Helmuth 0 Geschrieben 6. Januar 2023 Melden Teilen Geschrieben 6. Januar 2023 Hallo, ich stehe vor folgenden Problem. Ich habe hier eine Menge an Windows-Clients und diese hängen in einer Domäne. Bis zu letzt war es so, dass jeder Client als DNS den DC eingetragen hatte und der DC-DNS alle DNS-Anfragen über das PiHole weiterleitete und somit konnte ich all die tolle Funktion des Werbe-Filters sehr gut nutzen. Doch nun ändert sich die Domäne und ich bin KEIN Admin mehr auf diesem Server. Mein Herausforderung: Da sich jetzt folglich auch der DC-DNS ändert, kann ich das PiHole nicht mehr nutzen. Denn sobald ich das PiHole als prim.DNS in Windows eintrage, kann ich mich nicht mehr in Domäne anmelden. Daher meine Frage: Wie könnte ich es lösen, dass das PiHole als prim.DNS eingetragen wird und ich mich trotzdem in der Domäne anmelden kann? Und ja klar, das PiHole leitet alle Anfragen weiter - aber es nützt nix, der DC mag mich dann einfach nimma. Mir ist klar, dass meine Anfrage sehr PiHole-Lastig ist - aber es geht mir dabei viel mehr das Verständnis um die DNS-Konfikuration betreffend Domänen-Anmeldung und DNS. danke Helmuth Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. Januar 2023 Melden Teilen Geschrieben 6. Januar 2023 (bearbeitet) Moin, die kurze Antwort: Vergiss es. AD-Clients funktionieren genau dann gut, wenn sie den DC als primären DNS ansprechen. Die weitere Namensauflösung geht dann vom DC aus. Wenn du künftig nicht mehr Admin bist, ist ja jemand anderes für das AD zuständig. Der würde es auch kaum gut finden, wenn du einfach mal die Namensauflösung manipulierst. Also löse das mit der neuen Administration gemeinsam. Gruß, Nils PS. abgesehen davon, würde ich eine Heimlösung wie PiHole auch niemals für ein Unternehmen einsetzen, das auf das Funktionieren der Rechner angewiesen ist. bearbeitet 6. Januar 2023 von NilsK 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 6. Januar 2023 Melden Teilen Geschrieben 6. Januar 2023 (bearbeitet) Moin, im Grunde bin ich bei @NilsK, würde beide Teile der Aussage jedoch gern etwas abschwächen: AD-Member funktionieren mit einem Third-Party-DNS wunderbar, wenn dieser für die AD-relevanten Zonen mein-ad.de und _msdcs.mein-ad.de unter keinen Umständen autoritative Antworten ausgibt und auf NS und SOA die Domain Controller zurück meldet alle Anfragen auf diese Zonen ungefiltert und unverändert an Domain Controller weiterleitet Und was "PiHole als Heimlösung" angeht... Nun, die Lösung besteht aus Hard- und Software. Dass ein Raspi als zentraler DNS-Server im Business-Umfeld keinen Platz hat, ist unstrittig. Aber PiHole ist ja auch nicht an Raspi gebunden, sondern kann auf einer VM oder auf einem x86 Commodity-Server ausgeführt werden. Die Software aber basiert auf denselben Standard-Technologien wie jeder andere DNS-Filter, inklusive solcher, die in Firewalls namhafter Hersteller verbaut sind. bearbeitet 6. Januar 2023 von cj_berlin 1 Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 6. Januar 2023 Melden Teilen Geschrieben 6. Januar 2023 Es scheint zu funktionieren, wenn man die Forwarder konfiguriert: https://www.reddit.com/r/homelab/comments/kpyqxw/setting_up_active_directory_with_pihole_help/ Zu meinem Erstaunen scheint das gar keine so exotische Konfiguration zu sein. In den Foren gibt es Leute, die Pi-Hole redundant als VM betreiben und auch die Platzierung vor den DCs scheint üblich zu sein. (Da es sonst nicht sieht, von welchem Client eine Anfrage kommt und somit keine unterschiedlichen Filtersets angewendet werden können.) Bezüglich Stabilität hätte ich wenig Bedenken, da als Resolver das viel verwendete dnsmasq zum Einsatz kommt. Bedenken hätte ich eher, dass bei allzu forschem DNS-Blocking mehr Supportanfragen kommen, weil Apps oder Websites nicht mehr funktionieren, ohne eine Meldung zu zeigen. 1 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. Januar 2023 Melden Teilen Geschrieben 6. Januar 2023 Moin, das mag alles sein, aber ich bitte den Zusammenhang zu berücksichtigen. Anscheinend ist der TO nicht mehr Herr der Konfiguration. Da macht man so einen Umbau nicht im Alleingang, sondern allerhöchstens gemeinsam mit den zuständigen Admins. Gruß, Nils 4 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 12. Januar 2023 Melden Teilen Geschrieben 12. Januar 2023 Am 6.1.2023 um 12:51 schrieb NilsK: die kurze Antwort: Vergiss es. AD-Clients funktionieren genau dann gut, wenn sie den DC als primären DNS ansprechen. Die weitere Namensauflösung geht dann vom DC aus. Negativ... Dem AD-Client (und auch den DCs) ist es völlig wurscht, wo ihr DNS liegt. Wichtig ist nur, daß dort alle erforderlichen Subzonen und SRV-Records korrekt registriert sind. Hier im Forum sind alle noch viel zu sehr auf AD-integriertes DNS gepolt Wenn man dem Pihole die DNS-Einträge der DCs nahebringen könnte, wäre das kein Problem. Hab ich aber auch noch nicht geschafft - hier laufen die HINTER dem AD-DNS, nicht davor. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 12. Januar 2023 Melden Teilen Geschrieben 12. Januar 2023 Moin, Als Dienstleister bleibe ich dabei, dass das die beste kurze Antwort ist. Für Spezialfälle gibt es längere Antworten, die aber viel mehr Sorgfalt erfordern. Und mit der habe ich nach 25 Jahren als Dienstleister eben so meine Erfahrung. Gruß, Nils 3 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.