Jump to content

DNS: AD integrierte Zone und zusätzlichen DNS-SRV in der DMZ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

folgendes:

Netzaufbau:

- 10 DC´s mit DNS und AD integrierten Zonen

- 1x Radiusserver mit installiertem DNS Serverdienst in der DMZ

 

Zenario:

Unsere Remoteuser wählen sich per VPN bei uns ein. Die IP bekommen sie per fest definiertem IP Pool vom Radiusserver (kein direkter MS-DHCP-Serverdienst sondern intern über die Radiussoftware).

So weit so gut. Damit ich nun über eine RDP-Verbindung auf das Remotesystem des verbundenen Users zugreifen kann, benötige ich die IP des Clients. Da ich jedoch über den Hostnamen arbeiten möchte benötige ich einen aktuellen DNS-Eintrag im System.

Da ich jedoch den Radiusserver nicht zum DC machen möchte (steht in der DMZ) habe ich ein Problem.

Bislang wird die Zone "meine Firma" nur auf DC´s repliziert und ist auch AD integriert.

Damit diese DNS-Einträge überhaupt aktualisiert werden können, muss ich die Clientsystem (Hosts) in die AD-Gruppe "DNSUpdateProxy" nehmen, da in unserem normalen Netz der DHCP Server unsere Clients im DNS registriert.

(Da der DHCP Server der Besitzer ist, muss ich diesen Umweg über die "DNSUpdateProxy" Gruppe machen.)

 

 

Frage:

Kann ich auf dem Radius eine primäre Zone für "meine Firma" einrichten die nicht AD integriert ist, aber trotzdem die DNS-Einträge im kompletten Netz aktualisiert?

Client meldet sich über den Radius an --> Registriert sich im DNS des Radiusservers --> repliziert diesen sofort ins normale Netz auf DNS-Server (DC) --> DC repliziert die Einträge per AD-Replikation auf alle DC´s

 

Eine sekundäre Zone habe ich angelegt und diese wird auch schön aktualisiert. Aber halt nur von den DC´s aus, da es ja nur eine Kopie ist.

(Lesezugriff seitens Radiusserver). Eine einfache DNS-Weiterleitung auf einen DC hat leider nicht funktioniert. Auflösen vom Remoteclient auf Server im lokalen Netz war iO, aber die Remoteclients haben sich nicht registriert.

 

 

 

Viele Dank für eure Ideen bzw. Lösungen.

 

VG und einen schönen Abend.

 

Michael

 

 

ps.

Bei meiner letzten DNS-Umkonfiguration waren plötzlich alle DNS-Einträge fort. Also nicht die Kerberos usw. Einträge sondern "nur" die normalen HostA Einträge.

Gibt es noch eine andere Möglichkeit den DNS zu sichern als über dnscmd oder das fertige Skript "dnsdump"? Leider kann das Skript "dnsdump" nämlich nicht die Zone "meine Firma" auslesen, sondern nur meine anderen Zonen. Er findet irgendwie nicht den DC, obwohl ich das Skript dort aufrufe. Ob das jedoch wirklich die Ursache ist kann ich nicht sagen.

Diese habe ich jetzt über dnscmd gelöst. Nur der Import ist aufwändiger

und im K-Fall doch recht aufwändig. :-(

Link zu diesem Kommentar
  • 2 Wochen später...
  • 3 Jahre später...

Hallo Leute,

 

Thema ist zwar schon ein wenig älter, aber habe mittlerweile einiges an Zeit investiert (google, Boardsuche, MS usw..) aber leider nichts wirklich konkretes gefunden:

 

Wie würdet ihr Sicherheitstechnisch die Zonenübertragung an einen eigenen DNS in der DMZ einstufen? Übertragung natürlich via IPSEC gesichert, aber natürlich steht in der DMZ dann ein DNS der alle IPs bzw. Hostnamen der internen Server/Rechner "kennt".

 

Wie handhabt ihr dies? Alles (bzw. das relevante) doppelt pflegen oder eben Übertragung?
 

lg Martin

Link zu diesem Kommentar

Moin,

 

bitte eröffne beim nächsten Mal einen neuen Thread. Es ist nicht erwünscht, Threads mit neuen Fragen zu übernehmen. Schon gar nicht nach vier Jahren.

 

Ein grundsätzliches Sicherheitproblem entsteht nicht, wenn eine interne DNS-Zone in die DMZ repliziert wird. Das tatsächliche Sicherheitserfordernis ergibt sich aus den Einträgen selbst. Wenn die schützenswert sind, haben sie nichts in einer DMZ zu suchen.

 

Ist es denn überhaupt erforderlich, die ganze Zone in die DMZ zu übertragen? Und weitergehend: Braucht es überhaupt eine Replikation? Meist reichen in der DMZ doch sehr wenige Einzeleinträge aus, die sich üblicherweise auch selten ändern.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Nils,

 

danke für die Antwort, oft ist es halt so das es wieder genau andersrum erwünscht ist, sprich für die selben/ähnlichen Themen nicht 100 Threads aufzumachen ;)

Natürlich kann jemand der sich Zugriff auf diesen Server verschafft, und die DNS Einträge genauer Analysiert evtl. rückschlüsse ziehen welche IP zB der DC oder der DHCP hat, die Frage ist eben ob diese Info ansich einem Angreifer einen solchen "Mehrwert" bietet, oder ob eine solche Person welche es schafft sich Zugriff auf eine der Systeme zu verschaffen dann ohnehin auch an solche Infos kommt (in der DMZ stehen natürlich Server welche div. Dienste/Ports nach außen offen haben).

Die ganze Zone wäre nicht erforderlich, aber ich glaube hier kann man nicht separieren oder? Es wäre halt "praktisch", da wir doch einige Zonen intern haben (2 Domains + die externe Domain wo interne Anfragen auf die Inside IP (eben DMZ) umgebogen werden). Wenn es kritisch ist natürlich "händische" Pflege, wenn man sagt nein ist eigentlich "egal" oder ist kein Risiko dann wäre natürlich automatisiert vorzuziehen.

 

lg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...