Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 Guten Morgen zusammen, ui, da hab ich aber was losgetreten, aber sehr sehr sehr interessant. Wie unterschiedlich doch Vorgehensweisen sein können. Hier nun die angefragte ipconfig: ich hab wie zuvor angeraten am DC/DNS bei der Weiterleitung die FW eingetragen Microsoft Windows [Version 6.2.9200] (c) 2012 Microsoft Corporation. Alle Rechte vorbehalten. C:\Users\Administrator.MEINEDOMAIN>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : DC2012 Primäres DNS-Suffix . . . . . . . : MEINEDOMAIN.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : MEINEDOMAIN.local Ethernet-Adapter Ethernet 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : vmxnet3 Ethernet Adapter Physische Adresse . . . . . . . . : 00-50-56-A2-09-17 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 172.16.16.157(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 172.16.16.243 DNS-Server . . . . . . . . . . . : 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{7844C2D2-AD44-48AB-A760-04C02A2DD7C1}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter LAN-Verbindung* 6: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja C:\Users\Administrator.MEINEDOMAIN> 243 ist die FW VG Zitieren
falkebo 21 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor 11 Stunden schrieb daabm: Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind. Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden. Es ging in meinem Vorschlag ja auch nicht darum einen externen DNS Server einzusetzen welcher die Anfragen auf die Zone selbst beantwortet, sondern jegliche Anfragen auf die AD Zone zu den DCs weiterleitet. Dementsprechend hast du auch keine Probleme mit den AD-Spezifischen SRV Records, etc. Der einzige Nachteil: vor 16 Stunden schrieb NorbertFe: Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit. Machen das seit Jahren bei einigen Kunden erfolgreich so, ohne Probleme. Natürlich, wenns nach Microsoft geht, dann dürfte/sollte man so einiges nicht machen :) Aber ich verabschiede mich dann auch an dieser Stelle, sonst werde ich noch angezündet Zitieren
Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 bzgl. meiner ursprünglichen Frage. das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist. Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen? das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt. was meint ihr? Zitieren
Nobbyaushb 1.506 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor 43 Minuten schrieb Anderl27: bzgl. meiner ursprünglichen Frage. das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist. Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen? das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt. was meint ihr? Wo steht in einem Post von dir eine 2te Firewall? Und die Ipconfig / all will ich immer noch sehen Und nein, ein google dns hat da grundsätzlich nichts zu suchen, den stellt der Provider zur Verfügung - meistens 2 Stück. Zitieren
NorbertFe 2.155 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor 7 Minuten schrieb Nobbyaushb: Und die Ipconfig / all will ich immer noch sehen Zitieren
Nobbyaushb 1.506 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 (bearbeitet) ups... Und ja, bei DNS steht nicht die localhost sondern die 172.16.16.157 - wenn das ein DC mit DNS ist - sind das zwei, steht die IP des 2ten DC / DNS als erstes drin. Btw: ich lese nix von IPv6 - abgeschaltet, wenn ja, warum? bearbeitet 30. Juli 2019 von Nobbyaushb Zitieren
Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 Hi, bei DNS steht doch 127.0.0.1, der loopback drin. soll ich seine eigene hinterlegen? DNS-Server . . . . . . . . . . . : 127.0.0.1 hab nur den einen DC und DNS weiss grad ned was du meinst das mit der 2ten FW, hab ich erst nicht erwähnt, ich nutz die eher zum testen/lernen, ist ne cisco asa, ne alte Kiste, aber gut um zu lernen. Zitieren
Sunny61 816 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 (bearbeitet) vor 56 Minuten schrieb Nobbyaushb: Und ja, bei DNS steht nicht die localhost sondern die 172.16.16.157 vor 13 Minuten schrieb Anderl27: Hi, bei DNS steht doch 127.0.0.1, der loopback drin. soll ich seine eigene hinterlegen? bearbeitet 30. Juli 2019 von Sunny61 Zitieren
Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 Sunny, was willst Du uns damit sagen? Zitieren
NorbertFe 2.155 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Du liest die Antwort falsch. Zitieren
MurdocX 965 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Entfernen -> 127.0.0.1 Eintragen -> Deine DC IP-Adresse Zitieren
Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 (bearbeitet) axo, ok, mach ich jetzt gleich ....erl. aber mal zum Verständnis, wo liegt in diesem Fall der Unterschied? bearbeitet 30. Juli 2019 von Anderl27 Zitieren
Nobbyaushb 1.506 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 vor einer Stunde schrieb Anderl27: axo, ok, mach ich jetzt gleich ....erl. aber mal zum Verständnis, wo liegt in diesem Fall der Unterschied? Noch nirgends - aber du willst ja einen 2ten montieren... Und - BestPractice ist die richtige IP Zitieren
Anderl27 1 Geschrieben 30. Juli 2019 Autor Melden Geschrieben 30. Juli 2019 (bearbeitet) ok, got it, thx a million bearbeitet 30. Juli 2019 von Anderl27 Zitieren
daabm 1.386 Geschrieben 30. Juli 2019 Melden Geschrieben 30. Juli 2019 Manchmal ist es mit Norbert und Sunny schwer - die Antworten sind zwar fachlich korrekt, aber meist sehr "reduziert" Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.