[Server 2012 R2] Externe forwarders per client

Nee, dat is niet mogelijk.

Als je overigens toegang tot web content wil kunnen regelen zul je een proxy in moeten stellen in plaats van DNS met filtering. Dit laatste is nl. eenvoudig te omzeilen door het gebruik van hostfiles, instellen van alternatieve DNS-servers of soms door het simpelweg gebruiken van ip-adressen.

Aangezien je in je netwerk toch geen spof wilt, zou je kunnen overwegen om op de tweede dns-server Google als forwarder in te stellen. De eerste blijft op Open DNS. In dhcp maak je dan twee scopes: eentje die naar de ene dns server verwijst en eentje die naar de andere dns server verwijst

Ligt eraan of die klachten gegrond zijn, want OpenDNS filtert niet zomaar.

Kan je een "stubzone" instellen?

Marcel_EA schreef op dinsdag 08 maart 2016 @ 16:11:
Het gaat om het management die op bepaalde sites moeten waar ze zaken mee doen.
B.v. bol.com

Maar de medewerkers hoeven hier niet op. Alle e-commerce sites moeten geblokt worden.
Anders gaan de dames op der gemak schoenen bestellen bij Zalando, parfum bij de Douglas etc.

Ik verwacht dat je als je dit echt wil dan wel met een intelligenter filter aan de slag moet dan opendns, die vaak wel erg rigoureus te werk gaat qua blokkades, waardoor je ook legitieme sites als bijv. een simpele site voor het bestellen van de kantoor artikelen of zelfs de inkoop site voor de koffie voor de koffie automaat ook gaat blokkeren.

Je zal dan al snel moeten kijken naar een volledig configureerbaar filter, bijv. op basis van groepen of whitelists, waardoor bijv. medewerkers alleen tijdens de pauzes op sites als bijv. bol.com / facebook / zalando kunnen, maar de inkoper of in jouw geval management wel altijd op bijv. Bol.com kan, en de HR afdeling wel altijd op facebook / linkedin e.d. kan voor de werkzaamheden.

Je bent nu met een technische maatregel een sociaal probleem aan het oplossen...

Het probleem is dat medewerkers internetten "in de baas zijn tijd". Doen ze dit te veel, of heb je zo'n ouderwetse "baas" die wil dat men het helemaal niet doet? De boog kan niet de hele tijd gespannen staan, medewerkers die tussendoor een beetje kunnen ontspannen zijn over het geheel gezien productiever dan medewerkers die je rigide loopt te micromanagen. Voor medewerkers die niet met die vrijheid overweg kunnen heb je altijd nog HR en de mogelijkheid een dialoog aan te gaan met die medewerker...

Als je het echt technisch op wilt lossen kun je op de 2e DC of DNS-servers (hoeveel heb je er? Één is geen...) andere forwarders instellen en tegen een bepaalde groep clients zeggen dat hun primaire DNS-server de 2e server (die met root hints of Google forwarders) is en de secundaire de restrictieve, en op de normale clients zet je dat andersom.

Een (Windows) client zal altijd eerst de primaire DNS-server in de TCP/IP-instellingen proberen, pas als deze niet reageert zal de client de secundaire server proberen (en na een kwartier opnieuw de primaire proberen). Dit houdt in dat als de "OpenDNS"-resolver down gaat mensen dus tijdelijk wel op bol.com kunnen (en andersom, als de Google-resolver down gaat kan management tijdelijk niet op bol.com).

Technisch netjes oplossen doe je door een proxy die groepen ondersteunt. Een nette te managen oplossing.

Marcel_EA schreef op dinsdag 08 maart 2016 @ 16:11:
Anders gaan de dames op der gemak schoenen bestellen bij Zalando, parfum bij de Douglas etc.

Dit gaan ze dan toch gewoon via hun mobiele telefoon doen?

KillerAce_NL schreef op dinsdag 08 maart 2016 @ 17:46:
Technisch netjes oplossen doe je door een proxy die groepen ondersteunt. Een nette te managen oplossing.

