info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Notebook mit wechselnden IP-Adressen unter gleichem Hostnamen
0 views
Skip to first unread message
Sebastian Suchanek
Jan 17, 2021, 6:21:40 AM1/17/21
to
Hallo NGs!
Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
beim Antworten entsprechend setzen.
Zunächst kurz zum Setup: Gegeben seien zwei Standorte. Am ersten
Standort existiert ein LAN mit 10.1.0.0/16. DHCP wird dort von einem
isc-dhcpd gemacht, DNS von einem Bind9, der auch lokale Hostnamen für
alle LAN-Clients bereithält. Standort 2 hat ein LAN mit 10.2.0.0/16,
DHCP macht eine FritzBox, DNS ebenfalls ein Bind9 (auf einem RasPi), der
als Slave des Binds vom Standort 1 läuft. In beiden Netzen sind die
DHCP-Dienste so konfiguriert, dass sie bekannten Geräten stets dieselbe
IP-Adresse zuweisen. Verbunden sind beide Netze durch einen VPN-Tunnel,
sodass alle Clients in einem LAN aus dem jeweils anderen LAN erreichbar
sind.
Einer der Clients ist ein Notebook mit Win10 Pro, das sich mal im einen
und mal im anderen LAN befindet. Was ich dafür gern hätte, ist ein
DNS-Eintrag, der stets auf das Notebook weist, egal, ob sich das
Notebook gerade an Standort 1 oder Standort 2 befindet und der
idealerweise automagisch upgedatet wird, sobald sich das Notebook ins
jeweilige (W)-LAN einklinkt.
Wie kann ich das erreichen?
Tschüs,
Sebastian
Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
beim Antworten entsprechend setzen.
Zunächst kurz zum Setup: Gegeben seien zwei Standorte. Am ersten
Standort existiert ein LAN mit 10.1.0.0/16. DHCP wird dort von einem
isc-dhcpd gemacht, DNS von einem Bind9, der auch lokale Hostnamen für
alle LAN-Clients bereithält. Standort 2 hat ein LAN mit 10.2.0.0/16,
DHCP macht eine FritzBox, DNS ebenfalls ein Bind9 (auf einem RasPi), der
als Slave des Binds vom Standort 1 läuft. In beiden Netzen sind die
DHCP-Dienste so konfiguriert, dass sie bekannten Geräten stets dieselbe
IP-Adresse zuweisen. Verbunden sind beide Netze durch einen VPN-Tunnel,
sodass alle Clients in einem LAN aus dem jeweils anderen LAN erreichbar
sind.
Einer der Clients ist ein Notebook mit Win10 Pro, das sich mal im einen
und mal im anderen LAN befindet. Was ich dafür gern hätte, ist ein
DNS-Eintrag, der stets auf das Notebook weist, egal, ob sich das
Notebook gerade an Standort 1 oder Standort 2 befindet und der
idealerweise automagisch upgedatet wird, sobald sich das Notebook ins
jeweilige (W)-LAN einklinkt.
Wie kann ich das erreichen?
Tschüs,
Sebastian
Marc Haber
Jan 17, 2021, 7:35:27 AM1/17/21
to
Sebastian Suchanek <sebastian...@gmx.de> wrote:
>Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
>besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
>beim Antworten entsprechend setzen.
Immer noch in beide Gruppen, weil keine klar zuzuordnende Antwort.
>Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
>besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
>beim Antworten entsprechend setzen.
>Einer der Clients ist ein Notebook mit Win10 Pro, das sich mal im einen
>und mal im anderen LAN befindet. Was ich dafür gern hätte, ist ein
>DNS-Eintrag, der stets auf das Notebook weist, egal, ob sich das
>Notebook gerade an Standort 1 oder Standort 2 befindet und der
>idealerweise automagisch upgedatet wird, sobald sich das Notebook ins
>jeweilige (W)-LAN einklinkt.
>
>Wie kann ich das erreichen?
Dynamic DNS. Dabei authentifiziert sich der Client mit einem Schlüssel
beim DNS-Server und setzt nach dieser Authentifikation die
entsprechenden Resource Records im DNS. Auf dem bind kann man
feingranular Berechtigungen hinterlegen bis herunter zum hier
vermutlich gewünschten "der Schlüssel X darf für Hostname
bla.example.com A und AAAA Records setzen und in den beiden passenden
Reversezonen PTR Records die auf bla.example.com zeigen".
Auf Linux-Systemen macht man das clientseitig mit der Software
ddclient.
Windows möchte so etwas über Active Directory machen. Ich vermute,
dass hier ein Dynamic DNS ähnliches Verfahren zum Einsatz kommt, die
Authenfitikation aber nicht mit statischem Key, sondern mit
AD-Maschinenaccount und Kerberos-Ticket erfolgt. Ob und wie man
Windows so verbieten kann, Dynamic DNS mit staitschem Key zu machen,
weiß ich nicht.
