DNS Einstellungen um mit der Synology zu "reden"?

[F!r3f0x]

Mal ne Frage zur korrekten Konfiguration einer Synology und mit einer AD Domäne.

Auf die Synology wird via OpenVPN zugegriffen. Öffentliche und Statische IP usw. ist alles vorhanden und soweit eingerichtet. Der Zugriff funktioniert ohne weitere Probleme.

Damit alles funktioniert und alle Einstellungen bspw. auch über Gruppenrichtlinien verteilt werden können, ist es da notwendig in den Adaptereinstellungen (Lan oder Wlan je nachdem) im Bereich DNS die IP der Synology zu hinterlegen? Ich habe nämlich das Gefühl, dass via GPUPDATE /FORCE nicht immer alle Einstellungen korrekt auf die Client Computer übernommen werden.

 

[computerbase107]

In solchen Umgebungen hat es sich als hilfreich herausgestellt dem Nas eine feste IP-Adresse zu geben.

 

[F!r3f0x]

Sollte das Gerät eigentlich bekommen, die Einstellung in der FritzBox ist auf jedenfall gesetzt.

 

[prian]

Das NAS sollte grundsätzlich eine feste IP haben, das ist ja ein Server.
Wenn das NAS auch DHCP spiele und DNS, dann reicht es am PC aus alles auf automatisch unter Windows einzustellen.
Die Werte wie IP-des-Clients, DNS und Gateway werden dann vom DHCP-Server an die Clients weitergegeben.

Gib dem NAS einfach eine feste IP.

Wer spielt nun DHCP bei Dir? Fritzbox oder das NAS?
Wenn es die FB ist, dann sollte das NAS eine IP haben außerhalb der DHCP-Range.

 

[t-6]

Nur zur Klärung: Ist das Synology NAS Domänen-Controller & DNS-Server?

Was DNS-Einstellungen angeht: In Domänen-Umgebungen bekommen Clients niemals einen DNS-Server eingetragen, der die "Domäne nicht kennt". Auch nicht an zweiter oder dritter Stelle.
Das höchste der Gefühle ist ein DNS-Server, der per Bedingter Weiterleitung/Conditional Forwarder an DNS-Server der eigentlichen Domäne weiterleitet.
Aber kein PC/Client bekommt einen externen DNS-Server eingetragen. Externe DNS-Server werden erst beim DNS-Forwarder eingetragen den ein AD-Domänen-Server benutzt UND ZWAR NUR BEIM FORWARDER!!!!!

Desweiteren: 192.168.178.0/24 ist das denkbar schlechteste Subnetz wenn man von außerhalb darauf (per VPN) zugreifen möchte.

 

[F!r3f0x]

Nur zur Klärung: Ist das Synology NAS Domänen-Controller & DNS-Server?

Aktuell ja. Gibt es eine bessere Möglichkeit? Bin Hauptberuflich kein IT'ler :-)

Desweiteren: 192.168.178.0/24 ist das denkbar schlechteste Subnetz wenn man von außerhalb darauf (per VPN) zugreifen möchte.

Warum?
Lässt sich glücklicherweise schnell ändern. Empfehlung? Könnte die 178 auf 188 ändern.

bekommen Clients niemals einen DNS-Server eingetragen

ok also alles raus aus den Adaptereinstellungen

 

[prian]

Wenn die FB DHCP-Server spielt, dann lass' diese doch auch DNS-Server spielen und Gateway.
Ansonsten lass es das NAS machen.
Bei mir ist ein W2019 Server im Einsatz, er macht DHCP und DNS und die FB ist Gateway, das wird so an die Clients übermittelt. Es ist auch Domänencontroller.
Die Clients sind allerdings NICHT in der Domäne selbst drin, müssen sie auch nicht.

 

[d2boxSteve]

Wenn du das Netz 192.168.178.0/24 benutzt wie gefühlt jeder der eine Fritzbox hat, dann funktioniert deine VPN nicht wenn du bei so jemanden bist.
Wenn der auch das Netz verwendet kannst du niemals dein Netz erreichen, es ist ja bereits lokal vorhanden :=)

 

[F!r3f0x]

Das sind die Standardeinstellungen die die Synology setzt. Ich hab vorerst daran nichts geändert. So wie ich das deute leitet die Synology die Anfragen auf die FritzBox weiter? Zumindest steht dort ja die IP des Forwarders drin.

Die Clients sind NICHT in der Domäne selbst drin.

Hab das nicht ganz verstanden. Ich hab das bei mir so eingestellt, dass jeder Nutzer Zugangsdaten hat und sich dann in der Domäne am Windows Login Bildschirm einloggen kann. Die Geräte müssen dafür einmal im internen Netzwerk gewesen sein, damit sie sich die Einstellungen ziehen und in die AD einloggen können.

Ergänzung (11. März 2021)

Wenn du das Netz 192.168.178.0/24 benutzt wie gefühlt jeder der eine Fritzbox hat, dann funktioniert deine VPN nicht wenn du bei so jemanden bist.
Wenn der auch das Netz verwendet kannst du niemals dein Netz erreichen, es ist ja bereits lokal vorhanden :=)

Das hatte ich auch mal gelesen. Zuhause hab ich die 178 auf 188 geändert :-)

Was ist den so der gängige Adressbereich den man normalerweise nimmt? Einfach was ausdenken will ich jetzt nicht 🙃

 

[prian]

@F!r3f0x
Ich wollte nur sagen, dass man dafür als Client nicht in einer Domäne sein muss.
Bei Dir ist eine Domänenanmeldng der Clients natürlich sinnvoll, zuhause brauche ich meine PCs nicht in einer Domäne, aber der Server will DC spielen.

