Slow DNS-resolution

Did you setup your Win2000 based DNS servers to forward non authoriative DNS traffic to your Astaro Firewall? If not, your win2000 DNS servers will try to recursively resolve any non authoriative DNS request which is significantly slower than using a forwarder.

It is best to use the following scheme: Network Clients --> Win2000 DNS Server --> Astaro Firewall DNS Service--> ISP DNS Servers

Did you setup your Win2000 based DNS servers to forward non authoriative DNS traffic to your Astaro Firewall? If not, your win2000 DNS servers will try to recursively resolve any non authoriative DNS request which is significantly slower than using a forwarder.

It is best to use the following scheme: Network Clients --> Win2000 DNS Server --> Astaro Firewall DNS Service--> ISP DNS Servers

I'm sure that Ikar's suggestion works fine, but wouldn't it make sense to use the DNS redirection built into to Astaro v.7 and bypass getting DNS from the server.  You could do Network Clients -> Astaro Firewall DNS -> ISP DNS Server.

Unless you're using your server as a proxy,
1.) The route to your server already exists (after the first time).
2.) It's also probably local to your workstations (on the same subnet).
3.) If you have multiple servers or devices that your workstations need to find, the local DNS redirector that comes in the Astaro can point to them all.
4.) The Astaro can handle all DNS, as it's already the Gateway to the internet.
5.) If your server is down, your workstations can still get to the internet.  If your Astaro is down, you can still get to your server.

Did you setup your Win2000 based DNS servers to forward non authoriative DNS traffic to your Astaro Firewall? If not, your win2000 DNS servers will try to recursively resolve any non authoriative DNS request which is significantly slower than using a forwarder.

It is best to use the following scheme: Network Clients --> Win2000 DNS Server --> Astaro Firewall DNS Service--> ISP DNS Servers

I'm sure that Ikar's suggestion works fine, but wouldn't it make sense to use the DNS redirection built into to Astaro v.7 and bypass getting DNS from the server.  You could do Network Clients -> Astaro Firewall DNS -> ISP DNS Server.

Unless you're using your server as a proxy,
1.) The route to your server already exists (after the first time).
2.) It's also probably local to your workstations (on the same subnet).
3.) If you have multiple servers or devices that your workstations need to find, the local DNS redirector that comes in the Astaro can point to them all.
4.) The Astaro can handle all DNS, as it's already the Gateway to the internet.
5.) If your server is down, your workstations can still get to the internet.  If your Astaro is down, you can still get to your server.

I'm sure that Ikar's suggestion works fine, but wouldn't it make sense to use the DNS redirection built into to Astaro v.7 and bypass getting DNS from the server.  You could do Network Clients -> Astaro Firewall DNS -> ISP DNS Server..

He can go with this configuration if he doesn't use active directory in his environment. AD clients require special records (SRV) to be found in the DNS service they are querying, in order to be able to locate KDC and domain controllers.

Sorry for the late reply.

Yes, i'm using Active Directory in the domain. Which solution would be the best for us? Users need to have access to servers even if Astaro is down, so it must not rely on that.

Goldy: Symantec Corp Antivirus on the Windows-machines. No antivirus on our Mac:s. Currently we have 50/50 Mac,PC

Thanks in advance

He can go with this configuration if he doesn't use active directory in his environment. AD clients require special records (SRV) to be found in the DNS service they are querying, in order to be able to locate KDC and domain controllers.

SRV is supported.

As for getting to your servers, your network configuration will determine that.  If your servers and workstations and Astaro are on the same subnet, you should be able to get to your servers or the internet if either is down.  If one or the other is acting as a chokepoint for the other (through which all traffic must pass), and the chokepoint is down, you won't be able to get to either.

lkar is touting the MS company line.  It's a solution that works fine, but if the server that you're transiting is down, you can't get to the server or the internet.  You're also having the server do DNS work for internet traffic, and maybe some enhanced degree of exposure to internet ailments.

The other solution also works fine, keeps both alternatives available if one or the other goes down and relieves the server of work the Astaro can do quite well.  There can be good reasons for doing it either way.

In network clients you can setup as many DNS servers as you like. My suggestion, would be to setup as primary the First Microsoft DNS server and as secondary the second MS DNS server in your network. 

Using Astaro as your primary DNS server, will work fine for the internet name resolution but it will not satisfy the AD requirements. In Astaro DNS service you cannot setup authoriative zones (at least not by using the web interface [;)]). Therefore you cannot meet the AD requirements for your Microsoft environment since it is closely related to the records created in the domain zone during the promotion of your first domain controller. 

If it is mandatory for you to setup the Astaro as your primary DNS server, you can always use conditional forwarding for your intranet domain zone, pointing to one of your internal MS DNS Servers.

Thanks for your help and replies. I will check my settings and try this as soon as i can. Will let you know if it helped.

Thank you!