Moin,
ich hab zu Hause ein Propblem was mich seit ein paar Tagen in den Wahnsinn treibt. Erst dachte ich, ich hätte einen Bug im Windows Server 2025 gefunden. Leider war es nicht so einfach. Als Microsoft Consultant und bald ehemaliger MCT habe ich zuhause neben meinem "Heim" Active Directory auch diverse Testlabs. Da kam mir die Zone Based Firewall gerade recht, als ich es entdeckt habe. Ich weiss aber nicht ob das Problem vorher nicht auch existiert hätte. Da waren die Testlabs noch alle in einem Hyper-V und hatten nur eine Verbindung ins Internet über einen Proxy. (Weil mir die alten Firewall regeln zu viel arbeit waren).
Die Netzwerke und Zonen sind wie folgt aufgebaut:
Mein Problem ist jetzt, war das immer wenn eine DNS Anfrage das Netz verlässt, es keine Antwort gibt. Die AD Domäne nutzt "ad.fabian-niesen.de" wobei die Subdomäne nur intern (Von den DCs) auflösbar ist. Zur Analyse habe ich NSLOOKUP genutzt um es möglichst einfach zu machen. Das IPS habe ich hals erstes deaktiviert, auch wenn nichts in den Log steht. Darauf kann man sich ja leider bei der UDM nicht immer verlassen.
Nach dem ich den Content Filter von Work auf None für das Quellnetzwerk gesetzt habe klappten manche Namensauflösungen, nämlich die, die die UDM kennt.
Von intern ergibt der NSLOOKUP "Testlabserver FQDN" "IP Test-lab DC" nur ein Ergebnis, wenn die UDM den Systemnamen kennt. Wenn die UDM das System kennt, ist es auch eine autorisierte Antwort. Spannend, die Server IP die ich beim NSLOOKUP eingebe ist egal, selbst ungenutzte IPs antworten entsprechend.
Als nächsten Schritt habe ich gesehen das ich in der UDM auch DNS Einträge wie "Domain Forwarding" eingetragen kann. Das habe ich für die AD Domäne getan, seit dem bekomme ich auch für Systeme die die UDM nicht kennt ein Ergebniss. Das erste mal autorisierend und danach nur noch als nicht autorisierende Antwort.
Jetzt könnte man meinen das wäre ja eine Lösung, aber ich möchte nicht, das sich die UDM dazwischen klemmt, weil dann einige AD DNS Funktionen nicht funktionieren. Beim Content-filtering hätte ich erwartet das es erst beim DNS Richtung WAN anschlägt.
Aktuell habe ich das Gefühl, wenn ich die UDM zur "Fritz Box" Lobotomieren würde, könnte es gehen. Aber eigentlich mag ich die Sicherheitsfunktionen, wenn die richtig funktionieren würden...
Die AD Domäne Freischalten geht intern leider auch nicht, weil das Ziel Domäne nur bei Firewall Regeln ins internet konfiguriert werden kann. Ich dachte, da der Adblocker ja auch noch mitspielt, könnte da ein Problem sein.
Ich würde eigentlich erwarten das die UDM DNS (Solange sie nicht als DNS Server eingetragen ist) erst dann eingreift / manipuliert für Ad-Blocker, Content Filtering und Co. wenn der Traffic zum WAN Interface geht.
Hat jemand eine Idee oder muss ich zurück zur alten Firewall??
Viele Grüße
Fabian