 

[t-6]

Aktuell ja. Gibt es eine bessere Möglichkeit? Bin Hauptberuflich kein IT'ler :-)

Aber wozu dann eine Domäne? Das ist nicht das einfachste einzurichten und vor allem robust zu halten.

Warum?

Weil .178 das werkseingestellte Subnetz von Fritzboxen ist.
Die Gefahr ist - zumindest in Deutschland - sehr hoch, dass du mit deinem PC eine VPN-Verbindung aufbaust während du hinter einer Fritzbox mit Werks-Subnetz hängst. Und da das Ziel-Subnetz auch dasselbe Subnetz ist, wird der Netzwerk-Traffic nicht "rüberwechseln" ins Zielnetzwerk, weil der Client ja schon im .178er Netzwerk ist.

Lässt sich glücklicherweise schnell ändern. Empfehlung? Könnte die 178 auf 188 ändern.

Mh. Imho noch zu naheliegend. Mach lieber 192.168.87.1/24 oder so.

Weitere "verbotene" Subnetze:
192.168.2.x (Speedport!)
192.168.179.x (Gastnetz von Fritzboxen)
192.168.0.x
192.168.1.x
192.168.10.x

 

[F!r3f0x]

Aber wozu dann eine Domäne? Das ist nicht das einfachste einzurichten und vor allem robust zu halten.

Ist ja auch nicht für zuhause :-)
Wofür es ist sag ich jetzt erstmal nicht, sonst ist das Geschrei hier groß.

Danke für die Erklärung. Ich habe dazu auch eine Grafik gefunden. Ich hab mich jetzt für den Adressbereich 142.13.219.x entschieden (irgendwo im Netz gesehen). Trage ich nachher in der FritzBox per Remote so ein.

Sollte dann hoffentlich keine Probleme geben per VPN Zugang.

 

[snakesh1t]

Nicht hauptberuflich ITler und dann eine AD betreiben ist aber auch abenteuerlich!
Ist das eine produktive/gewerbliche Umgebung?
Ein paar mehr Infos wären auch nicht schlecht.
Was für eine NAS hast du und was für einen DomainController?
Wenn du mit Gruppenrichtlinien arbeitest klingt es ja schon stark nach nem Windows Server.

Grundsätzlich würde ich es so konfigurieren:
Netzwerk ausserhalb der bekannten, üblichen IP-Bereiche, also z.B. 192.168.42.0/24
DC = statische IP, DHCP Server (verteilt IP,DNS=DC/NAS,GW=FB), DNS-Server mit Weiterleitung auf die FB
FB = Gateway und DNS (nur für den DC!)
Clients = DHCP, keine statische IP

 

[spcqike]

einfach so irgendeine wilde IP zu nehmen kann aber auch problematisch sein. es gibt reservierte Private IP Bereiche
https://de.wikipedia.org/wiki/Private_IP-Adresse

Viele Firmen und öffentliche Netze nutzen Class A, also 10.0.0.0/xx. Daheim benutze ich Class B, weil die 0-8-15 Router bei Bekannten idR Class C verwenden.

edit:
https://www.ip-adres.nl/IP/142-13-219-1

 

[t-6]

Ich hab mich jetzt für den Adressbereich 142.13.219.x entschieden (irgendwo im Netz gesehen).

Neee, das gibt erst richtig Probleme da kein privater Adressbereich.

 

[F!r3f0x]

ITler und dann eine AD betreiben ist aber auch abenteuerlich!

Liebe die Herausforderung! Macht mir auch Spaß zu Knobbeln.
Nutze eine Synology DS920+. Domain Controller ist der NAS selbst.

Aktuell verteilt die FritzBox die IP's im Netzwerk. Spricht da was gegen?

das gibt erst richtig Probleme da kein privater Adressbereich.

Privat bedeutet für Privatpersonen ergo Zuhause?
Dann würden ja Unternehmen nicht in diese IP-Klassen reinfallen richtig?

 

[prian]

Ich verfahre grundsätzlich so, dass der DC auch DHCP/DNS Server ist und wie in #13 - bei DC - dargestellt verteilt.

 

[t-6]

Privat bedeutet für Privatpersonen ergo Zuhause?
Dann würden ja Unternehmen nicht in diese IP-Klassen reinfallen richtig?

Uff.

Also es ist eine Sache Fragen in einem Forum zu öffentlichen & privaten IP-Adressen zu beantworten (Hinweis: Das hat nichts mit Rechtsformen zu tun).
Es ist eine gänzlich andere Sache diese Fragen zu beantworten wenn im Raum Themen wie VPN, Domäne & vermutetem geschäftlichem Einsatz stehen.

Mit anderen Worten: Wenn man den Unterschied zwischen öffentlichen & privaten IP-Adressen nicht kennt, sollte man die Finger von Domänen-Netzen lassen und zwar ganz besonders dann, wenn dahinter Gehaltszettel stehen.

--> Systemhaus.

 

[F!r3f0x]

öffentlichen & privaten IP-Adressen nicht kennt

Das ist jetzt auch keine Raketenwissenschaft und kann man sich in kurzer Zeit aneignen.

Meine Eingangsfrage ist soweit auch beantwortet worden. Das Thema mit den IP's nehm ich als kleines Schmankerl mit :-)

 

[d2boxSteve]

Vorschlag für einen privaten (RFC) IP-Bereich der eher selten anzutreffen ist und zu 99% überall funktionieren sollte:

172.16.0.0/24 (also 172.16.0.1 für die FB)