ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cache aktivieren
Cache aktivieren ohne SP1
Eindringversuchserkennung
Cachemodus
Ziel nicht cachen
Proxyeinstellungen per GPO
Socket Pooling W2k3
DNS Auflösung
Inhaltsdownload
Zertifikate
Webauthentifizierung
RADIUS und ISA 2004
SMTP Anwendungsfilter
Netzwerk definieren
Webverkettung
IP Optionen
Netzwerkkonfiguration
Automatische Suche
DMZ

 

DNS Auflösung


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004
  • Windows 2000 Server
  • Windows Server 2003

 

Eine korrekt funktionierende DNS-Auflösung ist ein wesentlicher Bestandteil einer jeden ISA Server Installation. Unabhängig davon, dass ein Active Directory unter Windows 2000 bzw. Windows Server 2003 nicht ohne DNS auskommt ist es für die Ansteuerung von Servern im Internet unverzichtbar.

Im folgenden Artikel möchte ich keine DNS-Implementierung im AD besprechen, sondern mich rein auf den Zusammenhang mit dem ISA Server beschränken. Literatur zu DNS und AD gibt es genügend [1]. Viele Probleme, die mich immer wieder erreichen oder in der Newsgroup geschildert werden haben unmittelbar mit einem DNS Problem zu tun. Sei es der Mailserver, der keine Mails zustellen kann, keine Client-Pop3-Abfragen oder Probleme, Webseiten aufzurufen. Dabei ist DNS im Grunde sehr einfach. Man muss sich nur überlegen, wie man DNS implementieren will. Wie immer im Leben gibt es auch hier verschiedene Wege zum Ziel. Hinzu kommt noch, dass der ISA Server je nach Clienttyp anders reagiert. Für einen Firewallclient kümmert sich der ISA selber um sämtliche Namensauflösungen, d.h. der ISA selber muss in der Lage sein, korrekte DNS-Abfragen beantwortet zu bekommen. Bei einem SecureNAT Client ist der jeweilige Client eigenverantwortlich. Hier muss sichergestellt werden, dass dieser - unabhängig vom ISA Server - in der Lage ist, Namen aufzulösen.

Welche Möglichkeiten gibt es nun, DNS zu verwenden?

  1. Jeder Client bekommt einen externen DNS Server (statisch oder per DHCP) zugewiesen
  2. Jeder Client bekommt nur den internen AD-DNS zugewiesen
  3. Jeder Client bekommt den internen AD-DNS und einen weiteren externen DNS-Server zugewiesen

 

Jeder Client bekommt einen externen DNS Server (statisch oder per DHCP) zugewiesen

Ein mögliches Szenario wäre, jedem internen Client in den LAN-Einstellungen einen externen DNS-Server einzutragen.

Natürlich kann der DNS-Server auch per DHCP-Optionen verteilt werden:

Diese Methode hat den Nachteil, dass jeder Client ständig übers Internet DNS-Anfragen starten muss. Dies vermindert die Bandbreite und produziert unnötigen Datenverkehr. In kleinen Netzen mit wenigen PC´s und ohne eigenem DNS-Server könnte es unter Umständen Sinn machen. Aber nur dort...

Damit auch jeder Client eigene DNS Anfragen durch den ISA los wird, muss im ISA eine Firewallrichtlinie für DNS vorhanden sein:

 

Jeder Client bekommt nur den internen AD-DNS zugewiesen

Wenn ein Active Directory vorhanden ist, benötigen die Clients sowieso den internen AD-DNS Server als primären DNS-Server. Am besten verteilt man das wieder per DHCP.

Warum DHCP?
Ich verwende in den meisten Netzwerken sehr gerne DHCP für sämtliche Clients, Drucker und ggfs. Mitgliedserver. Dadurch werden Netzwerkänderungen zum Kinderspiel. Nicht mehr jeder einzelne Rechner muss angefasst werden, wenn sich etwas ändert (z.B. ein neues Default Gateway oder ein DNS Server). Ein weiterer Vorteil ist die zentrale Kontrolle und Administration über einen Server. Man kann ohne Probleme einzelne Optionen dadurch verteilen (siehe oben). Und selbst wenn der DHCP-Server zum Zeitpunkt der Anmeldung des Clients nicht vorhanden ist - der kann eine einstellbare Zeit die zugewiesene IP Adresse behalten.

Also muss der Client, wenn er z.B. www.msisafaq.de auflösen möchte, den AD-DNS fragen. Woher bekommt/holt sich dieser DNS Server die Information? Hier gibt es wiederum zwei denkbare Ansätze, dies zu realisieren.

  • Der AD-DNS Server hat eine Weiterleitung zu einem externen DNS Server (z.B. des Internet Service Providers) eingetragen und befragt somit diesen. Dies wird hier konfiguriert:

Sollte der Punkt "Weiterleitung aktivieren" ausgegraut sein, dann ist die Root (Forward-Lookup)Zone (".") vorhanden. Die muss dann entfernt werden. Nach einem Neustart des DNS Servers kann die Weiterleitung aktiviert werden.

Da die Clients nun nicht mehr direkt externe DNS Server anfragen, kann man im ISA Server den Zugriff auf das Protokoll "DNS" durch einen Computerobjekt einschränken.

  • Wenn es das allgemeine Netzwerkdesign zulässt, verwende ich einen weiteren Schritt in der Namensauflösung. Wenn zum Beispiel mehrere Domaincontroller vorhanden sind, leite ich die DNS-Server an einen weiteren internen Server weiter. Dies kann zum Beispiel der ISA Server selber sein. Nur dieser eine darf dann DNS-Anfragen stellen. Der DNS-Server erhält statt der Weiterleitung zu einer externen IP-Adresse (wie oben) eine interne IP eingetragen.

    Am ISA muss dazu eine Regel erstellt werden, die dem DC eine Verbindung zum lokalen DNS Server erlaubt.

Mittels der vorhandenen Systemrichtlinie darf der ISA Server selber DNS Anfragen an das externe Interface stellen:

Jeder Client bekommt den internen AD-DNS und einen weiteren externen DNS-Server zugewiesen

Bei den Vorbereitungen zu diesem Artikel ist mir auch diese Lösung eingefallen. Möchte sie nur der Vollständigkeit halber erwähnen - empfehle sie nicht. Der Verwaltungsaufwand ist zu hoch. Von der Konfiguration ist es eine Mischung aus den beiden vorgenannten Möglichkeiten. Hierbei muss sichergestellt werden, dass ein eventuell vorhandener Exchange-Server DNS-Abfragen stellen kann.

[1]   

Weitere Quellen:

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher