UTM9 mit Windows Server 2012 R2 -> DNS Problem

Was hast Du denn beim DHCP-Server für einen DNS-Server eingestellt? Per Default gibt sich die UTM selbst als DNS-Server an, was mangels 'Allowed Networks' nicht funktionieren würde.

Da die UTM den DNS-Forwarder auf den 2012R2 gesetzt hat ist die Variante mit dem Home.local Netz unnötig. Diesen Eintrag bräuchtest Du nur dann, wenn der DNS-Forwarder woanders hin zeigt.

Ich nehme mal an, es handelt sich um eine Testumgebung und der 2012R2 läuft nur als VM auf irgndeinem Rechner? Weil sonst würde es eher keinen Sinn machen, ihn nicht auch den DHCP-Server machen zu lassen.

Wie ist der DNS-Server auf dem 2012R2 konfiguriert? Falls dort irgendeine Weiterleitung konfiguriert ist würde ich den Spieß umdrehen... auf der UTM die Nutzung vom DNS Service für das interne Netz erlauben, den Forwarder auf einen externen DNS konfigurieren (z.B. 8.8.8.8/8.8.4.4) und den DNS auf dem Windows-Server an di Sophos weiterleiten. DANN wiederum bräuchte die Sophos die bedingte Weiterleitung für Home.local auf den internen DNS, um interne Hostnamen aufzulösen.

Hallo Kerbora,

danke für die schnellen Info´s. Ja bin noch ONLINE und versuche es irgendwie zum laufen zu kriegen. Vorab Internet surfen funktioniert soweit.

zu 1: Beim DHCP der UTM habe ich den DNS Server (DC) eingetragen.

zu 2: Bin aktuell erst zur UTM gewechselt und stelle das eigene Netzwerk um. Nein ist ne Physische Maschine.

Zur Erklärung habe die FB 7490 nur noch als VOIP Anlage und am Port 4 Exposed Host zur UTM. DHCP ist aus. Vorher hatte die FB den DHCP geliefert, lief so am besten und Reibungslos.

Klar könnte der DC den DHCP Dienst übernehmen. Nur wie würde dann die Konfiguration in der UTM aussehen ( HOST Konfig ?), sorry habe evtl. zur späten Stunde nen Denkfehler.

zu 3: An dieser Stelle hänge ich etwas, würde nslookup dann den DC als Standard zeigen ?

Danke an der Stelle für Deine Bemühungen. 

Hallo Kerbora,

danke für die schnellen Info´s. Ja bin noch ONLINE und versuche es irgendwie zum laufen zu kriegen. Vorab Internet surfen funktioniert soweit.

zu 1: Beim DHCP der UTM habe ich den DNS Server (DC) eingetragen.

zu 2: Bin aktuell erst zur UTM gewechselt und stelle das eigene Netzwerk um. Nein ist ne Physische Maschine.

Zur Erklärung habe die FB 7490 nur noch als VOIP Anlage und am Port 4 Exposed Host zur UTM. DHCP ist aus. Vorher hatte die FB den DHCP geliefert, lief so am besten und Reibungslos.

Klar könnte der DC den DHCP Dienst übernehmen. Nur wie würde dann die Konfiguration in der UTM aussehen ( HOST Konfig ?), sorry habe evtl. zur späten Stunde nen Denkfehler.

zu 3: An dieser Stelle hänge ich etwas, würde nslookup dann den DC als Standard zeigen ?

Danke an der Stelle für Deine Bemühungen. 

Wenn der DNS-Server sauber konfiguriert ist dann ja ;-)

Sollte aber auch mit der UTM als DHCP-Server so klappen.

Häufige Stolperfalle ist beim 2012R2 ein falscher DNS-Eintrag beim IPv6 Adapter (::1 oder so, einfach auf Automatisch umstellen). Beim IPv4 muss 127.0.0.1 stehen oder aber seine eigene LAN-IP. Dann am Besten dort mit nslookup anfangen, wenn er selbst sauber auflöst dann vom Client weiter probieren.

Falls DHCP nicht auf der UTM: wichtigen Maschinen oder Diensten (NAS, Drucker, usw.) würde ich ohnehin eine DHCP-Reservierung oder sogar eine statische IP verpassen, dann entfällt die Sache mit dem 'wie lege ich die Hosts auf der UTM an', Du legst dann einfach eine Host Definition für jede entsprechende IP an. Die Definition kannst Du dann bei NAT- oder Firewall-Regeln benutzen. Alles, was unter die Kategorie 'normaler Standardclient' fällt würde ich mit der Definition 'LAN-Interface der UTM (Network)' erschlagen, braucht man ja eigentlich nur bei ausgehenden Firewallregeln.

