mc02000 10 Geschrieben 23. April 2009 Melden Teilen Geschrieben 23. April 2009 Hallo zusammen, folgendes: Netzaufbau: - 10 DC´s mit DNS und AD integrierten Zonen - 1x Radiusserver mit installiertem DNS Serverdienst in der DMZ Zenario: Unsere Remoteuser wählen sich per VPN bei uns ein. Die IP bekommen sie per fest definiertem IP Pool vom Radiusserver (kein direkter MS-DHCP-Serverdienst sondern intern über die Radiussoftware). So weit so gut. Damit ich nun über eine RDP-Verbindung auf das Remotesystem des verbundenen Users zugreifen kann, benötige ich die IP des Clients. Da ich jedoch über den Hostnamen arbeiten möchte benötige ich einen aktuellen DNS-Eintrag im System. Da ich jedoch den Radiusserver nicht zum DC machen möchte (steht in der DMZ) habe ich ein Problem. Bislang wird die Zone "meine Firma" nur auf DC´s repliziert und ist auch AD integriert. Damit diese DNS-Einträge überhaupt aktualisiert werden können, muss ich die Clientsystem (Hosts) in die AD-Gruppe "DNSUpdateProxy" nehmen, da in unserem normalen Netz der DHCP Server unsere Clients im DNS registriert. (Da der DHCP Server der Besitzer ist, muss ich diesen Umweg über die "DNSUpdateProxy" Gruppe machen.) Frage: Kann ich auf dem Radius eine primäre Zone für "meine Firma" einrichten die nicht AD integriert ist, aber trotzdem die DNS-Einträge im kompletten Netz aktualisiert? Client meldet sich über den Radius an --> Registriert sich im DNS des Radiusservers --> repliziert diesen sofort ins normale Netz auf DNS-Server (DC) --> DC repliziert die Einträge per AD-Replikation auf alle DC´s Eine sekundäre Zone habe ich angelegt und diese wird auch schön aktualisiert. Aber halt nur von den DC´s aus, da es ja nur eine Kopie ist. (Lesezugriff seitens Radiusserver). Eine einfache DNS-Weiterleitung auf einen DC hat leider nicht funktioniert. Auflösen vom Remoteclient auf Server im lokalen Netz war iO, aber die Remoteclients haben sich nicht registriert. Viele Dank für eure Ideen bzw. Lösungen. VG und einen schönen Abend. Michael ps. Bei meiner letzten DNS-Umkonfiguration waren plötzlich alle DNS-Einträge fort. Also nicht die Kerberos usw. Einträge sondern "nur" die normalen HostA Einträge. Gibt es noch eine andere Möglichkeit den DNS zu sichern als über dnscmd oder das fertige Skript "dnsdump"? Leider kann das Skript "dnsdump" nämlich nicht die Zone "meine Firma" auslesen, sondern nur meine anderen Zonen. Er findet irgendwie nicht den DC, obwohl ich das Skript dort aufrufe. Ob das jedoch wirklich die Ursache ist kann ich nicht sagen. Diese habe ich jetzt über dnscmd gelöst. Nur der Import ist aufwändiger und im K-Fall doch recht aufwändig. :-( Zitieren Link zu diesem Kommentar
mc02000 10 Geschrieben 4. Mai 2009 Autor Melden Teilen Geschrieben 4. Mai 2009 hmm, na dann werde ich die Frage etwas umformulieren. Kann ich einen primären DNS Server (keine AD integrierte Zone) mit einem DNS Server (AD integrierte Zonen (also ein DC)) synchronisieren? DNS-Einträge müssen in beide Richtigungen synchronisiert werden. OS: Windows 2003 R2 Viele Dank. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 5. Mai 2009 Melden Teilen Geschrieben 5. Mai 2009 Hi, Du musst auf dem DC Zonentransfers zulassen (Eigenschaften der Zone) und auf dem anderen DNS Server eine sekundäre Zone einrichten. Ggf. muss auf der FW zwischen LAN und DMZ noch der Traffic für DNS Zonentransfer zugelassen sein (TCP, Port 53). Normale DNS Queries nutzen auch Port 53, aber UDP. Christoph Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 23. März 2013 Melden Teilen Geschrieben 23. März 2013 Hallo Leute, Thema ist zwar schon ein wenig älter, aber habe mittlerweile einiges an Zeit investiert (google, Boardsuche, MS usw..) aber leider nichts wirklich konkretes gefunden: Wie würdet ihr Sicherheitstechnisch die Zonenübertragung an einen eigenen DNS in der DMZ einstufen? Übertragung natürlich via IPSEC gesichert, aber natürlich steht in der DMZ dann ein DNS der alle IPs bzw. Hostnamen der internen Server/Rechner "kennt". Wie handhabt ihr dies? Alles (bzw. das relevante) doppelt pflegen oder eben Übertragung? lg Martin Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 23. März 2013 Melden Teilen Geschrieben 23. März 2013 Moin, bitte eröffne beim nächsten Mal einen neuen Thread. Es ist nicht erwünscht, Threads mit neuen Fragen zu übernehmen. Schon gar nicht nach vier Jahren. Ein grundsätzliches Sicherheitproblem entsteht nicht, wenn eine interne DNS-Zone in die DMZ repliziert wird. Das tatsächliche Sicherheitserfordernis ergibt sich aus den Einträgen selbst. Wenn die schützenswert sind, haben sie nichts in einer DMZ zu suchen. Ist es denn überhaupt erforderlich, die ganze Zone in die DMZ zu übertragen? Und weitergehend: Braucht es überhaupt eine Replikation? Meist reichen in der DMZ doch sehr wenige Einzeleinträge aus, die sich üblicherweise auch selten ändern. Gruß, Nils Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 23. März 2013 Melden Teilen Geschrieben 23. März 2013 Hallo Nils, danke für die Antwort, oft ist es halt so das es wieder genau andersrum erwünscht ist, sprich für die selben/ähnlichen Themen nicht 100 Threads aufzumachen ;) Natürlich kann jemand der sich Zugriff auf diesen Server verschafft, und die DNS Einträge genauer Analysiert evtl. rückschlüsse ziehen welche IP zB der DC oder der DHCP hat, die Frage ist eben ob diese Info ansich einem Angreifer einen solchen "Mehrwert" bietet, oder ob eine solche Person welche es schafft sich Zugriff auf eine der Systeme zu verschaffen dann ohnehin auch an solche Infos kommt (in der DMZ stehen natürlich Server welche div. Dienste/Ports nach außen offen haben). Die ganze Zone wäre nicht erforderlich, aber ich glaube hier kann man nicht separieren oder? Es wäre halt "praktisch", da wir doch einige Zonen intern haben (2 Domains + die externe Domain wo interne Anfragen auf die Inside IP (eben DMZ) umgebogen werden). Wenn es kritisch ist natürlich "händische" Pflege, wenn man sagt nein ist eigentlich "egal" oder ist kein Risiko dann wäre natürlich automatisiert vorzuziehen. lg Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 24. März 2013 Melden Teilen Geschrieben 24. März 2013 Moin, meine Ansicht generell: Da du in der DMZ nur wenige Einträge brauchst, die üblicherweise noch dazu nahezu statisch sind, würde ich gar keine Replikation vornehmen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.