Zur Beachtung - Anleitungen

Bitte beachten Sie, daß die bereitgestellten Informationen zum Zeitpunkt der Erstellung im Rahmen von durchgeführten Arbeiten dokumentiert und validiert wurden. In einer geänderten Systemumgebung können für die Schritte Anpassungen erforderlich sein. Dies gilt insbesonders, falls die Informationen Workarounds oder Fehlerbehebungen betreffen. Die Informationen sind entsprechend spezifisch für die Systemumgebung und Version der Systeme zum Zeitpunkt der Arbeiten. Schritte, die sich für uns von selbst erschließen, sind ggf. nicht in den Anleitungen enthalten. Dasselbe gilt auch für konzeptionelle Anleitungen. Diese sind für spezifische Umgebungen und spezifische Erfordernisse erstellt und müssen vor Anwendung überprüft werden, ob sie für die angedachte Umgebung passend sind. Die Verwendung erfolgt auf eigene Gefahr.

Wir raten in jedem Fall dazu, vorab ein Backup in einem Umfang zu erstellen, der die Wiederherstellung der Systeme im Fehlerfall sichert. Dies betrifft bei Active-Directory-integrierten Diensten auch das Active-Directory.

 

DNS Policies auf Windows Server

(02.04.2024)
Validiert mit Windows Server 2016 und 2019

Ab Windows 2016 gibt es die Möglichkeit, DNS-Policies einzurichten. Rekursionsbezogene Einstellungen sind allerdings nur unzureichend dokumentiert. Diese sind jedoch besonders interessant, weil sich damit DNS-Tunnel effektiv verhindern lassen. Die Beantwortung von Anfragen aus dem Cache ist dabei irrelevant, weil DNS-Tunnel ständig neue hosts abfragen und dadurch Einträge im Cache sowieso nicht verwendet werden. Der Vorteil von DNS-Richtlinien ist, daß gegenüber der Realisierung mittels reiner Forwarder die DNS-Infrastruktur nicht doppelt vorhanden sein muß (Server mit bedingten Weiterleitungen für eingeschränkte Rekursion und zusätzlich DNS-Server für uneingeschränkte Rekursion).

In beiden getesteten Versionen wurden manchmal Anfragen falsch beantwortet. Die Thematik wurde nicht weiter untersucht, da die Probleme nur sporadisch auftraten. Zu einem Fall hat Microsoft einen Artikel veröffentlicht:

Zusammenhänge:

Die Architektur wird nach folgenden Prinzipien aufgebaut:

  • die DNS-Policies implementientierenden Server (DNS-POL) befinden sich in eiinem abgetrennten Netzsegment und sind separat verwaltet
  • Zugriff auf diese Server wird an der Firewall den DNS-Servern im LAN (DNS-LAN) gewährt und Hosts, deren DNS-Anfragen unbeschränkt rekursiv aufgelöst werden müssen, z.b. Proxyserver. Solche Hosts sollten separat verwaltet sein (andere Sicherheitsdomäne) und sich in einem abgegrenzten Netzsegment befinden. Der Zugriff auf Verwaltungsschnittstellen sollte nicht aus dem normalen Netz möglich sein.
  • Unbeschränkte Hosts sollten als ClientSubnet angelegt werden
  • Zur Sicherstellung der Auflösbarkeit der internen Nutzerdomäne empfiehlt es sich, deren DNS-Server als RecursionScope anzulegen und für diese eine Rekursionsregel einzurichten

 

Details
Kategorie: MS Windows Server
Zugriffe: 64