W2k Domäne mit DHCP und RAS, wie ist das mit DNS?

Hallo,

zum Thema DNS hab ich noch ein paar Fragen:

Wie ist es mit der Registrierung wenn DHCP eingesetzt wird? Werden die ebenfalls mit der zugewiesenen IP-Adresse in der Forward-Lookupzonen eingetragen? Nur W2k-Clients? Hab ein paar WinME-Clients, die Ihre IP via DHCP bekommen. Bei TCP/IP -> DNS hab ich hier den DNS-Namen der Domäne z.B. Home.local eingetragen, tauchen beim DNS nicht auf! Sind diese dann trotzdem registriert?

Bei RAS ist es ähnlich, auf dem Server gibt es einen RAS-Adapter dem die IP 192.168.0.20 zugewiesen wurde (ging automatisch). Die RAS-Clients bekommen Ihre IP ebenfalls via DHCP was auch alles funktioniert. Werden diese Clients registriert, da diese hier auch nicht eingetragen werden.

Viele Fragen, ich hoffe mal Ihr könnt etwas Licht ins Dunkel bringen....

Alex

Also das würde mich auch interessieren. Bei mir trägt der DHCP-Server grundsätzlich nichts in den DNS-Server ein. Nur wenn ich active directory aktiviere funktioniert plötzlich alles :
Active directory will ich aber nicht haben.

W9x oder ME-Clients werden nie automatisch in die DNS-Zonen eingetragen, das geht nur bei NT-basierten Rechnern.

Wenn auch diese nicht eingetragen werden, muss für diese Zone die dynamische Aktualisierung zugelassen werden.

Cheers,
Joshua

Also sollte das ganze in der Theorie auch ohne Active Directory funktionieren, ja ?
In den Eigenschaften der Zone hatte ich dynamische Updates aktiviert. Funktioniert hat es trotzdem nicht. Woran kann das liegen ?

So, das heißt das zb. WinME Clients die Ihre IP-Adresse über den DHCP bekommen nicht im DNS registriert werden. Tja....

Wenn z.B. ein W2k Client das über DHCP bekommt und im DNS eingetragen wird, wird dieser doch nach dem Abmelden dieser wieder aus dem DNS genommen, denn bei der nächsten Anmeldung bekommt dieser evtl. eine andere IP!

Ist dies für RAS-Clients gleichermaßen gültig???

Alex

So, das heißt das zb. WinME Clients die Ihre IP-Adresse über den DHCP bekommen nicht im DNS registriert werden. Tja....

Wenn z.B. ein W2k Client das über DHCP bekommt und im DNS eingetragen wird, wird dieser doch nach dem Abmelden dieser wieder aus dem DNS genommen, denn bei der nächsten Anmeldung bekommt dieser evtl. eine andere IP!

Ist dies für RAS-Clients gleichermaßen gültig???

Alex

Zum Vergrößern anklicken....

im DNS registrierte rechner werden eigentlich nie ausgetragen, sondern -abhängig von der Dauer des DHCP-Lease- immer wieder aktualisiert.

Ich habe hier noch ein bisschen experimentiert, aber ohne weitere Erkenntnisse.

Zu RAS-Clients kann ich leider nicht viel sagen, da hab ich kaum Erfahrung mit - aber theoretisch sollten sich diese genauso verhalten in punkto DNS wie lokale Rechner.

Cheers,
Joshua

RAS ist echt eine Sache für sich......

Probier schon ne ganze weile rum.... der Client ist auch W2k Pro und hab diesen via VPN der Domäne hinzugefügt.
Komischerweise sehe ich in der Netzwerkumgebung nur den Client oder die Rechner die direkt im LAN am Server hängen, aber nie alle. Bei den Rechner im LAN tauchenn die RAS-Clients zu keinem Zeitpunkt auf. Domäne und Arbeitsgruppe sind korrekt.
Was mir auch noch aufgefallen ist, ist die Tatsache das beim Ping auf den Namen des Clients (quasi auf sich selbst) einmal die IP-Adresse vom Internet kommt, und wenn ich VPN kurz disconnecte und wieder connecte kommt die vom LAN aber immer mit DNS Suffix also Computername.HOME.local

RAS funzt doch volgendermaßen ( beim Beispiel VPN):
1. Internetverbindung herstellen
2. VPN-Verbindung zum Server
3. Der PC wird im Netzwerk rgistriert und meinem PPP-Adapter eine IP-Adresse von meinem eigenen DHCP zugewiesen bzw. vom RAS-Adapter.

