zugriff auf diverse DNS und erst dann auf den Forwarder?

[blubbersuelze]

Hi,

ich habe hier ein Netzwerk welches über verschiedene Subnetze verfügt.
Jedes Subnetz hat einen eigenen DNS-Server.
Jeder Client hat die Möglichkeit auf alle Server in allen Subnetzen zuzugreifen.

Bisher habe ich alle Server auf allen DNS-Servern von Hand eingetragen, aber da das doch recht aufwendig auf Dauer wird folgende Frage:


Gibt es eine Möglichkeit, das wenn ein DNS-Server einen Host nicht auflösen kann, dieser erst die DNS-Server in allen anderen Subnetzen anfragt bevor er die Anfrage an die Forwarderadresse weiterleitet?

Gewünschtes Ziel ist das nur noch Änderungen am DNS-Server des jeweiligen Subnetzes gemacht werden müssen und nicht mehr auf allen anderen ebenso ...

danke für die Hilfe

mfg.
blubbersuelze

[cane]

Gewünschtes Ziel ist das nur noch Änderungen am DNS-Server des jeweiligen Subnetzes gemacht werden müssen und nicht mehr auf allen anderen ebenso ...

Synchronisiere die Server doch einfach untereinander.

mfg
cane

[bla!zilla]

Stell zwei zentrale DNS Server hin, die jeweils eine IP in jedem Subnetz haben, bzw. deren IP-Adressen per Routing erreichbar sind. Ein DNS kann ja durchaus für mehrere Zonen zuständig sein.

[kworx]

Gibt es eine Möglichkeit, das wenn ein DNS-Server einen Host nicht auflösen kann, dieser erst die DNS-Server in allen anderen Subnetzen anfragt bevor er die Anfrage an die Forwarderadresse weiterleitet?

Jein. Einen Weg gäbe es da schon, aber vergessen wir das lieber...

Gewünschtes Ziel ist das nur noch Änderungen am DNS-Server des jeweiligen Subnetzes gemacht werden müssen und nicht mehr auf allen anderen ebenso

Wenn ich das richtig verstehe hast du Netzwerk A und Netzwerk B. In jedem Netzwerk steht jeweils ein DNS Server A und B. Jeder der DNS Server hat die Adressen seines eigenen Teilnetzes.

Also:
Auf DNS A liegt die Zone für Netzwerk A.
Auf DNS B liegt die Zone für Netzwerk B.

Du möchtest jetzt, dass DNS A auch die Anfragen für Zone B beantworten kann und DNS B auch die Anfragen für Zone A.

Falls das so ist, dann konfigurierst du die Zone A auf dem DNS B als Slave und die Zone B auf dem DNS A als Slave.

http://www.google.de/search?q=bind+master+slave+setup

[Theo Retisch]

Also, ich schließe mich einfach mal bla!zilla an ... alles andere wäre Gehampel.

[blubbersuelze]

mmh...
danke für die Vorschläge,

werde mir mal eine Lösung aus euren Ansätzen überlegen

mfg.
blubbersuelze

[kworx]

Also, ich schließe mich einfach mal bla!zilla an ... alles andere wäre Gehampel.

Synchronisation von DNS Servern ist also Gehampel. Kannst du mir das bitte genauer erklären. Wie soll das deiner Meinung nach mit den beiden zentralen Servern ohne Synchronisation funktionieren?

[bla!zilla]

Wie viele andere auch: Master und Slave. Was aber gar nicht geht sind einzelne DNS in jedem Netz, welche dann per Zonentransfer abgeglichen werden. Man kann sich das Leben auch schwer machen....

[kworx]

Master und Slave werden doch immer per Zonetransfer abgeglichen, oder?

Was aber gar nicht geht sind einzelne DNS in jedem Netz...

Allgemein lässt sich das nicht so einfach pauschalisieren. Da fallen mir folgende Situationen ein bei denen zwei DNS Server in verschiedenen Teilnetzen nötig sind.

1. Bei DNS Servern für eine echte Domain ist es Pflicht, dass zwei DNS Server aus verschiedenen Class C Netzen verwendet werden. (Master/Slave)
Alternativ hierzu fällt mir eigentlich nur noch ein hidden primary Setup ein, falls es der Provider mit macht. (Master(/Slave) zu Provider Slave/Slave)

2. VPN Umgebungen bei denen mit Split DNS nur bestimmte Zonen im VPN erwünscht sind. (Master/Slave oder Master/Master)

3. Split DNS in einer NAT DMZ Umgebungen. (Master/Master)

[blubbersuelze]

es ist die Sache das jedes Subnetz sich an einem anderen Standort befindet.
Die Standorte sind über VPN miteinander verbunden.
Deshalb muss jedes Subnetz einen komplett eigenständig arbeitenden DNS-Server haben -> z.b. wg. evtl. Störungen des VPN

Trotzdem sollen aber alle auf DNS-X eingetragenen Hosts auch von Rechner Z, welcher nur auf DNS-Y anfragt, weil in Subnetz Y, über den Hostnamen erreichbar sein...

die Idee mit Master/Slave klingt ja schon nach sowas in der Art, aaaaber...
geht das, das jeder DNS Master im eigenen Subnetz und Slave für alle anderen Subnetze ist?

mfg.
blubbersuelze

[kworx]

geht das, das jeder DNS Master im eigenen Subnetz und Slave für alle anderen Subnetze ist?

