kalingo 0 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Internetadressen werden vom falschen DNS aufgelöst. Hallo zusammen, erstmal Vorweg, meine DNS Kenntnisse sind nicht so besonders. Vermutlich benötige ich auch deshalb Hilfe :-) Ich betreibe ein kleines AD ohne jegliche große Konfiguration. Es dient hier nur dafür, dass sich jeder überall anmelden kann. Vor einem halben Jahr habe ich von Server 2008R2 nach 2012R2 gewechselt. Die Domäne/Server wurde komplett frisch aufgesetzt. Da der DNS des Domaincontrollers als primärdns eingetragen ist (so war meines Wissens best practice), versucht er auch Internetadressen als erstes darüber aufzulösen. Mich stört nicht das er es Versucht, mich stört, das er es schafft. Ich bin mir ziemlich sicher das mein DNS auf dem DC unter 2008R2 nur lokale Adressen aufgelöst hat. Das Problem an der Sache ist, das der sekundäre DNS (welcher auch default gateways ist) Internetadressensperren via DNS Forwarding beherbergt die natürlich nun alle nicht mehr greifen, da der Domaincontroller meint auch Internetadressen aufzulösen. Beispiel mit falschem DNS-Server (DC Conntroller DNS Server): > facebook.com Server: UnKnown Address: 10.10.10.254 (IP von DC) Nicht autorisierende Antwort: Name: facebook.com Addresses: 2a03:2880:f127:83:face:b00c:0:25de 31.13.66.36 Beispiel mit richtigem DNS Server: > server 10.10.10.3 Standardserver: [10.10.10.3] Address: 10.10.10.3 > facebook.com Server: [10.10.10.3] Address: 10.10.10.3 Name: facebook.com Address: 127.1.1.1 > Die Quick und Dirty-Lösung ist vermutlich einfach das Gateways auf dem DC zu entfernen, dann war es das aber auch mit Internetkontakt (Windows Updates z.B). Vielleicht kann mir jemand ein paar hilfreiche Tips geben. Vielen Dank Tobias Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.677 Geschrieben 7. August 2017 Beste Lösung Melden Teilen Geschrieben 7. August 2017 Hi, du solltest am Windows DNS dein Gateway als Forwarder eintragen (Was ebenfalls Best Practice ist) und die DNS-Root-Server löschen bzw. deaktivieren. Dann solltest du an den Clients nur den DC als DNS nutzen und den sekundären DNS überall entfernen. Gruß Jan Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Was ist nochmal der "richtige" DNS-Server? Denn der arbeitet nicht richtig. Oder filtert absichtlich "facebook.com" mit falschen IP-Adressen? Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Ist der Sekundäre DNS ein weiterer DC oder der Router (oder sonst irgendwas)? Internetsperren macht man mit einem Proxy und nicht via DNS. Was machst du wenn der Nutzer die IP von facebook sich aufschreibt und diese im Browser eingibt? Zitieren Link zu diesem Kommentar
kalingo 0 Geschrieben 7. August 2017 Autor Melden Teilen Geschrieben 7. August 2017 (bearbeitet) Hallo Danke für eure Antworten. @testperson Dafür bräuchte ich irgendwie weitere Hilfestellung? Gibt es irgendwie eine Anleitung um deinen Vorschlag umzusetzen? Hatte von damals was mit "Bedingter Weiterleitung" im Kopf. Aber da hab ich schon gefummelt...der nimmt die 10.10.10.3 nicht mal als DNS an. @zahni @Dukel Domaincontroller mit DNS ist 10.10.10.254 Router mit DNS ist 10.10.10.3 Für lokale Namensauflösung soll er logischerweise den DC nehmen. Für Internetadressen nur den Router. Das Facebook auf die falsche IP aufgelöst wird ist so beabsichtig (siehe meine Beschreibung Sperrung via DNS Forwarding) und richtig. Leider nutzt er für die Namensauflösung von Internetseiten meistens den DC DNS, was dann die Sperrung umgeht. Ob jetzt ein Proxy die bessere Wahl wäre, lass ich mal dahingestellt. Dafür wären die anderen Einschränkungen die mir dadurch