Dat is natuurlijk een nog betere oplossing, maar gezien de oorzaak van de probleemstelling zal dat wel te duur zijn

Ehh, er zijn genoeg opensource varianten met webinterface

Hardware, stroom, opleiding, onderhoud, wat doe je als het niet werkt... Die kosten worden vaak voor het gemak even vergeten Dat hoeft het geen slechte oplossing te maken, maar je moet het wel realistisch bekijken

Betaalde varianten (met 3 jaar support) zijn ook te vinden onder de 100 euro per gebruiker, als ik reken met 10 gebruikers, 3 jaar support en Trend Micro Worry-Free Business Security Standard (het eerste wat bij me op komt) dan betaal je € 85,15 per gebruiker (ex BTW, maar die krijg je toch terug). Minimumloon is € 8,80 bruto, of € 17,20 bruto-bruto (even vlug vlug ). Oftewel, als je medewerker 24 seconde per dag (bij 250 werkdagen/jaar) minder op internet zit heeft de slavendrijverbaas al het idee dat mensen productiever zijn

Dat zijn dan alleen de licenties, maar dit pakket kan erbij op je Server 2012 R2. Er zullen er ongetwijfeld nog veel meer te vinden zijn

Paul schreef op dinsdag 08 maart 2016 @ 17:40:
Een (Windows) client zal altijd eerst de primaire DNS-server in de TCP/IP-instellingen proberen, pas als deze niet reageert zal de client de secundaire server proberen (en na een kwartier opnieuw de primaire proberen).

Ja en Nee. Het gebruikte algoritme is iets intelligenter dan dit.

The DNS Client service queries the DNS servers in the following order:

1. The DNS Client service sends the name query to the first DNS server on the preferred adapter's list of DNS servers and waits one second for a response.
2. If the DNS Client service does not receive a response from the first DNS server within one second, it sends the name query to the first DNS servers on all adapters that are still under consideration and waits two seconds for a response.
3. If the DNS Client service does not receive a response from any DNS server within two seconds, the DNS Client service sends the query to all DNS servers on all adapters that are still under consideration and waits another two seconds for a response.
4. If the DNS Client service still does not receive a response from any DNS server, it sends the name query to all DNS servers on all adapters that are still under consideration and waits four seconds for a response.
5. If it the DNS Client service does not receive a response from any DNS server, the DNS client sends the query to all DNS servers on all adapters that are still under consideration and waits eight seconds for a response.

.......


The DNS Client service keeps track of which servers answer name queries more quickly, and it moves servers up or down on the list based on how quickly they reply to name queries.

https://technet.microsoft...rary/dd197552(WS.10).aspx

Waterdicht is je oplossing dan ook niet.

Mja, een DNS-server die na 3 seconde nog geen antwoord heeft gegeven is dan ook wel redelijk down
Ik had er ook een technet-link bij (niet gepost), maar blijkbaar loopt die achter of zo

Paul schreef op dinsdag 08 maart 2016 @ 18:44:
Hardware, stroom, opleiding, onderhoud, wat doe je als het niet werkt... Die kosten worden vaak voor het gemak even vergeten Dat hoeft het geen slechte oplossing te maken, maar je moet het wel realistisch bekijken

Betaalde varianten (met 3 jaar support) zijn ook te vinden onder de 100 euro per gebruiker, als ik reken met 10 gebruikers, 3 jaar support en Trend Micro Worry-Free Business Security Standard (het eerste wat bij me op komt) dan betaal je € 85,15 per gebruiker (ex BTW, maar die krijg je toch terug). Minimumloon is € 8,80 bruto, of € 17,20 bruto-bruto (even vlug vlug ). Oftewel, als je medewerker 24 seconde per dag (bij 250 werkdagen/jaar) minder op internet zit heeft de slavendrijverbaas al het idee dat mensen productiever zijn

Dat zijn dan alleen de licenties, maar dit pakket kan erbij op je Server 2012 R2. Er zullen er ongetwijfeld nog veel meer te vinden zijn

Ja sorry, ik denk teveel in vm's
Maar goed, tegenwoordig draait het op een pi...
Geen stroomkosten, dingen kosten niks, dus je legt een reserve in de kast met een kloon van de cf kaart

Persoonlijk vind ik DNS hier niet echt voor geschikt.
Wij handelen zo'n zaken af op de firewall via url/application filtering.
Algemene AD groep voor iedereen en aparte AD groepen voor bv IT, management etc... .
Per groep bepaal je dan naar waar ze mogen surfen + welke applicaties ze mogen gebruiken.
Wat jij wil doen noemen we in Vlaanderen "bricoleren" :-)

Dus, een beetje op het verkeerde been gezet.
Ik las het als "OpenDNS filtert teveel en bepaalde mensen moeten om het filter heen om alsnog bij de door OpenDNS gefilterde sites te komen" niet als "OpenDNS filtert niet voldoende"...

Een 2e DNS server met andere instellingen of geklooi met een 2e DHCP scope gaat je hierin niet helpen.
Ga maar kijken naar een goeie proxy waar je access naar bepaalde sites kan blocken op basis van groepslidmaatschap.

Maar zoals gezegd, je gaat hier een sociaal probleem op een technische manier "oplossen".