In der VPN-Verbindung ist auch der korrekte DNS-Server des LAN's angegeben.

Da sich der Client in der gleichen Domäne befindet sollten doch in der Netzwerkumgebung alle Rechner im LAN auftauchen?!

Wär super wenn wer einen Link oder ähnliches weiß wo eine korrekte Konfiguration für das zu finden ist!! In dem Buch das ich hab schreiben die nur das kaum was zu konfigurieren sei und gehen nicht näher darauf ein..

Alex

Hmmm....
Richte doch auf deinem PDC mal einen WINS-Server ein und trage diesen bei den RAS-Clients ein - das sollte dich schon mal ein Stück weiterbringen.

Ausserdem müsstest du unter Routing und RAS die Netze entsprechend gegeneinander routen.... oder hast du für deine VPN-Clients dieselbe IP-Range ?
Dann hat sich das ja erledigt.....

Btw eignen sich VPN-Verbindungen nicht wirklich, um remote Rechner direkt ans Netz zu bringen - dafür wäre ein IPSEC-Tunnel sicherlich geeigneter.

Ich nutzte VPN hier lediglich für Terminaldienste und das spielt einwandfrei - mal davon abgesehen, das die remoten PCs nicht umkonfiguriert werden müssen....

Was mich noch interessieren würde:
Wie stellst du denn die VPN-Verbindung her - über Internet direkt vom Client zu deinem W2k-Server oder auf ne Firewall ??

Cheers,
Joshua

Den Wins hatte ich schon mal installiert.... war genau so wie jetzt auch. Dachte mehr das es mit dem DNS jetzt funzen würde.
Die RAS-Clients sind in der gleichen IP-Range wegen dem Routing (erst mal das richtig hinkriegen und dann einen Schritt weiter gehn).

Ich wähle mich direkt am Server über das Internet (DynDNS) ein, also keine Firewall dazwischen. Sicherheitstechnisch sicher nicht das beste, aber ich möchte nicht gleich mit der Tür ins Haus fallen, sondern langsam anfangen, sonst weiß ich ja gar nicht mehr ob nun die Firewall, Server oder der Client evtl. nicht korrekt konfiguriert ist!

IPSEC-Tunnel sagt mir momentan nichts.... wie darf ich mir das Vorstellen?? Server und die meisten Clients haben DSL und können keine Telefonnummer anwäheln.

Alex

Hmmm.....

...Sicherheitstechnisch sicher nicht das beste...

Zum Vergrößern anklicken....

Schwer Untertrieben wäre noch zu schwach, um dies mit meinen Worten auszudrücken - evtl. tödlich trifft es schon eher.
Tut aber nix zur Sache, das musst ja du verantworten ;-)

Ich entnehme diesen Infos allerdings, das es sich wohl um ein privates Netz handelt oder ??

However, um mal auf IPSEC und VPN zurückzukommen:
Das, was du da vorhast, nämlich remote Rechner 1:1 so an den PDC und das lokale Netz zu binden, realisiert man normalerweise via IPSEC und vor allen Dingen permanent.

VPN-Verbindungen benutzt man normalerweise, um Verbindungen mit Terminaldiensten bei Bedarf herzustellen, also on demand.

Der Unterschied zwischen beiden Varianten lässt sich nicht in drei bis siebzehn Worte fassen......
VPN bietet eben nur PPTP an und ist nicht 100%-ig transparent, während ein IPSEC-Tunnel zwischen zwei Standorten völlig transparent, verschlüsselt und einfacher einzurichten ist - vorrausgesetzt, man hat die richtige Hardware/Software zur Verfügung.....

