Discussion:
ISA 2004 und DNSSEC
(zu alt für eine Antwort)
Alexander Kromat
2010-01-15 13:26:43 UTC
Permalink
Hallo,

ich habe einen ISA 2004 SP3 als Edge Firewall. Über diesen laufen von meinem
internen DNS Server (2003) die DNS Forwardings an einen Provider DNS Server,
der demnächst DNSSEC verwendet.

Soweit ich gefunden habe, kann Server 2003 damit umgehen. Das mögliche
Problem sind vielleicht längere Datenpakete für DNS.

Hat da jemand Erfahrungen, ob das der ISA Firewall dienst kann bzw. ob er
sich daran nicht stört ?

Wir wollen DNSSEC selber nicht nutzen nur muss die DNS Auflösung weiterhin
klappen. Einen anderen externen DNS kann ich leider nicht nutzen...

Über sachdienliche Hinweise bin ich dankbar.

Alexander Kromat
Jens Baier
2010-01-15 14:02:55 UTC
Permalink
Hi,
Post by Alexander Kromat
Soweit ich gefunden habe, kann Server 2003 damit umgehen. Das mögliche
Problem sind vielleicht längere Datenpakete für DNS.
Windows 2003 bietet nur Basis Support fuer DNSSEC an, Du solltest auf 2008
R2 gehen, da ist die Unterstuetzung erheblich besser
Post by Alexander Kromat
Hat da jemand Erfahrungen, ob das der ISA Firewall dienst kann bzw. ob er
sich daran nicht stört ?
nur mit 2008 und da geht es problemlos, da ja nur DNS Forwarding gemacht
wird!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Alexander Kromat
2010-01-18 11:26:10 UTC
Permalink
Hallo,

vieleicht habe ich mich nicht richtig ausgedrückt....

Update auf neues OS ist zur Zeit nicht möglich.

Es gibt eine Firewallregel, die DNS von innen nach außen erlaubt. Sind dort
Probleme mit den ggf. längeren UDP Paketen zu erwarten ?
Die Signierung interessiert uns gar nicht, aber DNS soll weiter
funktionieren.

Alex
Post by Jens Baier
Hi,
Post by Alexander Kromat
Soweit ich gefunden habe, kann Server 2003 damit umgehen. Das mögliche
Problem sind vielleicht längere Datenpakete für DNS.
Windows 2003 bietet nur Basis Support fuer DNSSEC an, Du solltest auf 2008
R2 gehen, da ist die Unterstuetzung erheblich besser
Post by Alexander Kromat
Hat da jemand Erfahrungen, ob das der ISA Firewall dienst kann bzw. ob er
sich daran nicht stört ?
nur mit 2008 und da geht es problemlos, da ja nur DNS Forwarding gemacht
wird!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-01-18 12:14:04 UTC
Permalink
hallo alexander,
Post by Alexander Kromat
Es gibt eine Firewallregel, die DNS von innen nach außen erlaubt. Sind
dort Probleme mit den ggf. längeren UDP Paketen zu erwarten ?
Die Signierung interessiert uns gar nicht, aber DNS soll weiter
funktionieren.
ich habe das zwar noch nicht ausprobiert, würde aber vermuten das dies
funktionieren wird. das einzige was dir hier "in die suppe spucken" könnte
wäre der dns-filter, den du aber ggf. durch eine eigene protokolldefinition
oder generell ausschalten könntest.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-18 12:27:46 UTC
Permalink
Hi,
Post by unknown
ich habe das zwar noch nicht ausprobiert, würde aber vermuten das dies
funktionieren wird. das einzige was dir hier "in die suppe spucken"
könnte wäre der dns-filter, den du aber ggf. durch eine eigene
protokolldefinition oder generell ausschalten könntest.
funktioniert auch mit aktiviertem DNS Filter!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-01-18 12:43:15 UTC
Permalink
huhu,
Post by Jens Baier
funktioniert auch mit aktiviertem DNS Filter!
na dann "go for gold" sag ich mal.
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Alexander Kromat
2010-01-18 13:14:51 UTC
Permalink
Danke für die Infos. Ich hatte es auch so vermutet.

Wenn es dann doch Probleme gibt, kann man ja auch noch den MS Support
nutzen...

Aber erst mal abwarten...

Alex

"Jens Mander" <~remove_this*jemand[at]aixperts[dot]de> schrieb im
Post by unknown
huhu,
Post by Jens Baier
funktioniert auch mit aktiviertem DNS Filter!
na dann "go for gold" sag ich mal.
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...