Ja, geht mit allen drei Vorschlägen. Aber genaugenommen arbeiten wir nicht mit Teilnetzen sondern Domains.

1. Standorte haben unterschiedliche Domains... (das ist der Fall den ich oben bereits beschrieben habe)

DNS_X bleibt Master für die Domain Standort-X.dom und behält sein Teilnetz X.
DNS_Y bleibt Master für die Domain Standort-Y.dom und behält sein Teilnetz Y.

Jetzt richtest du auf DNS_X die Domäne Standort-Y.dom als Slave ein.
Auf dem DNS_Y richtest du die Domäne Standort-X.dom als Slave ein.

oder
2. Standorte haben unterschiedliche Domains... (wie von bla!zilla vorgeschlagen)
DNS_X bleibt Master für die Domain Standort-X.dom und behält sein Teilnetz X.
DNS_X wird Master für die Domain Standort-Y.dom und bekommt Teilnetz Y.
DNS_Y wird Slave für die Domain Standort-X.dom.
DNS_Y wird Slave für die Domain Standort-Y.dom.

oder
3. Standorte haben die gleiche Domain... (wie von cane vorgeschlagen)
DNS_X bleibt Master für die Domain Standort-XY.dom und behält sein Teilnetz X + Teilnetz Y.
DNS_Y wird Slave für die Domain Standort-XY.dom.


Für alle drei gilt:
1. Jeder Client benutzt den lokalen/nahesten DNS Server.
2. Zonenänderungen machst du immer auf dem Master der Zone.

Dann würde ich noch darauf achten, dass das absolute Verfallsdatum der Zone bei nicht Verfügbarkeit des NS Servers auf hoch gesetzt ist. Der Standard von einer Woche sollte OK sein.

Viel Erfolg bei der Einrichtung.

[blubbersuelze]

Danke,

ich werde das mal Probieren

[bla!zilla]

Master und Slave werden doch immer per Zonetransfer abgeglichen, oder?

Schon klar, aber bevor ich xxx DNS Server alle per Zonentransfer abgleiche, mache ich es lieber mit zentralen DNS Servern.

Allgemein lässt sich das nicht so einfach pauschalisieren. Da fallen mir folgende Situationen ein bei denen zwei DNS Server in verschiedenen Teilnetzen nötig sind.

1. Bei DNS Servern für eine echte Domain ist es Pflicht, dass zwei DNS Server aus verschiedenen Class C Netzen verwendet werden. (Master/Slave)
Alternativ hierzu fällt mir eigentlich nur noch ein hidden primary Setup ein, falls es der Provider mit macht. (Master(/Slave) zu Provider Slave/Slave)

Schon klar, aber das war hier ja gar nicht gefragt.

2. VPN Umgebungen bei denen mit Split DNS nur bestimmte Zonen im VPN erwünscht sind. (Master/Slave oder Master/Master)

Das kann man besser über ACLs lösen. Ich kann recht gut festlegen welche Clients meinen DNS abgrasen dürfen, und welche nicht. Zur Not stelle ich in solchen Umgebungen einen Slave hin und hole mir die Zonen von einem zentralen Master.

3. Split DNS in einer NAT DMZ Umgebungen. (Master/Master)

[/QUOTE]

Na ja, wer sich das Leben gerne schwer machen möchte, oder aber total paranoide Sec-Policies hat, der kann das so machen.

[kworx]

Schon klar, aber das war hier ja gar nicht gefragt.

Einen Grund wird es schon haben, wenn man nach zwei DNS Servern in zwei Teilnetzen fragt. Für mich lag das am nächsten.

Zur Not stelle ich in solchen Umgebungen einen Slave hin und hole mir die Zonen von einem zentralen Master.

War ja genau meine Begründung. Master/Master oder Master/Slave je nachdem wie vertrauenswürdig mein VPN ist. Alleine ACLs genügen manchmal nicht, weil man eine Policy brechen müsste. Zugriff aus DMZ in weitere DMZ.

Na ja, wer sich das Leben gerne schwer machen möchte, oder aber total paranoide Sec-Policies hat, der kann das so machen.

Wenn man mal ein Netz von einem IP Range in den nächsten verschieben muss ist eine NAT Umgebung echt angenehm. Hatte mal so einen Fall mit einem kompletten Class C Netz nahezu voll mit Webservern und alle öffentlich IPs. Da waren wir mit einem umfunktionierten snort mehrere Monate auf der Jagd nach verlinkten IP Adressen.
Da ist so ein eigener DNS für die DMZ Server echt das kleinere Übel. Mit iptables könnte man sich den sparen, da man hier gut auf der DMZ Schnittstelle eingehend wieder auf die DMZ Schnittstelle raus natten könnte. Das bekommt man mit den meisten FW Produkten so nicht hin.