Jump to content

DNS und Endian Firewall

Anderl27

Von Anderl27
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Anderl27 Explorer

Anderl27   1

Geschrieben
  • Autor
Geschrieben

Guten Morgen zusammen,

 

ui, da hab ich aber was losgetreten, aber sehr sehr sehr interessant. Wie unterschiedlich doch Vorgehensweisen sein können. Hier nun die angefragte ipconfig:

 

ich hab wie zuvor angeraten am DC/DNS bei der Weiterleitung die FW eingetragen

 

Microsoft Windows [Version 6.2.9200]
(c) 2012 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Administrator.MEINEDOMAIN>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DC2012
   Primäres DNS-Suffix . . . . . . . : MEINEDOMAIN.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : MEINEDOMAIN.local

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physische Adresse . . . . . . . . : 00-50-56-A2-09-17
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 172.16.16.157(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 172.16.16.243
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{7844C2D2-AD44-48AB-A760-04C02A2DD7C1}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter LAN-Verbindung* 6:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

C:\Users\Administrator.MEINEDOMAIN>

 

 

243 ist die FW

 

VG

Link zu diesem Kommentar
falkebo Fellow

falkebo   21

Geschrieben
Geschrieben
vor 11 Stunden schrieb daabm:

Die einfache "safe" Variante: Alle (!) internen Clients und Server nutzen die DCs als DNS. Die kriegen einen Forwarder auf das Gateway, wenn das einen anbietet, sonst halt direkt raus. Wer ne VM und Lizenz übrig hat, kann auch noch einen "DNS only" Server dazwischen hängen, aber nötig ist das nicht. Nur so ist ohne zusätzliche Aufwände gewährleistet, daß die AD-spezifischen SRV-Records immer korrekt vorhanden sind.

 

Mit externem DNS war das schon immer mehr oder weniger tricky. Ich würde mich nie dafür entscheiden.

Es ging in meinem Vorschlag ja auch nicht darum einen externen DNS Server einzusetzen welcher die Anfragen auf die Zone selbst beantwortet, sondern jegliche Anfragen auf die AD Zone zu den DCs weiterleitet. Dementsprechend hast du auch keine Probleme mit den AD-Spezifischen SRV Records, etc.

 

Der einzige Nachteil:

vor 16 Stunden schrieb NorbertFe:

Dynamische Registrierung funktioniert damit aber wahrscheinlich nicht, oder? Doppelter Traffic ist bei einem caching DNS Server auch nur begrenzt relevant. Ansonsten ja für/gegen malware sicher eine Möglichkeit.


Machen das seit Jahren bei einigen Kunden erfolgreich so, ohne Probleme.
Natürlich, wenns nach Microsoft geht, dann dürfte/sollte man so einiges nicht machen :)

 

 

Aber ich verabschiede mich dann auch an dieser Stelle, sonst werde ich noch angezündet :D

Link zu diesem Kommentar
Anderl27 Explorer

Anderl27   1

Geschrieben
  • Autor
Geschrieben

bzgl. meiner ursprünglichen Frage. 
das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist.

 

Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen?

das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt.

 

was meint ihr?

Link zu diesem Kommentar
Nobbyaushb Grand Master

Nobbyaushb   1.471

Geschrieben
Geschrieben
vor 43 Minuten schrieb Anderl27:

bzgl. meiner ursprünglichen Frage. 
das ganze Thema ist aufgekommen weil wir einen externen DNS-Security Dienst eigtl. nutzen. Dieser blockt eine Seite und ich wollte eine bedingte Weiterleitung einbauen, klappte aber nicht und mir wurde daraufhin gesagt meine Konfig sei Mist.

 

Ok, nun war es so, dass auf der FW die DNS-IP des Dienstleisters hinterlegt ist. aber wie soll dann das mit der bedingten Weiterleitung funzen?

das einzige was mir einfällt ist unsere 2. FW zu verwenden in dem Fall, die hat google. als dns hinterlegt.

 

was meint ihr?

Wo steht in einem Post von dir eine 2te Firewall?

 

Und die Ipconfig / all will ich immer noch sehen

 

Und nein, ein google dns hat da grundsätzlich nichts zu suchen, den stellt der Provider zur Verfügung - meistens 2 Stück.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...