Win Active Directory & Werbeblocker

sewo · 12. April 2021 um 08:25

Hallo,

hätte eine kurze Frage an die IT Experten hier.
Habe eine Win Server 2019 VM mit Active Directory & DNS.
Zusätlich habe ich einen Adguard Home Server.

DC = Win Server 2019 VM
AG = Adguard Home Server.

DC Server hat in der IP Einstellungen für DNS die IP von AG.
Die Clints haben als DNS Server die IP von DC.

Die Werbungen werden zwar geblockt, im Dashboard von AG sehe ich aber nur die IP von DC.
Ich sehe aber nicht von welchem Client was geblockt wurde.

Ist die Einstellung überhaupt Richtig?
Kann mir da jemand einen Tipp geben?

Gruß

HarmonyFan · 12. April 2021 um 08:47

Hi,
wenn die Clients als DNS die Adresse vom DC bekommen woher soll AG wissen welcher Client das war. Bei den DHCP-einstellungen vom DC die DNS-IP von AG angeben und wenn Du statische IP-Adressen vergibst dort auch die DNS-IP von AG eintragen. Änhliches Problem hatte ich mit PiHole.

Ralf

loerdy · 12. April 2021 um 08:49

Das ist völlig normal. Die Clients fragen Deinen DC und was der DC nicht beantworten kann fragt dieser dann bei externen DNS Servern nach. Üblicherweise sollte Dein DC aber auch sich selbst als DNS hinterlegt haben, damit er seine Dienste darin registriert. Im DNS hinterlegst Du den ADGuard dann als DNS-Forwarder. Du kannst den Clients auch den AD als DNS zuweisen, dann muss der ADGuard aber als Fowarder den DC haben und der DC benötigt dann wiederum einen anderen Forwarder als Deinen AD ( fritzbox, Google, usw… )

Loerdy

loerdy · 12. April 2021 um 08:50

Das gibt so definitiv Probleme mit dem Active Directory …

Loerdy

sewo · 12. April 2021 um 18:14

Hi loerdy,

auf die Idee bin ich nicht gekommen. Danke
Jetzt passt es.

Gruß

7weazel7 · 12. April 2021 um 19:10

Hi sewo,

ich hab’s genau so bei mir am Laufen. Leider verliert man die Client Information am Pi-Hole/ADGuard, aber dafür hat man keine Probleme mit dem AD.

Client → Active Directory (Windows DC) → Werbeblocker (Pi-Hole) → Firewall (OPNsense) → Externer DNS-Server (DNS over TLS)

sewo · 13. April 2021 um 05:08

Hi,

ich habe es wie von loerdy vorgeschlagen umgesetzt und ich sehe jetzt alle Clients und habe keine Probleme mit AD.

Client → Werbeblocker (Adguard) → Active Directory …

Firewall (USG) wird aber bald durch Opnsense abgelöst.

Gruß

7weazel7 · 13. April 2021 um 05:19

Super, das freut mich!
Mir ist noch was eingefallen warum ich es so nicht mache. Und zwar funktioniert in dieser Konstellation die dynamisch DNS-Registrierung der Clients am DNS nicht mehr. Damit diese funktioniert muss der AD-DNS als primärer DNS am Client eingetragen werden. Falls du dies nicht benötigts ist alles gut
Grüße

loerdy · 13. April 2021 um 06:33

Oder man lässt es den DHCP Server machen …

Loerdy

7weazel7 · 13. April 2021 um 06:48

@loerdy
Die Namensregistrierung mittels dynamischer DNS-Aktualisierung habe ich eingerichtet. Zumindest die Anmeldeinformation im DHCP hinterlegt. Leider werden sowohl AD gejointe Windows Clients als auch nicht Windows Clients nicht am DNS registriert sobald ich einen anderen DNS als den AD-DNS nutze. Ändere ich auf den AD-DNS sehe ich die Einträge mit entsprechenden Sicherheitsinformation des Benutzers welcher im DHCP hinterlegt ist.
Hast du zusätzlich noch was hinterlegt oder eingerichtet?

loerdy · 13. April 2021 um 10:47

ich meine das muss so gesetzt werden.
Ist aber auch schon wieder etwas her wo ich das zuletzt gemacht hab.

Loerdy