Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 847 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro DNS Server with AD

day1118
The short version:
Hi Guys, I am running a windows server with AD and an astaro firewall at home. For AD to work correctly, the computers connected must point their DNS to the server, but if the server goes down/off, then everyone loses internet. Is it possible to have all of the compuers point their DNS to the firewall, and still have AD work, and internet when the server is down? (ie some sort of replication maybe?)

Thanks
Anthony


Below is a much longer and more detailed explaination of my problem!

Hi Guys, for the last few years I have been running a windows domain with AD at home, partly as a learning experience/ challenge, and partly for doing automatic backup and a few other nice features. There are probably many other simpler ways of doing this, but I am happy with this setup.

About a 6-12 months ago I added an astaro firewall to allow me to VPN in, and again for the experience/ challenge.

I used to have DHCP and DNS servers running on the server, and all computers would point to the modem for default gateway, and server for DNS, as all computers on the domain must point to the server for DNS for AD to operate correctly.

When I set up the firewall, I changed the default gateway to the firewall (As the modem connects to it directly.) And also changed DNS to the firewall as the firewall is much simpler and has no down time compared to the server. (I need to try and ensure the internet is always operational to keep my family happy!) Knowing that the DNS must point to the server I added it as a DNS resolver, but now my computers only connect to the domain properly part of the time. I assume this is due to the fact that the firewall only chooses to pass some of the requests to the server, and others directly to the internet, hence causing my problem.

My question is, is there a way that I can have computers point to the firewall for DNS and have it operate correctly with the server, but also allow the internet to work correclty when the server is down?

I thought about using the request routing feature, but I think that this would just pass the requests to the server, and not work when the server is down. I am after more of a syncronise type of thing.

Is this possible? Can you point me in the right direction please?
I am also wondering what other interesting things I can do by making the two work well together? Can I make the firewall capable of providing DHCP requests for when the server is down etc?

Thanks
Anthony


This thread was automatically locked due to age.
  • 0
    Hi Anthony,

    there is a DNS best practice post (https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566) - maybe you should try it that way.

    The ASG/UTM is quite sensitive to dns config errors.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    In an AD environment you should ALWAYS (and preferrably only) use the Internal (Microsoft) DNS server(s), otherways you will have the problems described...

    You can test if it works to pass the UTM as secondary DNS server to the clients. Sometimes that works, sometimes it doesn't. It depends on your clients: if they always use the first DNS server as long as it's reachable, everything's fine. If they randomly use one of all configured servers you will again have the problems.
  • 0
    Thanks for the responses guys.

    @ scorpionking - I am fairly sure it is randomly picking one, hence why it is only sometimes accessible.

    @ anyone!
    Does this mean that there is no way that I can make the Astaro forward requests to the Internal server when it is operational (99% of the time anyway!) and only bypass, going directly to the www when it detects that the server is down?

    Thanks
    Anthony
  • 0
    Setup a DNS Request Route on the Astaro for your internal domain, with the target server(s) being your internal AD integrated DNS.
  • 0
    Thanks Scott, but if the server is off / down, does this means that everyone looses internet? or will the firewall just resolve the requests its self when it cannot contact the internal AD Server?

    Thanks
  • 0
    As mentioned, create the request route for your internal domain, then on the forwarders tab, populate with external DNS servers of your choice.  I prefer google DNS, but many like OpenDNS as well.
  • 0
    Anthony, the DNS Best Practice link that Hallowach gave you in Post #2 above answers all your questions above.  That's a post that I started several years ago and have maintained/updated as others made suggestions for imrovement.

    Cheers - Bob
    PS And, a belated welcome to the User BB!