Man könnte meinen eine Internetumstellung sei ein Kinderspiel. Neue Leitung beantragen, aufschalten, Modem anschliessen und auf der Firewall die Einstellungen machen. Anschliessend die alte Leitung trennen. Aber weit gefehlt. Im Nachhinein muss ich sagen, dass es eigentlich wirklich nicht so kompliziert war. Dennoch etwas komplexer als ich mir das selbst vorgestellt habe.

Wenn man von Provider A zu Provider B wechselt, wechseln natürlich auch die DNS-Server. Vielfach ist es sogar so dass die Provider DNS-Anfragen aus einem anderen Netz als ihrem eigenen gar nicht mehr beantworten. Wenn also hinter der Firewall entsprechend Mail-Server, DNS-Server, Mailencryption-Appliances und weitere vom Internet abhängige Geräte stehen, dann kann das gerne mal Probleme machen.

Die Firewall ist schnell konfiguriert. Die bestehenden Rules sind so anzupassen dass natürlich der Traffic über die neue Verbindung / das neue Interface (falls beide Leitungen im Parallelbetrieb laufen) abgewickelt wird. Der neuen Leitung sollte man zumindest im Parallelbetrieb mit mehreren verschiedenen WAN-Verbindungen die entsprechende Priorität geben, sodass der ganze Traffic von intern nach extern über die neue Leitung geht. Entsprechend schnell ist die Internetverbindung auf die neue Leitung umgestellt.

Was ist aber nun mit Mail-Servern? Mailencryption-Appliances? Etc.?

Wer das ständig vor Augen und im Kopf hat, dass diese Geräte / Server ebenfalls einen DNS brauchen um mit der Welt da draussen zu kommunizieren, der kann hier aufhören mit lesen und getrost Feierabend machen. Wer das aber nicht weiss, nicht kennt, vergessen hat, nicht daran gedacht hat, der sollte weiterlesen…

Punkt eins – Domänencontroller

Der Domänencontroller im Netzwerk regelt wer was tun darf und wer mit wem kommuniziert. Vielfach ist der Domänencontroller gleichzeitig auch DNS- und DHCP-Server. Dass heisst dass er im internen LAN die IP-Adressen an die Clients vergibt und ebenso Anfragen vom internen LAN ins WAN weiterleitet. Auf dem DNS-Server im LAN müssen also zwingend die DNS-Server es neuen Internetproviders eingetragen werden.

Punkt zwei – Mail-Server

Auch Mailserver verwenden das DNS-System um Mails vom LAN in die weite Welt draussen zu schicken. Denn sie fragen die DNS-Server des Internetproviders wo es denn nun zu Fritz und seinem Postfach geht. Wenn hier DNS-Probleme vohanden sind, kommen die Mails im schlechtesten Fall nicht mal aus der Warteschlange raus ins Internet.

Punkt drei – weitere Geräte / Appliances

Auch hier versteckt sich manchmal der Teufel im Detail. Unter Umständen setzt ihr resp. euer Kunde eine Appliance ein welche sich nur um Mail-Verschlüsselung kümmert. Das heisst dass sie die Mails vom internen Mail-Server entgegen nimmt, verschlüsselt, und dann in aller Regel auch wieder per MX-Lookup, also DNS-Abfrage, ins Netz nach draussen schickt. Und auch die Appliance braucht ihren DNS-Server den sie Fragen kann, wo es denn nun zum Postfach von Fritz geht.

Prüft also bei einer Internetumstellung / einem Providerwechsel ob ihr die DNS-Server überall korrekt eingetragen habt. Denn alleine mit korrekten DNS-Settings lassen sich schon viele Probleme sehr einfach aus der Welt schaffen.