Jump to content

DNS-Weiterleitung nur mit gateway?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich bin gerade dabei unser Netzwerk noch etwas besser abzusichern und erlaube den Servern per Firewall auf dem Router nurnoch auf bestimmte Ports zugreifen zu dürfen (z.B. Port 80 & 21 für die Updates unter debian etc.).

 

Nun bin ich bei unseren AD-Server angekommen. Auf diesen laufen auch die entsprechenden DNS-Server. Eine Weiterleitung für Hostnamen die nicht aufgelöst werden können habe ich auf unseren Router eingerichtet (auf diesem läuft auch ein DNS-Server). Daher habe ich mir gedacht, dass ich eigentlich das Standard-Gateway komplett entfernen kann. Allerdings funktioniert dann die Auflösung externer Hostnamen nicht mehr - doch wieso? Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen.

 

Was habe ich nicht beachtet? Was hat es mit den Servern unter Stammhinweise auf sich? Hier sind einige externe Adressen hinterlegt. Vlt. liegts ja darann?!

 

Danke für eure Hilfe,

Grüße Johannes

Link zu diesem Kommentar
Als Fehler gibt nslookup bei entferntem Gateway eine Zeitüberschreitung aus. Der DNS-Server wird an sich noch richtig aufgelöst (also der Reverse-Lookup) - nur der eigentliche (auch nur externe) Host kommt dann in den timeout. Ein nslookup von den AD-Server "über" den Router funktioniert einwandfrei - die Kommunikation sollte also auch stimmen.

Hi,

 

hier blicke ich noch nicht so ganz durch, könntest du dies noch einmal genauer beschreiben? Auf welchem Rechner wird nslookup ausgeführt und bringt dann den Fehler?

Link zu diesem Kommentar

Hallo zusammen,

 

der ganze von mir beschriebene Vorgang spielt sich auf einem Server ab (einer der das AD beherbert und dazu passend auch den DNS-Server).

Der DNS-Server auf diesem Server hat als Weiterleitungsserver für ihn unbekannte Zonen (also bei uns alle != Domäne) unseren Router eingetragen. Dieser hat ja dann ebenfalls wieder als Weiterleitungen die Provider DNS-Server eingetragen und kann somit dann z.B. mcseboard.de korrekt auflösen.

 

Also theoretisch erfolgt die DNS-Abfrage für das öffnen der Seite mcseboard.de bei uns so ab:

 

Client -> Server (AD, DNS [dieser verwaltet die Zone natürlich nicht selbst, daher Weiterleitung]) -> Router -> Provider DNS -> mcseBoardDNS-Server -> IP zurück an Client

 

Soweit klappt das bei uns auch schon seit Jahren einwandfrei. Beim Server ist momentan ein Gateway eingetragen (der Router). Dieses ist ja eigentlich überflüssig, da der Server (so dachte ich jedenfalls) keine direkte Verbindung ins Internet braucht. Entferne ich also nun das Gateway aus den Netzwerkeinstellungen, bekomme ich beim Ausführen von nslookup auf dem Server einen DNS-Timeout.

nslookup - ip.vom.server
-> DNS-Timeout beim auflösen der externen Adresse.

Führe ich auf dem Server aus

nslookup - ip.vom.router
-> DNS-Auflösung klappt ohne Probleme

Es liegt also nicht grundsätzlich an einer Verbindung zwischen Server und Router.

 

Daher muss der Windows-DNS-Server die Anfrage ja irgendwie nicht zum Router weiterleiten sondern gibt einen timeout raus.

Setze ich den Gateway wieder ein kann er korrekt auflösen.

 

Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen.

 

Ich hoffe jetzt ist alles klarer geworden.

Grüße Johannes

Link zu diesem Kommentar

Ich weiß jetzt allerdings nicht, woran das liegen kann. Vermutet habe ich jetzt mal die Stammhinweise, da dort als einziges IP-Adressen stehen, die nach außen verweisen.

Die dürften damit gar nichts zu tun haben. Ich teste das ganze mal eben in meinem Testlab durch. ;)

 

/edit:

 

Funktioniert wirklich nur mit eingetragenem Standardgateway!

bearbeitet von Necron
Link zu diesem Kommentar

Sicher funktioniert das auch ohne Gateway (warum auch nicht ?). Der Server fragt, wenn er nicht zuständig ist, rekursiv den konfigurierten Weiterleiter, der sich in diesem Fall im eigenen Netzwerk befindet. Dieser ist dann zuständig für die vollständige Namensauflösung. Wenn zusätzlich noch der Haken "Keine Rekursion für diese Domäne verwenden" gesetzt ist, werden auch keine Stammserver befragt.

Das ist dann wohl eher ein Problem des "DNS-Servers" auf dem Router ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...