Habe bei mir eine FB Cable als Router, die UTM ist mit dem WAN-Interface an der Fritte und dort als Exposed Host konfiguriert, also eigentlich wie bei Dir. Auf dem WAN-Interface hängt noch eine zusätzliche IP mitsamt DHCP-Server, um das WLAN der Fritzbox weiterhin nutzen zu können, den Traffic aber durch die Sophos zu leiten. Je nachdem, was Du mit dem Win-Server alles anfangen willst (AD?) würde ich eher diesem die 'Netzwerkdienste' wie DHCP und DNS anvertrauen und die Sophos autark davon arbeiten lassen oder maximal als Zwischenstation beim DNS-Thema.

Gruß

Kevin

Ich habe hier mal einen Ausschnitt von der Konfig des DNS auf dem DC.

Die Reverse Lookupzone ist leer !

Soweit funktioniert vom client aus ein ping "PC-Name" = IP Adresse.

Ein nslookup auf dem client zeigt unverändert Standardserver= unknown.

Ein nslookup auf dem Server zeigt Standardserver= localhost.

In der Netzwerkumgebung sehe ich alle clients bis auf den Server, der ist nicht sichtbar !

Werde das Gefühl nicht los das mit dem DNS hier was schief läuft. Habe leider noch nicht herausgefunden was es ist. 

Für Tipps wäre ich dankbar.

Vielen Dank Kerobra für die Aktiven Tipps :) Topp !!!

Hallo blackhawk76,

es gibt grundsätzlich zwei Varianten der DNS-Auflösungskette:

Client -> AD-DNS -> UTM -> externer DNS
UTM bedingte Weiterleitung -> AD-DNS

Client -> AD-DNS -> externer DNS
UTM -> AD-DNS

Die erste Variante ist die Bevorzugte, aber die zweite wird in gewissen Konstellationen benötigt.

Hast du im AD-DNS unter "HOMESERVER -> Eigenschaften -> Weiterleitungen" die UTM angegeben?

Grüße
Sebastian

EDIT: Vielleicht noch hilfreich:
DNS Best Practice

Hallo Sebastian,

danke für den Tipp ! In der DNS Weiterleitung stand Umstellungsbedingt noch die FB Adresse drin.

Nachdem ich aber die UTM dort eingetragen habe funktioniert DNS nicht mehr. Der Server bricht wegen Zeitüberschreitung ab, aber das FW Protokoll ist voll von abgelehnten UDP Paketen (DNS) auf die UTM. Dachte die FW greift nur extern ?

Leider finde ich die Einstellungen in der UTM dafür nicht -> TIPP ?

Zum Thema nslookup bin ich auf folgendes gestoßen:

Das ist genau der Hostname der mir ja bei nslookup für den Server angezeigt wird. Diesen habe ich bereits eine statische Adresse mit dem Hostnamen verpasst. Wird aber irgendwie nicht umgesetzt.

Zu Deiner ersten Variante, lass mich diese kurz aufzeigen: 

Client IP:192.168.2.xxx (hat DNS Server 192.168.2.26 (Server)) eingetragen dann -> UTM IP:192.168.2.1 -> diese soll wie an die externen DNS verwiesen werden (DNS Forwarders) ? Was genau meinst Du mit bedingte Weiterleitung?

Die Hilfe hier ist einfach genial! Danke.

Moin Moin,

in der DNS-Weiterleitung des DCs solltest du mal Alles entfernen, was da außer 192.168.2.1 noch drin steht.

In der UTM musst du unter Dienste -> DNS auch das LAN 192.168.2.0/24 als zugelassenes Netzwerk angeben, sofern das noch nicht passiert ist.
Bei Weiterleitung trägst du externe DNS-Server ein und entfernst das Häkchen DNS des Providers nutzen.
Bei Anfragerouten (bedingte Weiterleitung) trägst du den HomeServer für home.local ein.

Die DNS-Kette ist dann Folgende:

Client hat als DNS die 192.168.2.26 und du kannst ihm als zweiten DNS die 192.168.2.1 geben
DNS des DCs hat als externe Weiterleitung die UTM, in seinen Netzwerkeinstellungen bleibt aber seine IP bestehen
Die UTM hat als DNS-Server externe DNS-Server und fragt für die Zone home.local den internen DNS

Normal hast du immer zwei DCs mit DNS-Diensten - dann würden die Clients natürlich beide AD-DNS bekommen.
Für den Feinschliff kannst du in der UTM bei der Weiterleitung eine Verfügbarkeitsgruppe nutzen, in der dann mehrere externe DNS gelistet sind.

