Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

Win2k Server und DNS

der_flachwitzer / 7 Antworten / Baumansicht Nickles

Hallo!

Nach ewigen rumprobieren wende ich mich mit meinem Problem ans Forum:

Ich habe in der Firma die Aufgabe, einen Win2k-Domänencontroller aufzusetzen. (SP3 installiert)

Logische Konsequenz: ActiveDir installieren, DNS installieren.

Nun muss der Server für einige Sachen (Updates, Mails) für das Internet freigeschaltet werden. Trage ich aber Gateway und externen DNS-Server ein, stellt der Server haufenweise Anfragen an den externen Server, was die ISDN-Wählverbindung offenhält.

Mein Workaround: Benötigte Adressen in die \'hosts\' eintragen und externen DNS-Server nicht bekannt geben. Klappt soweit ganz gut.

Das Problem: Spätestens die Clients brauchen einen externen DNS-Server, sie sollen für die Internetnutzung konfiguriert sein.

Folge: Ich brauche einen internen und einen externen DNS-Server-Eintrag.

Dummerweise kommt man nicht mehr richtig ins Internet, wenn man den internen DNS-Server als ersten angibt (der das \'draußen\' nicht kennt) und es werden zu viele Anfragen nach draußen geleitet, wenn man den externen vorne anstellt.

Kann mir einer eine Lösung für dieses Problem nennen?

Besten Dank!
Stefan

HADU der_flachwitzer „Win2k Server und DNS“
Optionen

Hallo,
bei internen DNS die "." Domäne löschen und unter Eigenschaften/Weiterleitung die DNS-IP des Providers eintragen.
Bei den Clients nur noch den DNS der Windows-Domäne angeben.

Gruß HADU

der_flachwitzer HADU „Hallo, bei internen DNS die . Domäne löschen und unter...“
Optionen

Hi!

Von der Idee her nicht schlecht, aber mit Ethereal habe ich DNS-Abfragen abgefangen, die nach ldap_... suchten und bei einer Weiterleitung den Router in Aktivität gesetzt haben (was sich in einer doch recht teuren 'Standleitung' äußert ;-))
Desweiteren wurde oft nach SOA (Start of Authority) gesucht, was ebenfalls nach draußen geht.

Frage: Sind die Abfragen normal? Schließlich ist der SOA ja nicht der interne Server, da die '.' - Zone gelöscht wurde.

Die Einstellungen zu ActiveDir und DNS sind bisher komplett von Windows 2000 vorgenommen worden. Ich habe nur die Einstellung 'dynamische Aktualisierung' komplett eingeschaltet, was keine Probleme verursachen sollte (oder?).

Desweiteren handelt es sich bei dem externen DNS-Server um den Firmenrouter, eine Bianca X1200 hinter einer iptables-Firewall (zur Info, vielleicht hilft's ja).

Gruß,

Stefan

Teletom der_flachwitzer „Hi! Von der Idee her nicht schlecht, aber mit Ethereal habe ich DNS-Abfragen...“
Optionen

Wenn die ActiveDirectory-integrierte Zone "." weggelöscht wurde, sind übergeordnete DNS möglich. Falls ein funktionierender Gateway-Eintrag vorhanden ist, werden DNS-Server über den Gateway-Eintrag gesucht.

Das ist normal. Bei W2000 ist jedoch eine ActiveDirectory-integrierte Zone zu empfehlen.

Probier doch einfach mal Folgendes:
W2000 Server
DNS
Neue Zone
ActiveDirectory-integrierte Zone
Bezeichnung:
.
(Punkt)
Diese "."-Zone kannst Du ja bei Nichtgefallen jederzeit wieder weglöschen.
Dann ist aber Schluss mit DNS über den Gateway-Eintrag suchen, falls bei allen Computern ausschließlich die IP des ActiveDirectory-integrierte-DNS-Servers ordentlich bei den DNS-Einstellungen eingetragen wurde.

Wenn Du die Proxy-Einstellungen bei allen Computern bei den Eigenschaften von Internet einträgst, erfolgt die DNS-Internet-Namensauflösung über die Socks-Schnittstelle des Proxyservers. Voraussetzung ist, dass der Proxy-Server Socks4 oder Socks5 unterstützt, das machen übrigens die meisten Proxyserver.

Gruß
Teletom

der_flachwitzer Teletom „Wenn die ActiveDirectory-integrierte Zone . weggelöscht wurde, sind...“
Optionen

Danke für den Tip!

Problem ist nur: Unser Firmennetz ist ziemlich klein, und wir haben keinen Proxy installiert...

Gibt es eine Lösung ohne Proxy?

Und eine ganz andere Frage: Ist es bei Win2k üblich, dass der DNS-Server solche DNS-Abfragen (SOA, ldap_ ...) nach aussen stellt, oder habe ich da schon bei der Konfiguration Mist gebaut?

Stefan

Teletom der_flachwitzer „Danke für den Tip! Problem ist nur: Unser Firmennetz ist ziemlich klein, und...“
Optionen

Start of Authority-SOA Anfragen werden nur nach außerhalb gesandt, wenn die "."-Zone nicht existiert.

Du könntest eine ActiveDirectory-integrierte Zone "." wie oben beschrieben erzeugen. Es kann sein, dass das Internet über Router trotzdem funktioniert.

Gruß
Teletom

der_flachwitzer Teletom „Start of Authority-SOA Anfragen werden nur nach außerhalb gesandt, wenn die ....“
Optionen

Ich hab' den Haken gefunden...

Es existierte nebenher ja noch die 'alte' NT4-Domäne. Die DNS-Abfrage

SRV_ldap._tcp.salzbergen._sites.de._msdcs.CAT1

bezog sich eben auf diese NT4-Domäne (genannt CAT1), die ja noch gar kein LDAP unterstützt. Ich denke, dass deswegen die Abfragen nach draußen gingen.

Besten Dank für eure Hilfe!

Stefan

Teletom der_flachwitzer „Win2k Server und DNS“
Optionen

Oder
AktiveDir-integrierte Zone mit "." Domäne verwenden.
(GATEWAY-Eintrag kann gegebenfalls bei Nichtbenötigung raus)
Bei DNS nur DNS-IP der Windows Domäne eintragen.
Proxy-Server mit Socks-Schnittstelle verwenden.
Proxy bei Eigenschaften von Internet/Verbindungen/Einstellungen... eintragen.
Als Proxy HHproxy z.B. geeignet, funktioniert bei mir prima.

Gruß
Teletom