bLUEaNGEL 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Hallo zusammen, Euer Rat ist gefragt - irgendwie komme ich da nicht weiter bzw. möchte ungern in einer produktiven Umgebung am DNS "einfach einstellen"... Folgende Situation: User sollen Adressen, die einen externen DNS-Suffix haben, von "innen" mit einer internen Adresse auflösen - extern wird diese natürlich bereits mit einer externen Adresse aufgelöst. Also z.B. so: system.company.com => gegen den internen DNS soll mit einer internen IP aufgelöst werden => gegen den externen DNS soll mit einer externen IP aufgelöst werden Intern haben wir aber eine andere Lookup-Zone z.B. company.local Wie löst man so etwas? Hier soll nicht mit internem Suffix gearbeitet werden also nicht mit system.company.local.... Habt Ihr da eine Lösung oder so etwas schon einmal gemacht? Dank Euch und bis bald Euer bLUEaNGEL Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 zwei getrennte DNS Server musst du dazu dann machen. Du kannst einen DNS Server in Windows ja auf einen bestimmten IP Bereich binden, von dem er Anfragen entgegennehmen soll und wo er antwortet. Dummerweise kann man auf einem Windows auch nur einen DNS Server laufen lassen...klar, gibt ja auch nur einmal den Port 53. Entweder also auf dem eigentlichen Server einen virtuellen Server laufen lassen der eine eigene IP auf seinem virtuellen Interface hat und die dann bei allen internen Clients als DNS eintragen (geht über DHCP ja schnell) und den anderen normal für die externen IPs weiterlaufen lassen, oder eben komplett zwei eigene Server, wo man dann auch etwas mehr Spielraum hat, ich weiß ja nicht, wie euer Netzwerk aussieht und in welcher Form von außen und innen Zugriff besteht. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Gibt es diesen Server intern und extern oder ist es derselbe Server, der bei Euch intern steht und eben auch vom Internet aus erreichbar ist ? Wenn es nur um diesen einen Server geht, dieser intern steht und der z.B. wegen eines offiziellen Webzertifikates mit der richtigen URL angesprochen werden muss, dann erstelle Dir eine Zone system.company.com und füge dieser Zone einen Host zu, der KEINEN Namen hat, nur die interne IP-Adresse. So ist sicher gestellt, dass nur dieser Server mit einer internen IP von innen aus angesprochen wird, alle anderen Hosts der Domäne company.com werden über den externen DNS-Server aufgelöst. Wenn es um mehrere Adressen geht, kann auch eine Zone company.com erstellt werden, der dann die entsprechenden Hosts mit Namen zugefügt werden. Aber kläre uns erstmal auf, was bei Dir überhaupt Sache ist und was genau Du vor hast. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 dann erstelle Dir eine Zone system.company.com und füge dieser Zone einen Host zu, der KEINEN Namen hat, nur die interne IP-Adresse. ist zwar Korintenzählerrei, aber wenn man einer Zone direkt eine IP zuweist ist es identisch als wenn man einfach der Zone "company.com" einen Host "system" mit der IP zuweist. Die Zonen in der DNS Verwaltung erleichtern doch lediglich die Verwaltung mehrerer Hosts und Subdom in einer Domäne :) Und das Topic hab ich so verstanden, dass es ein Netzwerk mit einem DNS gibt, der von außen und innen erreichbar ist und für Zugriff aus dem Internet soll die Domäne auf einen externen Server oder so aufgelöst werden und für interne Zugriffe auf den internen Server... na warten wir mal ab, was blauer Engel sagt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 ist zwar Korintenzählerrei, aber wenn man einer Zone direkt eine IP zuweist ist es identisch als wenn man einfach der Zone "company.com" einen Host "system" mit der IP zuweist. Falsch ! Erstelle ich eine Zone company.com, ist der interne DNS-Server authoritativ, also für ALLE Hosts dieser Zone. Habe ich nur einen weiteren Server extern, z.B. WWW, müsste ich auch diesen zur Zone zufügen und alle weiteren ebenso. Anderenfalls können diese Namen nicht aufgelöst werden. Erzeuge ich eine Zone system.company.com und weise ihr eine interne IP-Adresse zu, ist der Server nur für diese Zone zuständig, er ist also nur bei Anfrage nach system.company.com zuständig. Für ALLE anderen Hosts der Domäne company.com ist er nicht zuständig, schickt also entweder zur Root oder zum Forwarder ... Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 das ist was anderes...du hattest oben ja von einem einzelnen Server geschrieben und wenn man auf einem DNS Server eine weitere Zone zu einer bestehenden hinzufügt, dann ist es ja so wie ein weiterer Host, das meinte ich oben auch. Klar, wenn man nun eine Weiterleitung macht und einen zweiten DNS Server aufsetzt für eine eigene Zone, dann ist es wie von dir beschrieben :) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 Ich rede natürlich nur von einem DNS-Server, der intern steht und eine weitere Zone wie beschrieben bekommt. Die Lösung setzt voraus, dass der Client nur die interne Adresse mit diesem Namen anspricht und nicht auch die externe mit gleichem Namen. Die Internetuser sprechen also einen externen DNS-Server an, der diese Zone hostet und die öffentlichen IPs rausgibt. Die internen Benutzer sprechen den internen DNS-Server an, der entweder die die gleiche Zone wie der externe DNS-Server hat oder eben den FQDN als Zone. Ich frage mich, wie Du das mit 2 internen DNS-Servern lösen willst ... edit: so wie hier ist es gemeint http://www.mcseboard.de/windows-forum-ms-backoffice-31/dyndns-org-rechner-eigener-dns-zone-139391.html Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 9. Oktober 2008 Melden Teilen Geschrieben 9. Oktober 2008 ich hätte da einfach eine DMZ oder so gemacht und den internen DNS Server mit zwei Netzwerkkarten ausgerüstet für das interne und DMZ Netz....er nimmt aber nur DNS Anfragen von intern entgegen kann aber trotzdem Zonentransfers oder so mit dem externen machen, insofern es Zonen gibt, die bei beiden gleich sind. Wenn der interne nur eine Zone hat und keine Transfers braucht, kann man in natürlich auch gleich rein ins interne Netz stellen. Ich weiß ja halt auch nicht, wie das Netz aussehen soll und welche Zonen nun extern und welche intern benötigt werden. Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 10. Oktober 2008 Autor Melden Teilen Geschrieben 10. Oktober 2008 Hallo zusammen, wow - mit soviel Resonanz hätte ich nicht gerechnet - Euer Tipp, eine Zone für den Host zu erstellen war goldwert - ist genau das, was wir haben wollten und funktioniert einwandfrei - Tausend Dank dafür. Wir haben also nun dies hier gemacht: auf internem DNS die Zone: host.company.com mit einem leeren Host erstellt, der die interne IP besitzt Nochmals Danke - wirklich klasse. Euch ein schönes Wochenende bLUEaNGEL Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. Oktober 2008 Melden Teilen Geschrieben 10. Oktober 2008 schön das es funktioniert. Nur wäre es für alle anderen hilfreich zu wissen, wie nun eure Struktur aussieht? Sonst weiß ja keiner, ob nicht doch ein anderer Vorschlag vllt richtig gewesen wäre oder so. Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 10. Oktober 2008 Autor Melden Teilen Geschrieben 10. Oktober 2008 oh 'tschuldigung - das stelle ich gerne dar: LAN DNS1 => hier ist eine Zone "company.local" und nun eine neue Zone "host.company.com" dort wurde ein leerer Host-Eintrag mit der internen IP für diesen Host in der DMZ --------------- DMZ DNS2 => hier ist eine Zone "company.com" mit hosts....z.B. host = externe IP host --------------- anfrage von außen nach "host.company.com" Antwort mit externer IP anfrage von innen nach "host.company.com" Antwort mit interner IP ########## Somit muss der User sich nicht mehr zwei Adressen für einen Dienst merken.... (hoffe ich hab die Umgebung so dargestellt - oder?) Bis bald bLUEaNGEL Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. Oktober 2008 Melden Teilen Geschrieben 10. Oktober 2008 der host existiert aber trotzdem nur einmal in der DMZ oder gibt es noch zwei Hosts? Weil wenn er in der DMZ ist, sollte er doch eh nur eine IP haben...ich dachte jetzt, ihr hätte in der DMZ einen Host wo von intern drauf zugegriffen werden soll und zusätzlich auf einem Server mit besserer Anbindung ist der eigentliche Host, der von überall erreichbar sein sollte, das wäre irgendwie sinnvoll. Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 10. Oktober 2008 Autor Melden Teilen Geschrieben 10. Oktober 2008 richtig - den Host gibt es nur einmal in der DMZ - nur wollen wir nicht, dass von "innen" ein Host mit der externen IP aufgerufen wird (aus Routinggründen...) Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. Oktober 2008 Melden Teilen Geschrieben 10. Oktober 2008 achso...ok, dachte nicht dass ihr in der DMZ externe IPs routet, hatte ich so noch nicht erlebt :X nagut, dann funktioniert es so ja doch ganz gut. Zitieren Link zu diesem Kommentar
bLUEaNGEL 10 Geschrieben 10. Oktober 2008 Autor Melden Teilen Geschrieben 10. Oktober 2008 einwandfrei klappt es :-)) so kann man entspannt ins Wochenende gehen :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.