Als Linuxer würde ich mich vermutlich am ehesten auf die Suche nach
eiem ddclient für Windows machen, aber vielleicht geht das ja auch
direkt mit Bordmitteln, oder ich habe mit diesem Artikel genug Ansätze
für eine eigene Recherche geliefert?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Stefan Kanthak
Jan 17, 2021, 11:22:02 AM1/17/21
to
"Marc Haber" <mh+usene...@zugschl.us> schrieb:
> Sebastian Suchanek <sebastian...@gmx.de> wrote:
[ Windows 10, DDNS, Bind9, verschiedene DCHP-Server ]
> Der standardkonforme und auch von bind unterstützte Mechanismus ist
> Dynamic DNS. Dabei authentifiziert sich der Client mit einem Schlüssel
> beim DNS-Server und setzt nach dieser Authentifikation die
> entsprechenden Resource Records im DNS. Auf dem bind kann man
> feingranular Berechtigungen hinterlegen bis herunter zum hier
> vermutlich gewünschten "der Schlüssel X darf für Hostname
> bla.example.com A und AAAA Records setzen und in den beiden passenden
> Reversezonen PTR Records die auf bla.example.com zeigen".
Diese Vorgehensweise ist ueberholt; heute sollte der DHCP-Server das
DNS aktualisieren, NICHT die Clients.
> Auf Linux-Systemen macht man das clientseitig mit der Software
> ddclient.
>
> Windows möchte so etwas über Active Directory machen.
KWATSCH! Active Directory ist der server-seitige Teil.
Hier geht's um den Client; der kann das, aber erst seit dem letzten
Jahrtausend, genauer: seit WIndows 95!
IPCONFIG.exe /RegisterDNS
Macht der DNS Client latuernich automatisch, sobald der TCP/IP-Stack
fuer den Netzwerkadapter initialisiert wird oder dieser eine andere IP-
Adresse erhaelt.
Kann ueber die bei der Installation ausgewertete \[Auto]Unattend.xml pro
Netzwerkadapter konfiguriert werden: siehe
<https://msdn.microsoft.com/en-us/library/ff716056.aspx>
Falls der DNS eine Authentifikation verlangt: siehe Gruppenrichtlinien-Editor:
Computer Configuration > Policies > Administrative Templates > Network > DNS Client > Dynamic Updates
Frueher (bis mindestens Windows 2003) konnten dort (auch bei Clients)
Authentifikationsdaten hinterlegt werden. Heute erwartet Windows, dass
der DHCP-Server den vom Client gesendeten Hostnamen beim DNS-Server
registriert.
Siehe <https://support.microsoft.com/kb/816592>
Das Verhalten von Clients kann dort eingestellt werden:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableDynamicUpdate"=dword:0
"DisableReplaceAddressesInConflicts"=dword:0
"DisableReverseAddressRegistrations"=dword:0
"UpdateSecurityLevel"=dword:0 ; Perform unauthenticated updates if authentication fails
; 10 ; Perform unauthenticated updates
; 100 ; Perform authenticated updates
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Interfaces\{guidguid-guid-guid-guidguidguid}]
"DisableDynamicUpdate"=dword:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters]
; 0 ; No overwrite of DHCP option 81
"RegistrationOverwrite"=dword:1 ; DNS client overwrites DHCP server (default)
; 2 ; DHCP Server overwrites DNS client
Wer Policies bevorzugt (hier mit den Standard-Werten):
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"RegistrationEnabled""=dword:0
"RegisterReverseLookup"=dword:0
"UpdateSecurityLevel"=dword:0 ; Perform unauthenticated updates if authentication fails
; 10 ; Perform unauthenticated updates
; 100 ; Perform authenticated updates
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
> Sebastian Suchanek <sebastian...@gmx.de> wrote:
[ Windows 10, DDNS, Bind9, verschiedene DCHP-Server ]
> Der standardkonforme und auch von bind unterstützte Mechanismus ist
> Dynamic DNS. Dabei authentifiziert sich der Client mit einem Schlüssel
> beim DNS-Server und setzt nach dieser Authentifikation die
> entsprechenden Resource Records im DNS. Auf dem bind kann man
> feingranular Berechtigungen hinterlegen bis herunter zum hier
> vermutlich gewünschten "der Schlüssel X darf für Hostname
> bla.example.com A und AAAA Records setzen und in den beiden passenden
> Reversezonen PTR Records die auf bla.example.com zeigen".
DNS aktualisieren, NICHT die Clients.
> Auf Linux-Systemen macht man das clientseitig mit der Software
> ddclient.
>
> Windows möchte so etwas über Active Directory machen.
Hier geht's um den Client; der kann das, aber erst seit dem letzten
Jahrtausend, genauer: seit WIndows 95!
IPCONFIG.exe /RegisterDNS
Macht der DNS Client latuernich automatisch, sobald der TCP/IP-Stack
fuer den Netzwerkadapter initialisiert wird oder dieser eine andere IP-
Adresse erhaelt.
Kann ueber die bei der Installation ausgewertete \[Auto]Unattend.xml pro
Netzwerkadapter konfiguriert werden: siehe
<https://msdn.microsoft.com/en-us/library/ff716056.aspx>
Falls der DNS eine Authentifikation verlangt: siehe Gruppenrichtlinien-Editor:
Computer Configuration > Policies > Administrative Templates > Network > DNS Client > Dynamic Updates
Frueher (bis mindestens Windows 2003) konnten dort (auch bei Clients)
Authentifikationsdaten hinterlegt werden. Heute erwartet Windows, dass
der DHCP-Server den vom Client gesendeten Hostnamen beim DNS-Server
registriert.
Siehe <https://support.microsoft.com/kb/816592>
Das Verhalten von Clients kann dort eingestellt werden:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableDynamicUpdate"=dword:0
"DisableReplaceAddressesInConflicts"=dword:0
"DisableReverseAddressRegistrations"=dword:0
"UpdateSecurityLevel"=dword:0 ; Perform unauthenticated updates if authentication fails
; 10 ; Perform unauthenticated updates
; 100 ; Perform authenticated updates
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Interfaces\{guidguid-guid-guid-guidguidguid}]
"DisableDynamicUpdate"=dword:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters]
; 0 ; No overwrite of DHCP option 81
"RegistrationOverwrite"=dword:1 ; DNS client overwrites DHCP server (default)
; 2 ; DHCP Server overwrites DNS client
Wer Policies bevorzugt (hier mit den Standard-Werten):
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"RegistrationEnabled""=dword:0
"RegisterReverseLookup"=dword:0
"UpdateSecurityLevel"=dword:0 ; Perform unauthenticated updates if authentication fails
; 10 ; Perform unauthenticated updates
; 100 ; Perform authenticated updates
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Sebastian Suchanek
Jan 17, 2021, 12:36:41 PM1/17/21
to
Am 17.01.2021 um 13:35 schrieb Marc Haber:
> Sebastian Suchanek <sebastian...@gmx.de> wrote:
>>Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
>>besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
>>beim Antworten entsprechend setzen.
*örks*
> Sebastian Suchanek <sebastian...@gmx.de> wrote:
>>Da ich im Moment noch nicht so recht, weiß, wie ich mich dem Problem am
>>besten nähern soll, daher erstmal XP nach dcomm und dcpm - f'up bitte
>>beim Antworten entsprechend setzen.
Entschuldigung für das gruselige Deutsch.
> Immer noch in beide Gruppen, weil keine klar zuzuordnende Antwort.
>>Einer der Clients ist ein Notebook mit Win10 Pro, das sich mal im einen
>>und mal im anderen LAN befindet. Was ich dafür gern hätte, ist ein
>>DNS-Eintrag, der stets auf das Notebook weist, egal, ob sich das
>>Notebook gerade an Standort 1 oder Standort 2 befindet und der
>>idealerweise automagisch upgedatet wird, sobald sich das Notebook ins
>>jeweilige (W)-LAN einklinkt.
>>
>>Wie kann ich das erreichen?
>
> Der standardkonforme und auch von bind unterstützte Mechanismus ist
> Dynamic DNS.
Auf die Analogie zu "externem" DynDNS hätte ich auch selbst kommen
können. :-(
Danke für den Hinweis.
> Dabei authentifiziert sich der Client mit einem Schlüssel
> beim DNS-Server und setzt nach dieser Authentifikation die
> entsprechenden Resource Records im DNS. Auf dem bind kann man
> feingranular Berechtigungen hinterlegen bis herunter zum hier
> vermutlich gewünschten "der Schlüssel X darf für Hostname
> bla.example.com A und AAAA Records setzen und in den beiden passenden
> Reversezonen PTR Records die auf bla.example.com zeigen".
besten aufgehoben? de.comp.os.unix.networking.misc?
> Auf Linux-Systemen macht man das clientseitig mit der Software
> ddclient.
Allerdings sehe ich dabei noch einen Pferdefuß: Wenn das Notebook mal
irgendwo ganz anders ist (z.B. in einem Hotel-WLAN) würde der ddclient
wahrscheinlich versuchen, auch von dort den heimischen Bind zu
erreichen. Ließe sich das irgendwie verhindern? Oder probiert ddclient
es zumindest nur einmal und gibt danach auf?
> Windows möchte so etwas über Active Directory machen. Ich vermute,
> dass hier ein Dynamic DNS ähnliches Verfahren zum Einsatz kommt, die
> Authenfitikation aber nicht mit statischem Key, sondern mit
> AD-Maschinenaccount und Kerberos-Ticket erfolgt. Ob und wie man
> Windows so verbieten kann, Dynamic DNS mit staitschem Key zu machen,
> weiß ich nicht.
laufe, liefe auch Samba - bislang allerdings nur für das Bereitstellen
von SMB-Freigaben. Ich nehme an, den zum Domain-Controller mit Active
Directory aufzubohren und dann noch das DynDNS-Verfahren hinzubasteln
wäre ein größerer Aufwand?
> Als Linuxer würde ich mich vermutlich am ehesten auf die Suche nach
> eiem ddclient für Windows machen, aber vielleicht geht das ja auch
> direkt mit Bordmitteln, oder ich habe mit diesem Artikel genug Ansätze
> für eine eigene Recherche geliefert?
dabei - danke!
Tschüs,
Sebastian
_____
[1] https://github.com/randomnoun/ddclient-nsis
0 new messages