[DNS] hulp bij DNS structuur binnen meerdere segmenten - Netwerken

woensdag 5 december 2007 10:54

Acties:

VRRROOOAAARRRP

Topicstarter

Hallo medetweakers,

DNS is nog vrij nieuw voor mij, maar dat zal al wel snel gaan blijken denk ik. Nu ben ik hulp nodig bij het volgende probleem ..

Bij ons bedrijf zijn we het netwerk wat anders aan het inrichten met het oog op verbeteren van de security. Nu heb ik verschillende segmenten die we met een firewall steeds gaan afschermen ..

e.g.

code:

ISP --||-- DMZ --||-- Office --||-- Data --||-- Productie
      Fw1        Fw2           Fw3         Fw4

DNS   <--- DNS   <---   DNS    <--- DNS     <--- DNS
ISP

Ieder segment krijgt een domaincontroller.
Maar hoe zou dat er uit moeten komen te zien?
Moet dit aflopend zijn, iedere keer een niveau erbij ..

prod.data.off.bedrijf.nl
data.off.bedrijf.nl
off.bedrijf.nl
bedrijf.nl

Of boeit dat niet en kun je ook het volgende doen ..

prod.bedrijf.nl
data.bedrijf.nl
off.bedrijf.nl
dmz.bedrijf.nl

Mijn voorkeur gaat uit naar de onderste optie. En de domaincontroller is dan ook dns server. Dus de aanvragen voor data.bedrijf.nl binnen het productie.bedrijf.nl netwerk moeten geforward worden naar de DNS server uit het data netwerk. Aanvragen voor off.bedrijf.nl moeten nog verder geforward worden naar de DNS server van het office netwerk.

Dus zoiets ..

192.168.10.1 DNS server productie --> forward --> 192.168.11.1
192.168.11.1 DNS server data --> forward --> 192.168.12.1
192.168.12.1 DNS server office --> forward --> 192.168.13..1
192.168.13.1 DNS server DMZ --> forward --> DNS ISP

Doel is dus dat machine1.data.bedrijf.nl ook binnen het productie netwerk resolved als machine1. Zoals het momenteel in mijn testopstelling werkt, moet je pingen naar machine1.data.bedrijf.nl wil het werken, maar dan doet ie het ook prima.

Ik kan nog veel meer vertellen, maar dit is denk ik eerst wel voldoende denk ik.

Hoe zouden jullie dit gaan aanpakken? Bvd voor jullie inzichten en suggesties

woensdag 5 december 2007 11:08

Acties:

Raging_Trancer

Dit werkt naar mijn weten niet.... Elke DC heeft een eigen DNS, waardoor je dus dubbele namen op het netwerk kan krijgen, wat ook zal werken. Immers; de DHCP zal aan Machine1 op productie een IP geven, bv 192.168.10.11, maar een gelijk genoemde machine op office ook, bv 192.168.12.32. Een naam resolven moet je dan inderdaad op DC niveau doen (door eerst te pingen), wat je nou net niet wil...

Het lijkt mij logischer dat je een tree aanmaakt, met een DC. Deze DC laat je dan ook als DNS/DHCP server fungeren. Daaronder breng je de servers prod/data/office/dmz aan als sub DC's. Gemeenschappelijke rechten kan je dan vastleggen op de DC, de segment rechten op de sub DC's. Dubbele namen worden hierdoor ook voorkomen, aangezien de DNS tabel op de DC staat.

Ik weet er niet veel van, maar voor zover mijn kennis daartoe rijkt, lijkt mij dit logischer dan wat jullie willen doen? Ik sta open voor verbeteringen uiteraard mede GOTters

BTW; hebben jullie zo'n klein netwerk? Ik zou namelijk voor een klasse B adres gaan, dus 10.x.x.x...

Heb je max 65.543 stations per segment, i.p.v. 254....

[ Voor 12% gewijzigd door Raging_Trancer op 05-12-2007 11:17 . Reden: 1. Onbegrijpelijk verhaal begrijpelijk gemaakt / 2. Vraag t.a.v. IP adres klasse ]

woensdag 5 december 2007 11:11

Acties:

MAX3400

XBL: OctagonQontrol

Even een vraag want interesse gewekt: waarom wil je x aantal firewalls tussen de verschillende afdelingen?

Ik neem aan, voor het gemak, dat je tussen Office en Data en tussen Data en Productie dezelfde policies eropna gaat houden op je firewall. Oftewel; als er iets via ISP/DMZ kwaadwillends kan binnenkomen, heb je alsnog het probleem dat het bij Productie kan komen?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 5 december 2007 11:35

Acties:

Alfa Novanta

VRRROOOAAARRRP

Topicstarter

Nee, iedere firewall heeft geheel zijn eigen regels. Default alles dicht met een enkele uitzondering waarnodig en alles met rules op IP basis.

euhm, uitgangspunt is, dat er in de productie andere medewerkers werken dan in het office netwerk. Dus willen we in ieder netwerksegment een eigen domeincontroller met z'n eigen gebruikers aanleggen. Dus een kantoormedewerker kan niet inloggen op het productienetwerk en andersom, een productiemedewerker kan niet op het kantoornetwerk inloggen.

Bijkomende lastigheid is, dat een bepaalde computer uit het data-netwerk uiteindelijk ook in de dmz bestanden moet kunnen benaderen, dus je moet een pad opstellen helemaal naar voren naar de dmz.

In mijn huidige testopstelling heb ik het stuk .. office --||-- data --||-- productie al up-and-running maar met nog wat schoonheidsfoutjes. Dat resolven o.a.

Kijk, als een willekeurige productiemachine niet kan resolven naar een machine uit het office-netwerk zal me worst zijn. De servers moeten wel elkaar goed kunnen benaderen en een bepaalde zelfbouw applicatie die hier draait moet ook verbinding leggen met 4 á 5 machines verdeelt over de segmenten. Het slaat een brug tussen de administratie, dataverwerking, het productieproces en uiteindelijk de verzending. Deze machines kan ik desnoods toevoegen aan de hosts file en desnoods wat routes handmatig toevoegen. Maar mocht er in de toekomst een wijziging plaatsvinden, moet je alles weer gaan nalopen omdat het op IP basis lokaal vast staat, vandaar dat ik toch graag een nette oplossing met DNS zou zien.

Ter info. De DC's worden met SLES 10 ingericht.

[ Voor 29% gewijzigd door Alfa Novanta op 05-12-2007 11:40 ]

woensdag 5 december 2007 13:30

Acties:

Alfa Novanta

VRRROOOAAARRRP

Topicstarter

Als je het dus netjes zou doen, zou je dus wel de prod.data.off.bedrijf.nl structuur krijgen, ofniet?

Afbeeldingslocatie: http://www.windowsitpro.com/Files/16/13378/forest.gif

Afbeeldingslocatie: http://www.windowsitpro.com/Files/16/13378/forest.gif

Wat we hier dus eigenlijk proberen zijn de verschillende tree's aan elkaar te koppelen, dus zou je het in een trust-relationship moeten gaan zoeken. Right?

Iemand hier ervaring mee? Hoe werkt dit qua DNS forwarden?

Reageer