DNS und Endian Firewall

[NorbertFe 2.034]

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.

[MurdocX 950]

vor 47 Minuten schrieb falkebo:

In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig?

 

vor 27 Minuten schrieb falkebo:

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall

Und wieviel Millisekunden oder KB willst du dadurch einsparen was diese Argumentation rechtfertigt? 

 

 

[lefg 276]

vor 3 Stunden schrieb Anderl27:

wegen Ausfallsicherheit?

 

Verfügbarkeit

vor 4 Stunden schrieb Anderl27:

wieso nur einer? wieso zwei? :) uns reicht der eine. bei 20 Arbeitsplätzen ist das sehr überschaubar.

 

Natürlich reicht bei 20 Clients für den Betrieb der Domäne ein DC aus. Warum einen zweiten DC vorhalten, die Kosten dafür tragen? Wie sieht es aber aus, falls der eine DC ausfällt? Was funktioniert dann noch, was funktioniert nicht? Was wird benötigt? Was wird nicht wirklich so dringend benötigt? Wie schnell kann ein neuer DC hergestellt werden, geeignete Hardware vorhanden, kann der DC aus der Sicherung hergestellt werden? Wirklich, getestet, funktioniert?

 

Ich bin Jahre mit je einem DC pro Domäne und Einrichtung ausgekommen, und dann fiel der am ungünstigsten stationierte aus. Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten, das anzupassen kostete mir die Osterferien.

 

 

bearbeitet 29. Juli 2019 von lefg

[falkebo 21]

vor 2 Stunden schrieb NorbertFe:

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.

Das mit der dynamischen Registrierung stimmt, da müsste man prüfen wie man das lösen könnte.

 

vor 1 Stunde schrieb MurdocX:

Und wenn die FW nicht erreichbar ist oder Probleme bereitet, dann geht nichts mehr oder nur halb. Das nenne ich mal einen Single-Point-of-Failure. Warum baut man sich so etwas freiwillig?

Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos.
1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen!

2. Das selbe Szenario kann dir auch mit einem DC passieren.

PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig.

[NorbertFe 2.034]

vor 1 Minute schrieb falkebo:

da müsste man prüfen wie man das lösen könnte.

Man trägt den dc als DNS bei den Clients ein. ;)

vor 40 Minuten schrieb lefg:

Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten

Naja das eine gehört zum anderen. ;)

[lefg 276]

vor 11 Minuten schrieb NorbertFe:

vor 51 Minuten schrieb lefg:

Schlimm war nicht nicht der Verlust des AD, schlimm war das die alten User-Datensärtze und SID nicht zum neuen AD passten

Naja das eine gehört zum anderen. ;)

 

Das habe ich wohl missverständlich geschrieben. Mit User-Datensätze sind gemeint die Homeverzeichnisse, mit den Arbeiten der Studierenden und Auszubildenden. (Fachschule für Betriebswirtschaft und Berufsakademie)

[Sunny61 806]

vor 3 Stunden schrieb falkebo:

Punkt 1: Du sparst dir den unnötig doppelten Traffic: Client - Firewall besser als Client - DC - Firewall

Wo ist unnötiger doppelter Traffic? Es ist nur 1 Station dazwischen, nichts unnötig und nichts doppelt.

[NorbertFe 2.034]

vor 17 Minuten schrieb lefg:

Das habe ich wohl missverständlich geschrieben.

Nö, ich hab dich schon verstanden. Aber sid und ad gehören nunmal zusammen.

[Nobbyaushb 1.471]

vor 5 Stunden schrieb Anderl27:

 

An der FW muss ich auch einen DNS hinterlegen, da hab ich dann aus Unwissenheit den Google DNS verwendet.

 

Funzen tut das, aber ein Kollege meinte das sei Schwachsinn, schon allein, dass ich am DC und an der FW externe DNS verwende sei Unfug.

Kann mir das bitte jemand erklären wieso das so ist?

Die Diskussion ist zwar interessant, hat aber inzwischen wenig mit der Frage des TO zu tun.

 

Das kann man meiner Meinung nach nicht so pauschal beantworten - das kommt auf die verwendeten Geräte und den Provider an.

 

Wenn die Firewall (wir haben SecurePoint und Lancom im Einsatz) DNS kann, steht der Name / die IP der Firewall im Forward der DNS Zone

 

@falkebo deine Ansicht ist teilweise nachzuvollziehen, aber nicht best Practice, und würde ich in einem AD nie machen

 

[daabm 1.354]

Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind.

 

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden.

[Tektronix 21]

Moin,

beim Dc im Interface solltest Du die IP des DC eintragen und nicht die Loopbackadresse.

[Nobbyaushb 1.471]

Nachtrag - hatte ich das Ipconfig /all übersehen oder noch nicht gepostet?

[MurdocX 950]

vor 15 Stunden schrieb falkebo:

In der Firewall trage ich dann eine Route ein, alles was auf die interne Zone geht, wird zu einem der verfügbaren DCs weitergeleitet.

 

vor 12 Stunden schrieb falkebo:

Entweder verstehe ich dein Argument gerade nicht ganz, oder es ist komplett nutzlos.
1. Um sowas zu verhindern, solltest du immer mindestens 2 DNS Server eintragen!

2. Das selbe Szenario kann dir auch mit einem DC passieren.

 

PS: Kann übrigens auch sein das die Firewall im HA läuft, dann ist das Argument erst Recht hinfällig.

Genau, 2 DCs auf den Clients eintragen anstatte eine Firewall. Von HA war hier ja nicht die Rede  

 

Gründe warum man das nicht macht, wurden ja genug genannt. 

[lefg 276]

vor 10 Stunden schrieb daabm:

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden. 

 

Nach den DC als DNS und weiteren internen DNS, nach den des ISP, den 8.8.8.8 und 8.8.4.4 als weitere externe DNS? Wäre das diskussionswürdig?

[NorbertFe 2.034]

Wer gern mehr Daten an Google schicken will für den sicher. Wobei dein "nach" zu klären wäre. Am Client würde ich das nicht empfehlen.