Grüße
Sebastian

Hallo Sebastian,

super beschrieben. Wenn ich richtig verstehe, nutzen die Clients jetzt den internen DNS für interne Anfragen und wenn es eine externe Adresse ist, die in UTM eingetragenen externen DNS.

Ich hoffe ich kann die Google DNS 8.8.8.8 & 8.8.4.4 getrost verwenden ?

Den Server habe ich nicht bei bedingte Weiterleitung sondern bei "Anfragerouten" = home.local ->homeserver eingetragen.

Alle Anfragen funktionieren ohne Probleme, leider ändert sich nichts bei nslookup -> hier immer noch Standardserver: UnKnown.

Da werde ich noch weiter suchen müssen. 

1000send Dank bis dahin.

Viele Grüße

Hi,

nein. Die Clients, die den Win2012 als DNS Server nutzen fragen immer nur ihn. Und zwar so lange, wie er in irgendeiner Form erreichbar ist. Ist er das nicht mehr fragen Sie den 2. DNS-Server, den sie über DHCP bekommen, wenn Du den obigen Tipp umgesetzt hast und  bei Dir jetzt die Sophos 2nd DNS ist. Hat der Client keinen zusätzlichen DNS Server kann er den Namen nicht finden.

So, was passiert nun mit DNS-Abfragen, die der DNS Server selbst nicht beantworten kann? 3 Möglichkeiten:

1) es existiert eine 'bedingte Weiterleitung' für die angefragte Domain. Bedingte Weiterleitung bedeutet 'für fqdns mit dieser Kennung am Ende frage bitte den oder die DNS-Server mit der IP w.x.y.z - Einsatzzweck z.B. in über VPN verbundenen AD-Domänen, die nicht Teil derselben Gesamtstruktur sind.

2) im DNS-Server ist eine 'Weiterleitung' eingerichtet zu DNS-Server w.x.y.z, im Unterschied zur bedingten Weiterleitung werden ALLE DNS-Abfragen, die er selbst nicht beantworten kann an einen anderen DNS-Server geleitet. Wie hier den DNS-Server auf der Sophos.

3) es existiert keins von beidem. Was nun? Kann der DNS-Server dann nichts externes Auflösen? Nein (vorausgesetzt der DNS-Server darf über Port 53 UDP ins Internet) denn wenn er selbst keine Weiterleitungen hat fragt er die sog. Root Hint Server oder Stammhinweisserver. Davon gibt es weltweit nur eine Hand voll. Diese leiten Requests dann im Endeffekt wieder 'bedingt' weiter an nationale DNS-Server, usw.

Im Prinzip wird ein FQDN immer von hinten bearbeitet, bzw. aufgelöst und dann in der eigenen DNS-Datenbank geschaut 'kenne ich den, bin ich dafür zuständig?' Gibt es keinen Treffer dann kommt eine der 3 Varianten zum Einsatz.

Der DNS Server in der Sophos arbeitet ganz genau so wie der vom Windows Server. 'Request Routing' (ich empfehle Dir den Webadmin auf Englisch zu belassen) ist bedingte Weiterleitung, DNS-Forwarder ist 'Weiterleitung'.

Gruß

Kevin

Hallo Kevin,

super Erklärung, habe alles soweit eingerichtet. DNS funktioniert, leider hänge mit dem nslookup (server = unknown IP Adresse passt) immer noch. Der Server wird auch nicht mehr in der Netzwerkumgebung angezeigt. Alle AD Services funktionieren sowie Backupfunktionen etc.Das ist merkwürdig ! Werde einfach weitersuchen und bei Erfolg berichten.

Eine Frage stellt sich mir noch: Greift die UTM Firewall auch intern ? 

Hallo Kevin,

die Firewall der UTM greift nur, wenn geroutet wird.
Das ist der Fall, wenn Verkehr in ein anderes Netz über das Gateway geleitet wird.

Was deinen DC betrifft - schalte mal testweise die Windows-Firewall ab und prüf, ob er dann wieder sichtbar ist.

Grüße
Sebastian

Hallo zusammen,

mein Problem war der managed switch. DoS Defense Option "Blat-Attack" muss abgeschaltet sein.

Macht insgesamt wenig Sinn DoS auf dem Switch, aber na ja.

Viele Grüße.