst Du die Anmeldeinformationen auch gleich ganz weglassen. Warum willst Du verhindern, dass Clients sich selbst registrieren und vor allem, von welchen Clients sprichst Du eigentlich ? Domänenmitglieder oder nur Nicht Domänenmitglieder oder keiner ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Es geht darum, dass ich eher wenige richtige als viele falsche Einträge im DNS haben möchte. Bisher sieht es so aus. Der DHCP Server registriert die Clients im DNS. Clients sind alles Domänenmitglieder. Allerdings ist bei jedem Client die Option angeklickt, dass er die Verbindung im DNS registrieren soll. Solang das in den Standorten passiert ist das kein Problem, allerdings bei mobilen VPN Benutzern sieht das anders aus. (VPN nicht über Microsoft Lösung) Ich habe Einträge wie: NB-ich 192.168.4.22 NB-du 192.168.4.22 NB-ersiees 192.168.4.22 da die VPN Firewall einfach die freigewordenen IPs gleich wieder vergibt. Da 3/4 unserer Benutzer mobil sind, sieht das auch entsprechend aus. Im Endeffekt habe ich nur 1 Ziel. Beim Verbinden auf ein Notebook über den Name will ich zu 95% auch immer das richtige treffen ;). Beim oberen Beispiel würde ich mich auf NB-du verbinden und vielleicht bei ich oder ersiees rauskommen. Da würde ich eher vorziehen diese Einträge erst garnicht zu haben. Danke und Grüße Stephan Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Ähm, die Firewall gibt die Adressen gleich wieder frei ? Die VPN-Clients verbinden sich also und bekommen dann die Adressen von der Firewall und nicht vom internen DHCP-Server ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Genau. Der DHCP Server hat damit nichts zu schaffen. Ist eine Linux basierte Firewall Appliance. Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Naja, der registriert ja auch wahrscheinlich nichts im DNS, gell ? Das machen die Clients dann selbst, richtig ? Was für eine DNS-Zone ist das ? Lässt sie auch unsichere Updates zu ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Hehe. Nein der registriert nichts. Hab nur sichere aktiviert. Ich hatte gedacht vielleicht gäb es die Option: Keine dynamischen Updates. (also nur vom DHCP Server) Aber leider gibts das nicht. Oder halt das Abstellen über die Berechtigungen (wo ich am wenigsten versteh warum das nicht klappt) Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Kann die Firewall so konfiguriert werden, dass sie Anforderungen nach Adressen zum Microsoft DHCP-Server weiterleitet, damit der verteilt, registriert und auch wieder löscht ? So wie ich es verstanden habe, klappt das ja wunderbar mit den Clients, die auch von dem Microsoft Server die Adressen beziehen. Was sind das für VPN-Clients ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Nein das geht nicht. Das wären ja dann auch 100 DNS Registers die Stunde. Es ist SSL VPN basierend auf OpenVPN. Mir würde es aber schon reichen wenn sie sich nicht eintragen könnten. Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Ich wiederhole noch mal, um sicher zu gehen, dass ich alles richtig verstanden habe :D ... Es existiert ein Microsoft DHCP-Server, der für die standortgebundenen Clients die DNS-Registrierung vornimmt und zwar die A- und PTR-Einträge. Für diese Registrierung benutzt er ein Administratoren-Konto (sollte er nicht, es sollte ein Domänenbenutzerkonto sein). Die VPN-Clients sind auch Mitglied der Domäne und registrieren ihre Adressen, die sie von der Firewall bekommen, selbst beim DNS-Server. Diese Notebooks melden sich aber nicht ausschliesslich per VPN an, sondern auch in den Standorten, wo sie dann eine Adresse vom Microsoft DHCP-Server bekommen (der dann auch für sie registriert). Soweit richtig ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Genau ! =) Und ich will unterbinden, dass die VPN Clients sich registrieren. Wenn möglich per Einstellung beim DNS Server wenn nötig per GPO. Zitieren
IThome 10 Geschrieben 18. Juni 2008 Melden Geschrieben 18. Juni 2008 Die dynamische Registrierung für die LAN-Karte kannst Du auf den Clients nicht abschalten, da der DHCP-Server dann für die Clients auch nichts mehr registrieren würde, wenn sie sich im Standort befinden. Man müsste jetzt wissen, wie das VPN auf der Clientseite funktioniert. Ich nehme an, dass ein virtueller Adapter erzeugt wird und diesem Adapter von der Firewall eine Adresse zugewiesen wird, die dann vom Client registriert wird (ich kenne das SSL-VPN von Watchguard, wo ein Tap-Driver installiert wird) ? Zitieren
steppe 10 Geschrieben 18. Juni 2008 Autor Melden Geschrieben 18. Juni 2008 Genau so ist es. Es gibt einen Netzwerkadapter der sich über DHCP von der Firewall eine IP Adresse holt. Wenn ich den Haken bei den LAN Verbindungen entferne. TCP/IP -> DNS > Adressen dieser Verbindung in DNS registrieren und beim DHCP Server einstelle DNS A- und PTR-Einträge immer dynamisch aktualisieren geht das nicht ? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.