Wir betreiben btw zwischen zwei Firewalls einen IPSEC-Tunnel, über den u.a. auch eine Vertrauensstellung zwischen zwei W2k-Domänen aufgebaut wurde etc.
Die Kommunikation zwischen beiden Netzen klappt wunderbar, die Geschwindidkeit ist auch in Ordnung und die Sicherheit hat dennoch Vorrang, da IPSEC-Verbindungen von FW zu FW beliebig hoch verschlüsselt werden können (eine zu hohe Verschlüsselung geht allerdings sehr zu Lasten der FW-Performance.....).

Hast du dir mal überlegt, deine Verbindungen, die ja allem Anschein nach on demand stattfinden sollen, via VPN/Terminaldienst zu realisieren ?
Wäre meiner Meinung nach wesentlich einfacher zu realisieren und wahrscheinlich auch performanter.

Cheers,
Joshua

Du hast recht wenn Du von einer privaten Nutzung ausgehst. VPN hat sich einfach angeboten weil es gut beschrieben war und doch für mich relativ einfach zu realisieren war.... ich hab natürlich auch schon mehrfach über die Sicherheit einer Standart-VPN-Verbindung gelesen.... aber wenn Du bei Null anfangen mußt nimmt man sowas schon mal auf sich.

Mit Telnet hab ich mich bislang noch nicht beschäftigt... kann ich hier ebenfalls die RAS-Clients ins LAN einbinden so als wären sie lokal? Sorry wenn ich hier vielleicht so blöde Fragen stelle, aber ist momentan der einzige Ort wo ich diese los werden kann!

Es geht halt auch darum das sich gewisse Freunde bei mir einklinken können evtl. kleine Daten auszutauschen und evtl. auch mal miteinander zu zocken. Mir geht es eigentlich nur darum das so hinzubekommen denn es fasziniert mich...

Bin momentan grad dabei eine Informatiker-Ausbildung zu machen... jeden Samstag Schule... und momentan nur Mathe, Englisch, Physik.... alles nebenbei... möchte mich beruflich verändern.

Alex

Telnet ???
Wer hat hier was von Telnet erwähnt - du meintest IPSEC oder irre ich....

Bei IPSEC gibt es eigentlich keine RAS-Clients mehr, denn IPSEC stellt eine transparente Verbindung her, das bedeutet, das deine remoten Clients genauso im Netz auftauchen und behandelt werden, als stünden sie mit den anderen zusammen im selben Büro....

Um einen Datenaustausch mit deinen Freunden zu realisieren, würde ich dir einen FTP-Server empfehlen und vor allen Dingen ne Firewall, die zumindest mal die wichtigsten Ports nach aussen hin dichtmacht.

Zum miteinander zocken fällt mir jetzt eher wenig ein, ich bin absolut kein Zocker ;-)

In diesem Sinne, viel Erfolg und bei weiteren Fragen - einfach posten !

Cheers,
Joshua

Zocker bin ich auch weniger, ist aber ab und zu ein netter Nebeneffect. Hab einen UT2003 Dedicated Server im LAN laufen, so können sie sich einwählen und miteinander Zocken.... den will ich nicht öffentlich machen....

Ich meinete schon IPSEC, hab da wohl etwas falsch verstanden..... (Lücken im Grundwissen )
FTP hab ich schon am laufen, ist für Daten schon nicht schlecht, da geb ich Dir auf jedenfall recht!!

Das mit IPSEC würd mich schon sehr interessieren!
Ist das in Windows dabei, oder wie läuft das?
Hab davon noch nichts gehört oder nicht wahrgenommen, wär super wenn Du mir da einen kleinen Einblick geben könntest!

Zum Thema Firewall:
Ich weiß das die zur Grundausstattung gehören sollte, aber daran möchte ich mich machen wenn mein Netzwerk mal soweit einwandfrei läuft.
Hmm... aber dann welche? Da würd mir ein eigener kleiner Rechner gefallen auf dem eine auf LINUX-Basis (IPCop??) läuft, aber die sind nicht grad einfach zu Konfigurieren vorallem wenn man kaum LINUX-Kentnisse besitzt.
Aber das soll ein anderes Thema sein.

IPSEC statt VPN das ohne RAS auskommt wär schon super!!

Alex

Pfff....
In drei Sätzen ist das leider nicht erklärt, sorry.