in meiner Privaten Umgebung entstehen zu groß. Für die Zukunft ist Filtern via DPI geplant, das kann der Router auch. Für den Moment, muss es so reichen wie es ist ...und vorallem hat es 3 Jahre (bis zum Wechsel auf 2012R2 als Server) die Sache gut gemacht. bearbeitet 7. August 2017 von kalingo Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Dann mach das von "Testperson". Trage Deinen Router als Forwarder im DNS ein. Und wie Dukel schrieb: Richtig macht man dass über einen Proxy. Dann müssen im LAN überhaupt keine Internetadressen aufgelöst werden (können). Nur beim Proxy... Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Das was du vorhast wird so nicht gehen. Nutze nur den DC und trag in diesem Forwarder ein (den Router). Wenn du unbedingt DNS sperren machen willst, dann setze diese im DNS Server auf dem DC um. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Ach ja, wenn man einige Domänen sperren will, im DNS von Windows einfach eine leere Zone "facebook.com" einrichten. Schon wird unter facebook.com nichts mehr gefunden... Zitieren Link zu diesem Kommentar
kalingo 0 Geschrieben 7. August 2017 Autor Melden Teilen Geschrieben 7. August 2017 (bearbeitet) Ich wunder mich nur, warumd as bei Server 2008R2 nie ein Problem war. Da lief es von Anfang an richtig :-/ Kann mir noch jemand verraten wo ich die entsprechende Forwarder-Sache finden kann? Bedingte Weiterleitung ist es scheinbar nicht. Wenn ich das richtig verstehe und die DNS anfragen für Internetseiten an den Router "forwarded" werden, können die Sperren auch weiterhin im Router bleiben,oder? bearbeitet 7. August 2017 von kalingo Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 (bearbeitet) Server -> Eigenschaften -> Weiterleitungen: Eintragen, Haken bei Stammhinweise... raus. Zu Deinen DNS-Sperren: Wenn Du meinst.. Es ist aber eleganter Adressen überhaupt nicht aufzulösen als mit einer ungültigen IP-Adresse, bearbeitet 7. August 2017 von zahni Zitieren Link zu diesem Kommentar
kalingo 0 Geschrieben 7. August 2017 Autor Melden Teilen Geschrieben 7. August 2017 @zahni du hast schon recht. ich glaube ich sträube mich auch nur ein wenig weil ich zu viel dann hier umstellen müsste. Der Router ist hier momentan halt leider das Zentrale Element, welches z.B auch für VPN und entsprechender Auflösung zuständig ist. Ich probiere es heute mal mit der Weiterleitung erst mal. Später wenn DPI greift, ,sind diese Filterungen per DNS eh überflüssig. Mich würde nur noch interessieren was Testperson mit "DNS-Root-Server löschen bzw. deaktivieren." im Zuge des forwardings meinte. Ihr beide habt davon nicht mehr gesprochen. Ist dieses notwendig und wenn ja, was muss ich dafür genau löschen? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 https://www.google.de/search?q=windows+dns+root+hints&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjO66WP38TVAhXFPxQKHQ5gBOAQ_AUICygC&biw=1920&bih=945#imgrc=4pnVfLVsQy_ApM: Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. August 2017 Melden Teilen Geschrieben 7. August 2017 Denk Haken raus, schrub ich doch? Lesen sollte man schon, was da in der GUI steht. Zitieren Link zu diesem Kommentar
kalingo 0 Geschrieben 7. August 2017 Autor Melden Teilen Geschrieben 7. August 2017 So, konnte es gerade testen. Standardserver: UnKnown Address: 10.10.10.254 > facebook.com Server: UnKnown Address: 10.10.10.254 Name: facebook.com Address: 127.1.1.1 Perfekt. Die erste Antwort war also schon die richtige und es funktioniert jetzt genau so, wie ich es mir vorgestellt habe. Ich danke euch, für eure schnelle Hilfe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.