Exchange Frontend mit DNS

[Christoph35 10]

Natürlich müssen die Firewall Regeln entsprechend angepasst werden.

 

Auf dem internen DNS musst du Zonentransfers zum EXFE erlauben und am besten auch eine Benachrichtigung für den EXFE konfigurieren.

 

Wenn Boise dann den Thread auch mal wirklich liest :rolleyes:

 

Christoph

[IThome 10]

Ja, sehe ich auch so ... ;)

[boise 10]

Hi,

sorry, bevor ihr mich hier auseinander nehmt, der fehler lag an meinem router der zwischen der dmz und intenem netz steht. das is nämlich ein cisco router und der ist einfach im rommon gebootet.

 

das mit den zonen vom dc beziehen hat jetzt funktioniert.

 

 

mfg

boise

[Christoph35 10]

Na dann ist s ja wunderbar, wenn die Namensauflösung denn jetzt auch intern und extern funktioniert :)

 

Christoph

[boise 10]

hi christoph35,

 

 

ich weiß das es langsam lässtig wird,

aber ich hab intern funktioniert die namensauflösung jetzt.

ich hab wie gesagt auf dem fe-ex eine sekundäre zone eingerichtet (forward und reverse ) das funzt.

aber jetzt hab ich noch das externe problem. ich hab dem dns meines fe-ex eine weiterleitung zum dns meines ISP eingerichtet, doch wenn ich jetzt nslookup auf meinem fe-ex starte erhalte ich keine namensauflösung.

 

mfg

boise

[Christoph35 10]

Steht zwischen dem EXFE und dem DNS Server eures ISP noch eine Firewall?

Wenn ja, ist auf dieser Firewall ausgehender DNS Verkehr vom ExFE zum DNS des ISP erlaubt?

 

Christoph

[boise 10]

dort steht eigentlcfih nur ein router und ich hab erstmal alle ports geöffnet.

muss ich denn auf dem fe-ex unter den einstellungen meiner netzwerkkarte den standardgateway und den bevorzugten dns entsprechend ändern?

da steht nämlich als standard gateway der router in richtung internes netz und als bevorzugter dns steht dort der dc der im internen netz steht.

 

wenn hier jetzt die daten ändere funktioniert aber die zonenübertragung der sekundären zone nicht mehr.

 

mfg

boise

[Christoph35 10]

Macht der Router Network Address Translation und habt ihr intern private IP Adressen in der DMZ und dem internen Netz? Also aus dem Bereich 10.0.0.0/8, 172.16.0.0-172.31.255.255 oder 192.168.0.0/16?

 

Dann solltest du dem Ex. Fe eine route ins interne netz geben (mit route add -p) und das DG zum externen Router zeigen lassen.

 

Christoph

[boise 10]

hi

sorry aber was meinst du mit route add-p? einen verweis im dns server?

was ist mit der abkürzung dg gemeint??

 

mfg

boise

[Christoph35 10]

DG= Default Gateway

 

"route add -p ..." brauchst du, um dem ExFE den Weg ins interne Netz zu weisen, wenn das DG nach extern weist.

 

Nehmen wir mal an, der Ex FE hat die IP 172.16.16.15, Subnetzmaske 255.255.255.0

Der Router hat die IP 172.16.16.1 in der DMZ und 192.168.50.1 im internen Netz und der Exchange BE hat 192.168.50.15.

 

Wenn du jetzt das Default Gateway (in dem falle bisher die 172.16.16.1) umbiegst auf den Router nach draußen (meinetwegen 172.16.16.2), können der ExFE und der ExBE nicht mehr miteinander reden.

 

Deshalb musst du an der Kommandozeile den Befehl

route add -p 192.168.50.0 mask 255.255.255.0 172.16.16.1

eingeben, um die Kommunikation aus der DMZ ins interne Netz vom ExFE zum ExBE wieder zu ermöglichen.

 

Wenn du kurz was dazu sagst, wie euer Netz gebaut ist, kann ich dir vielleicht auch konkret für dein Netz was dazu sagen .

 

Christoph

[boise 10]

So, hier mal eine auf die schnelle erstellte Visio Zeichnung mit der topologie meines netzwerks

 

 

 

der SDSL router hat die IP 192.168.2.5 255.255.255.248

der Cisco router hat in dmz die ip 192.168.2.6 255.255.255.248

-im internen netz hat er die ip 192.168.1.62 255.255.255.192

der Ex fe hat die ip 192.168.2.1 255.255.255.248

der EX BE hat die ip 192.168.1.2 255.255.255.192

der dc hat die ip 192.168.1.1 255.255.255.192

 

 

mfg

boise

[Christoph35 10]

Danke, auch wenns ohne IP-Adressen ist... ;)

/edit: hat sich erledigt...

 

Ok, du gibts dem ExFE als Default GW den SDSL Router und trägst auf dem ExFE eine Route ins interne Netz mit dem Cisco Router als Gateway ein (mit dem route add Befehl, wie oben beschrieben).

 

Der ExFE sollte als primären DNS sich selbst haben, eine sekundäre Zone eurer internen DNS Zone(n) aufweisen und für alle anderen DNS Zonen forwarding zum ISP DNS machen. Wenn der SDSL Router DNS Anfragen weiterleiten kann (und das können die meisten DSL Router), kannst du auch die IP des SDSL Routers für das forwarding angeben.

 

Am Rande gefragt: Wie lösen eigentlich die Clients im internen Netz Internet-Namen auf?

 

Christoph

[boise 10]

hi

hab die ips noch nachgetragen

[Christoph35 10]

Also: ip conf. für den exfe:

IP: 192.168.2.1

Mask: 255.255.255.248

DG: 192.168.2.5

 

Dann route add -p 192.168.1.0 mask 255.255.255.192 192.168.2.6

 

Als forwarding adresse gibts du dann die 192.168.2.5 an (oder direkt die vom ISP DNS).

 

Christoph

[boise 10]

juhu das funktioniert!

danke für die posts!

der ex-fe kann jetzt intern und extern namen auflösen.

allerdings kennt er seinen eigenen server namen nicht wenn ich nslookup mache.

ich kann den server namen jetzt auch nicht in die zonen eintragen, da diese ja direkt von meinem dc bezogen wird. wie kann ich das problem lösen?

 

 

mfg

boise