Eins vorweg:
Bei Windows dabei isses nicht wirklich - gibt da zwar den Versuch der Implementierung, aber naja.....

Sobald ich Montag wieder im Büro bin, schau ich mal in meinen Unterlagen nach passenden Links, bis dahin kann ich dich leider nur an google verweisen.

Cheers,
Joshua

Warum dachte ich mir schon das es nicht in Windows integriert ist?!

Google werd ich auf alle Fälle mal nutzen!

Dank Dir schonmal für Deine Mühe!

Alex

So, ich habe meine Gedanken mal ein wenig geordnet und möchte noch folgende Infos kundtun:

Der IPSEC-Tunnel, den wir verwenden, wird zwischen zwei Linux-basierten Firewall-System hergestellt, direkt von IP zu IP und arbeitet mit einem RSA-Schlüssel (wer schonmal mit PGP zu tun hatte, kennt die Qualität dieser Schlüssel).

In der Praxis sieht das dann so aus, das durch diesen Tunnel eine Vertrauensstellung zwischen den beiden Domänen hergestellt wird - somit ist von beiden Seiten aus ein problemloser Zugriff auf die Freigaben/Rechner des jeweils entfernten Netzes möglich.

Ich muss allerdings dazu sagen, das die Leitung, durch die dieser Tunnel läuft, auf beiden Seiten 4Mbit/s. dick ist - ich weiss nicht, inwieweit das mit T-DSL und einem Upload von 128kbit/s. läuft.....

Alternativ zu dieser permanenten Verbindung gibt es noch sog. IPSEC-Clients, die eine IPSEC-Verbindung on demand herstellen, also ähnlich funktionieren wie eine VPN-Verbindung (sie sind allerdings wesentlich besser verschlüsselt).
Dazu muss aber der Server, auf den man sich verbinden will, den entsprechenden Dienst bereitstellen - ob und wie das unter W2k direkt zu machen ist, entzieht sich leider meiner Kenntnis, da ich in punkto Sicherheit kein Risiko eingehen kann und somit gleich auf ne Linux-basierte Lösung gesetzt habe.

Auch hier mutmasse ich allerdings, das die 128kbit/s. Upload eines T-DSL-Anschlusses nicht wirklich eine vernünftige Performance bringen.

Die Auslagerung dieser Geschichten vom eigentlichen W2k-Server weg auf ein Linux-System bietet nun nicht nur sicherheitsrelevante Vorteile, sondern ist auch performance-technisch ausschlaggebend:
Da IPSEC eine wesentlich höhere Verschlüsselungsrate hat als VPN geht das Verfahren natürlich zu Lasten der CPU und drückt im Zweifelsfall beim Connect von vielen Clients direkt auf den Server dessen Performance so nach unten, das der Produktivbetrieb mit diesem Server quasi unmöglich ist.

Hmm....
Alles aus einer sehr büro-technischen Sicht gesehen, aber das sind so die Infos, die ich dir ad hoc geben kann.

Cheers,
Joshua

So.....

hab mal ein wenig gelesen. Also demnach ist IPSec ein Protokoll das in TCP/IP implementiert wird.
Auf dem Client eine Client-Software benötigt wird... wie die konfiguration auf dem Server aussieht.... noch keine Ahnung, noch

Unter www.repges.net/IPSec wird es etwas sehr technisch erklärt. Hoffe die Umsetzung ist weniger kompliziert!

Sehr interessantes Thema!

Wegen der Performance:
Naja, es werden kaum mehr als 3 Clients gleichzeitig am Server hängen. Die 128 kBit von DSL sind schon mager da geb ich Dir recht, aber leider gibt es nichts besseres (evtl. DSL 1500 aber hat auch nur 192 kBit) was bezahlbar wäre. SDSL mit 1MBit Up-/Downstream wär schon was aber für den privaten Gebrauch nicht bezahlbar.
Was mir aufgefallen ist:
wenn ich über den FTP von mir was runterlade geht das mit max. 145 kBit, bei VPN zeigt der mir bis zu 290 kBit an (laut T-DSL Speedmanager). 290 kBit glaub ich nicht ganz..... :-/

Alex