Neo van Matix Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Hallo, wir setzen einen Win2k3-Server für DHCP, und zwei weitere für DNS ein. Nun existieren in unserem Netz ziemlich viele... "Altlasten", z.b. Einträge im DNS die nicht mehr existieren, etc. pp. Nun wollte ich mich mal darum kümmern. Mein initialer Gedanke war: Alle Workstations und Peripheriegeräte aus dem DNS löschen, damit Sie beim nächsten DHCP-Lease neu eingetragen werden. Es sind einige dabei, bei denen es immer wieder zu problemen kommt (im DNS werden mehrere Einträge mit der gleichen IP geführt, usw.). Für einen einfachen Test habe ich eine VMware-Session mit WinXP erstellt, die ihre IP per DHCP bezieht. Der DHCP-Server ist so eingestellt, dass er "Dynamisch DNS-Update mit den unten genannten Einstellungen aktualisiert: DNS-A- und PTR-Einträge immer dynamisch aktualisieren; A- und PTR-Einträge beim Löschen der Lease verwerfen; und "DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern, dynamisch aktualisieren". Ich habe die VMWare-Session gestartet, mir eine IP beziehen lassen, und nach geschaut: Im DHCP wird das Lease angezeigt. Im DNS ist vom Rechnernamen NICHTS zu sehen. Auch nach 30 Minuten wartezeit (wg. ggf. Abgleiche der DNS-Server). Ich habe darauf geachtet, dass es keine vorhandenen Einträge im DNS gibt, die den gleichen Rechnernamen oder die IP beschreiben. Er hätte im DNS also einen Eintrag anlegen sollten, tat dies aber nicht. Woran kann sowas liegen? Mehr Optionen gibt es doch nicht, um das DNS aktualisieren zu lassen? (Ggf. noch wichtig: AD-Domäne) Dazu noch etwas kurioses: Y:\>ping ws121vm1xp Ping ws121vm1xp.xxx.xxxxx.de [192.168.1.110] mit 32 Bytes Daten: Antwort von 192.168.1.110: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.110: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.110: Bytes=32 Zeit<1ms TTL=128 Ping-Statistik für 192.168.1.110: Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms STRG-C ^C Y:\>nslookup ws121vm1xp Server: xxxx.xxxxx.de Address: 192.168.1.xx *** ws121vm1xp wurde von xxxx.xxxx.de nicht gefunden: Non-existent domain Weshalb kann ich den Rechnernamen anpingen, OBWOHL ich den Hostnamen nicht auflösen kann?! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Wer ist der DNS-Server? Einer Deiner DCs oder ein DSL-Router? Pruefe Deine DNS-Zonen, dort muss die dynamische Aktualisierung auch erlaubt sein. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neo van Matix Geschrieben 3. April 2008 Autor Teilen Geschrieben 3. April 2008 Hallo, Es handelt sich um zwei physische Server, beide Domänencontroller (einer davon der Primary, wenn man das noch so nennen kann). Auf Server1 läuft DNS, DHCP, auf Server 2 der DNS. In den Eigenschaften der Zonen scheint auch alles richtig eingetragen zu sein: "Dynamische Updates:" steht auf "Nur Sichere", und unter "Namensserver" stehen auch die richtigen Server drinnen. Ich... weiß nicht wirklich weiter :/ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Was sind das fuer DNS-Zonentypen? AD-integrierte Primaere Zonen? Primaere/Sekundaere Zonen, nicht im AD integriert? Oder Stubzones? Versuch es mit AD-integrierten Zonen, sonst funktioniert die sichere Aktualisierung von DNS-Eintraegen nicht. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neo van Matix Geschrieben 3. April 2008 Autor Teilen Geschrieben 3. April 2008 hm, woran kann ich erkennen, welchem Typ die Zonen angehören? Unter Eigenschaften unserer "Hauptzone" (inder die Workstations etc. sind) steht unter Typ "Active Directory-integriert". Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Hauptsache die Zonen sind AD-integriert, sonst kannst Du nur unsichere DNS-Aktualisierung nutzen. AD-integriert heisst, die DNS-Zonen koennen von jedem DC verwaltet werden und der Transfer der Zonen zwischen den DNS-Servern erfolgt mit der Replikation Deiner DCs. Bei AD-integriert gibt es das bekannte Konzept Primaere DNS Zone +Sekundaere DNS-Zonen nicht. Installiere falls noch nicht geschehen die zum Betriebssystem und SP passenden Windows Support Tools auf einem Deiner DCs. Dann die folgenden Befehle auf dem DC mit den Windows Support Tools ausfuehren: netdiag /q dcdiag /q Beide duerfen keine Fehler ausgeben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neo van Matix Geschrieben 3. April 2008 Autor Teilen Geschrieben 3. April 2008 Hm... netdiag.exe: Global results: Default gateway test . . . . . . . : Failed [FATAL] NO GATEWAYS ARE REACHABLE. You have no connectivity to other network segments. If you configured the IP protocol manually then you need to add at least one valid gateway. DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for DC are registered on DNS server '192.168.1.xx1 ' and other DCs also have some of the names registered. PASS - All the DNS entries for DC are registered on DNS server '192.168.1.xx2 ' and other DCs also have some of the names registered. IP Security test . . . . . . . . . : Skipped The command completed successfully Das Gateway ist definitiv zu erreichen, rejected jedoch die ICMP-Packete... wahrscheinlich führt netdiag.exe nur einen PING-Test aus... Und dcdiag.exe spuckt überhaupt nix aus - keine Meldung :/ Aber es ist echt schrecklich, ich hab im Reverse-Lookup gut 20-30 Einträge die doppelt vorhanden sind. Er scheint die einfach nicht zu aktualisieren, sondern NEUE anzulegen?! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ewert59 Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Ich habe darauf geachtet, dass es keine vorhandenen Einträge im DNS gibt, die den gleichen Rechnernamen oder die IP beschreiben. Er hätte im DNS also einen Eintrag anlegen sollten, tat dies aber nicht. Woran kann sowas liegen? Mehr Optionen gibt es doch nicht, um das DNS aktualisieren zu lassen? (Ggf. noch wichtig: AD-Domäne) Dazu noch etwas kurioses: Y:\>ping ws121vm1xp Ping ws121vm1xp.xxx.xxxxx.de [192.168.1.110] mit 32 Bytes Daten: Antwort von 192.168.1.110: Bytes=32 Zeit<1ms TTL=128 Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust), Y:\>nslookup ws121vm1xp Server: xxxx.xxxxx.de Address: 192.168.1.xx *** ws121vm1xp wurde von xxxx.xxxx.de nicht gefunden: Non-existent domain Weshalb kann ich den Rechnernamen anpingen, OBWOHL ich den Hostnamen nicht auflösen kann?! Doch, du kannst ihn auflösen, aber nicht mit DNS (zB kann er in der ..\etc\hosts stehen, was ich bei Dir nicht vermute). Falls Du selber nachschauen willst, installiere Dir wireshark und schau, was bei der ping-Anfrage passiert. Ein Zweites ist, dass Du nur mit dem einfachen Namen abfragst. Ist es bei der Namensauflösung erlaubt, Suffixe anzuhängen? Versuche mal ws121vm1xp.xxxxxx.xxxx.de anzusprechen. Was ist mit der Reverse-Auflösung, geht die? Und dann noch wäre die Protokollierung der Aktionen beim DNS auf Server-Seite, dazu (meine VBox mit dem Server fährt gerade hoch ;-) ) wäre beim DNS-Server die Eigenschaft "Debugprotokollierung" einzuschalten (das Protokoll sieht dann fast so aus wie das eines Sniffers). Noch ein anderer Effekt, der bei Dir nicht auftritt, da Deine Domäne mit einer TLD und nicht nur aus einer TLD besteht: KB 300684 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neo van Matix Geschrieben 3. April 2008 Autor Teilen Geschrieben 3. April 2008 Hm, okay, stimmt... ws121vm1xp kann ich anpingen, mit angehängtem Suffix nicht... Ich weiß nicht genau, wie das früher geregelt wurde. Ich meine mich erinnern zu können, dass mein Chef vor gut einem halben Jahr den DHCP so eingestellt hat, das er die Einträge im DNS aktualisiert. Bis jetzt gehe ich davon aus, dass meine Probleme mit dem DNS durch Alt-Einträge hervorgerufen werden, weshalb ich auf die Idee kam, einfach alle Einträge aus dem DNS zu löschen und Sie automatisch, per DHCP, neu anlegen zu lassen. Aber das funktioniert ja scheinend auch nicht - MUSS aber doch irgendwie; sonst hätten etwa 35 Leute immer ein Problem bei der Namensauflösung, wenn Sie etwa ein neues Gerät ins Netz hängen (oder gestellt bekommen). Merkt sich der DHCP, wem er eine IP vergeben hat, und vergibt diese dem Gerät immer wieder? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Ist ok, wenn dcdiag /q nichts ausgibt. Das /q steht fuer quiet und zeigt nur Fehler an. Schau Dir zu den betreffenden PTR Eintraegen die A Eintraege in der Forward Zone an. Ist auf den betreffenden A Eintraegen diese sinngemaesse Einstellung gesetzt: PTR automatisch aktualisieren? Nein, einen der betreffenden A und PTR Eintraege loeschen und auf den dazugehoerigem DHCP-Client ipconfig /release ipconfig /flushdns ipconfig /renew ipconfig /registerdns nbtstat -R nbtstat -RR ausfuehren. Dann sollte nach ca. 15 min der A und PTR-Eintrag in den DNS-Zonen wieder zu finden sein und evtl. Registrierungs-Fehler auch im Eventlog des Clients zu sehen sein. Zusaetzlich registriert sich der Client auch am ggfl. vorhandenen WINS neu. (nbtstat -RR) Schau Dir auf den Clients auch das primaere DNS-Suffix an: Das sollte auf Deinen DNS-Domaenen-Namen (z.B. localdomain.example) eingestellt sein. Auf dem DHCP-Server sollten als Subnet-Option neben dem Bereich, der Lease-Dauer, dem Gateway und der DNS-Server auch die DNS-Domain und der verwendete NetBIOS-Knotentyp gesetzt sein. Wie ist die Reihenfolge der DNS-Server auf Deinen DCs? Bei mehreren DCs sollte als primaerer DNS immer einer der anderen DCs als DNS drin stehen und als Sekundaerer DNS die eigene IP des DC/DNS. Das vermeidet DNS Islands. (siehe DNS Server becomes an island when a domain controller points to itself for the _msdcs.ForestDnsName domain ) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. April 2008 Teilen Geschrieben 3. April 2008 Merkt sich der DHCP, wem er eine IP vergeben hat, und vergibt diese dem Gerät immer wieder? Nicht ganz. Der DHCP-Server merkt sich nur die Leases selbst (IP/MAC/noch verbleibende Leasedauer). Der DHCP-Client merkt sich welche IP er bekommen hat. Er versucht das 1. Mal nach 50% der Lease-Dauer seine IP zu erneuern (nur diese DHCP Messages: DHCP REQUEST vom Client / DHCP ACK oder DHCP NACK vom Server) Falls hier keine Erneuerung moeglich: Nach 87,5% der Lease-Dauer dasselbe nochmal. Wenn das auch fehlschlaegt: Lease laeuft am Ende der Lease-Dauer ab. DHCP Messages: siehe DHCP (Dynamic Host Configuration Protocol) Basics Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.