DNS Server für bestimmte Domain lokal festlegen

[RFC2795]

Guten Morgen!

Ich habe momentan folgendes Problem:

Für die Domain www.heise.de soll ein Windows-XP-PC einen offiziellen DNS nach der IP-Adresse fragen, für die Domain blog.fefe.de allerdings einen anderen. Gibt es unter Windows die Möglichkeit, die Anfragen dementsprechend zu steuern?

Gruß,

RFC

Bearbeitet 6. Oktober 2010 von RFC2795

[zip]

Je nach dem in welchem Umfang du das betreiben willst, ist dir evtl. schon mit einem Eintrag in der Hosts-Datei geholfen. Vieleicht hilft es wenn du beschreibst was du genau vor hast.

[RFC2795]

Hallo zip,

das hätte ich sinnigerweise dazuschreiben sollen. Der Kunde der die Lösung anstrebt hat ein Netzwerk, das mit "heterogen" sehr wohlwollend umschrieben ist.

Es geht darum, dass im Firmennetzwerk Server, PCs und Laptops unterwegs sind.

Innerhalb dessen ist das kein Problem, alle Anfragen gehen an den DNS der sowohl die internen Maschinen als auch das Internet kennt (bzw. weiss, wo er nachfragen muss).

Wenn sich jetzt Leute von aussen via VPN einwählen soll für interne Maschinen der lokale Firmen-DNS, für alles Andere der externe, vom Provider Vorgegebene befragt werden. Ziel ist also, dass der interne DNS nicht mit Internetabfragen der Road Warriors belästigt wird, andererseits der Laptop aber auch nicht ewig auf eine Auflösung wartet weil der Provider-DNS die internen Maschinen nicht kennt.

Die Hosts-Datei kann theoretisch dafür herhalten, aber da sich die Einträge häufiger ändern soll das möglichst über DNS gelöst werden. Die internen Maschinen in die Hosts einzutragen und gescriptet oder per GPO auf dem aktuellen Stand zu halten hatte ich vorgeschlagen, soll aber maximal als Notlösung herhalten wenns garnicht anders geht.

Ich weiss dass es nicht ganz trivial ist, nach meinem bisherigen Kenntnisstand lässt sich das nur über einen eigenen DNS-Dienst auf den Laptops lösen. Selbstverständlich soll das aber natürlich auch nicht passieren.

Wenn noch Vorschläge in eine andere Richtung da wären, würd ich mich freuen .

Edit: In der hosts hinterlege ich ja direkt die IP für den Namen. Gewünscht wäre es, die IP des Name-Servers für den Namen zu hinterlegen wo man dann die aktuelle IP abfragen kann. Das lässt sich aber via Hosts nicht lösen, da ja, wenn ich den DNS als IP hinterlege, der Laptop keine DNS-Abfrage sondern eine Dienstanfrage macht, da er fälschlicherweise annimmt bei der IP-Adresse handele es sich um sein Ziel.

Bearbeitet 6. Oktober 2010 von RFC2795

[zip]

Ich kenne diesen Ansatz nicht, es ist ja nicht so das hier unmengen an Daten-Bewegt werden. Die Laptop-User fragen den Internen DNS, der schaut ob er im cache was findet, ansonsten fragt er die hinterlegten externen.

Wenn wirklich an Netzwerklast / Traffic gespaart werden soll wäre evtl. split tunnelling eine möglichkeit, so könnten die externen über ihre lokale leitung surfen wärend sie gleichzeitig per VPN connected sind.

ps.: Aus Sicherheitsgründen nicht unbedenklich weil sämtliche filterregeln des Unternehmens umgangen werden

Bearbeitet 6. Oktober 2010 von zip

[RFC2795]

Danke für deine Antwort zip.

Es geht nicht um Netzwerklast, sondern um Datenschutz (im weiteren Sinne).

Sobald der Laptop die IP über den internen DNS aufgelöst hat, surft er sie normal übers Gateway von zu Hause oder dem Hotel oder whatever an. Der Internettraffic läuft also nicht übers VPN, lediglich die Namensauflösung.

Ich kann allerdings auch keinen anderen DNS als Primary setzen, da ansonsten die Auflösung von internen Namen nicht funktioniert und man nicht mehr übers VPN arbeiten kann.

Jetzt hatte ich die Idee, den internen DNS als Primary rauszuwerfen und stattdessen einfach per Batch (Windows XP) den DNS-Cache zu leeren und bei VPN-Verbindung automatisch den Internen nach den internen Maschinen zu befragen. Im Prinzip würde ich damit subjektiv nur den Zeitpunkt der Namensauflösung vorverlegen, nämlich vom Zeitpunkt wo ich drauf zugreifen will auf den Zeitpunkt der Einwahl. Dann könnte ich getrost den Gateway-DNS benutzen, da alles Andere ja bereits im Cache liegt.

Leider stehe ich bei dieser Lösung momentan auf dem Schlauch, weil nslookup die IPs nicht in den DNS-Cache übernimmt.

[hades]

Wenn eine Windows-Domain im Spiel ist, brauchst Du zwingend DNS und dort immer einen DNS-Server als primary DNS, der die ActiveDirectory-Eintraege (SRV-Records fuer LDAP, Kerberos, GlobalCatalog-Server etc.) jederzeit aufloesen kann und auch DNS-Eintraege automatisch aktualisieren kann.

Da ist nix mit DNS fuer VPN rauswerfen oder mit Host-Listen arbeiten.