Gesicherte dynamische DNS-Aktualisierung bei mobilen Geräten (VPN)

08/01/2008 - 13:04 von Marco Hinniger | Report spam
Hallo NG,

Folgende Sitation:

Ein AD-integriertes Notebook bootet extern vom Firmennetz, und baut
via VPN-Software einen Tunnel zu unserer Firewall auf. Zwischen Firewall
und Notebook existiert dann ein eigenes Subnetz (Firewall agiert in
diesem Fall als DHCP); die Firewall routet auch korrekt zum
firmeninternen Subnetz; es sind keine blockierenden Firewall-Regeln oder
Software-Firewalls im Einsatz.

Das Firmennetz enthàlt:
-DomainController1 mit DHCP und Sek. DNS
-DomainController2 mit Prim. DNS

Probleme treten nun bei der dynamischen DNS-Registrierung des Notebooks
auf. Das Notebook hat den korrekten internen DNS-Server als primàren DNS
eingetragen. Wir haben bei der VPN-Einwahl bemerkt, das sich das
Notebook nur dann fehlerfrei beim primàren DNS-Server registrieren kann,
wenn die DNS-Zone nicht-gesicherte Dynamische Aktualisierungen zulàsst.
Sobald wir aber die Dynamischen Aktualisierungen wieder auf gesichert
stellen, schlàgt die DNS-Registrierung des Notebooks bei der VPN-Einwahl
fehl.

Unsere Vermutung ist nun, das sich das Notebook, dadurch das es nicht am
Firmennetz bootet, nicht korrekt am AD authentifiziert (Kerberos). Bei
der VPN-Einwahl scheint dann auch keine Nachtràgliche
Kerberos-Authentifizierung vor der DNS-Registrierung stattzufinden
(evtl. normales Verhalten?). Die alternative Registrierungs-Methode mit
der Gruppe "DnsUpdateProxy" über den AD-eigenen DHCP-Server ist mir
bekannt, aber hier nicht anwendbar, da unsere mobilen Geràte
ausschließlich von dem DHCP der Firewall ihre Adresse beziehen können.

Gibt es vielleicht eine weitere Möglichkeit dem Notebook die dynamische
DNS-Aktualisierung zu ermöglichen ohne gleich die komplette DNS-Zone auf
die unsichere Dynamische Aktualisierung zu stellen? Für Ideen oder
Hinweise auf Denkfehler wàre ich dankbar.

Mit freundlichen Grüßen

Marco Hinniger
 

Lesen sie die antworten

#1 Marco Hinniger
14/01/2008 - 14:12 | Warnen spam
Hat niemand irgendeine tolle Idee hierzu?

Ähnliche fragen