Zum Inhalt springen

Windows DNS des SBS 2008 in Verbindung mit Win7 und Linux Clients und Servern


Empfohlene Beiträge

Geschrieben

Hallo alle zusammen,

Ich habe vor kurzem in meine neue Firma gewechselt und soll hier nun einen SBS2008 in Betrieb nehmen. Unterbau ist ein Dell Poweredge mit einem Citrix XEN 5.6 SP2 als Hypervisor.

Der SBS wird regulär installiert und der DHCP entsprechend unserer Netzwerkaufteilung eingerichtet. Nun aber die große Frage: Was muss ich mit dem DNS machen, damit er funktioniert? Mein Problem sieht dabei wie folgt aus:

Bei Windows Clients: Die Namen werden nur bedingt aufgelöst, d.h. also die Clients können den DNS Namen in die IP-Adresse auflösen. Wenn man jedoch beispielsweise einen nslookuup ausführt bekommt man keine Ausgaben.

Hier einmal 2 Beispiele, das Erste beschreibt die Problematik von einem Client auf einen Client und das Zweite zeigt, dass es keine Probleme gibt, wenn man den Server direkt auflösen möchte.

011111095631_Test_1_auf_PC-as-01.JPG

Hier ein nslookup auf den Server, auch in beide Richtungen.

011111095832_Test_2_auf_SRV-01.JPG

Auf dem Server sind sowohl Forward- als auch reverselookupzonen eingerichtet.

Die Clients befinden sich jedoch noch nicht in der Domäne, sollte ja keine Voraussetzung für die Funktion eines DNS Servers sein oder? Zumal sie alle ihre IP-Adressen vom DHCP auf demselben Server erhalten haben.

Hinzu kommt noch mein Problem mit den Linux Clients und Servern. Die Clients sind alle up to Date. Problem die Linux Server sind auf einem Stand von vor 5-7Jahren und es traut sich keiner mehr an die Kisten dran. Diese bekommen nicht einmal eine IP-Adresse vom DHCP zugewiesen. -_-

Die sollen aber auch mittelfristig auf den SBS migriert werden, Es Handelt sich bei den beiden Servern um Datenbankserver, also sind diese leider unverzichtbar und ohne eine entsprechende DNS Auflösung für unsere Datenbanksoftware nicht erreichbar. Sonst könnte man Ihnen ja eine Statische Adresse verpassen. Dies aber über DHCP Reservierungen zu lösen empfinde ich als sauberere Lösung.

Ich hoffe auf eure Antworten.

Bereits ein dickes Danke im Voraus.

Geschrieben

Danke für die Rasche Antwort.

Ich habe die Windowsclients jetzt einfach mal in die Domäne gehoben. Das konnte auch schon einen kleinen Teil meiner Probleme beheben.

Wenn ich jetzt einen nslookup auf den Namen ausführe funktioniert es. auf die IP zum Namen leider immer noch nicht. und das Problem mit den Linux Geräte besteht leider auch immer noch, da ich diese leider nicht in die Domäne heben kann.

Diese laufen leider auf intern.domänename.de, wobei der Domänenname unserer Internen und unserer Externen Domäne (Sprich unserer Internetpräsenz) entspricht. leider kann ich das auch noch nicht umstellen, da sonst keine Mails mehr rein kommen -_-

Gibt es die Möglichkeit einzelne Geräte über den DNS oder den DHCP so um zu biegen, dass diese unter beiden Domänen erreichbar wären? Das könnte das Problem mit den Linux Geräten für mich lösen.

Gibt es die Möglichkeit, dass ich meine Einstellungen der Reverselookupzone so exportiere, dass Ihr das lesen könnt und mir ggf. verraten könnt, ob ich da einen gravierenden Fehler gemacht habe?

Habe dafür ein How To für den SBS 2k3 benutzt und die Einstellungen quasi interpretiert und dann getätigt.

Geschrieben

Ich bin mir jetzt nicht sicher obs funktioniert, aber wenn du im DNS in beiden Zonen einen Zeiger erstellt für den Linux PC dann könnte es gehen.

Mit dem exportieren, das weiß ich jetzt nicht ausm stehgreif.

Geschrieben

ALos gut, ich habe die Clients inzwischen ind er Domäne.

Und habe das ganze nocheinmal getestet bei einem NS Lookup Name auf IP sieht das ganze dann unterm Wireshark wie folgt aus:

011111131059_Test_3_auf_PC-test-ok.JPG

So soll es ja auch sien. Wenn ich nun aber den entgegen gesetzten weg gehe und die IP auf den Namen auflösen möchte ändert sich das Bild und das Ergebnis sieht wiefolgt aus:

011111131452_Test_3_auf_PC-test-nicht_ok.JPG

Jetzt verstehe ich mich aber leider nciht gut genug auf netzwerke um das ausfiltrieren zu können. -_-

Vllt. können diese zusätzlichen Informationen ja einem von euch weiter helfen.

@matdog: Nocheinmal danke für den Tipp, das werde ich probieren, sowie der DNS für die Windowsgeräte richtig läuft.

Geschrieben

Habe hier noch einmal die Konfiguration der Forward und DNS Lookupzonen Abfotografiert. Dennoch Sry für den Doppelpost, aber bearbeiten des Posts davor ist leider nicht mehr möglich :(

Hier die Reverse-Lookupzonen:

011111134804_reverse.JPG

und hier die Forward-Lookupzonen:

011111134942_Forward.JPG

Bin für jede Hilfe dankbar -_-

Gruß

Acid

Geschrieben

Das könnte leider wie immer viele Gründe haben.

Habe ich dihc richtig verstanden, dass nur auf dem SBS selbst ein nslookup reverse und normal funktioniert? Auf den Client funktioniert "nslookup dns-name", aber nslookup nicht über die IP-Adresse zur DNS Namensauflösung? Sollte das so sein versuche folgendes:

In den TCP/IP Settings des SBS Servers, steht als primärer DNS die IP des SBS Servers ? Oder 127.0.0.1? Oder etwas ganz anderes?

Versuche mal vom CLient einen nslookup über die Gateway IP, also

"nslookup dns-name/IP-Adresse Gateway-IP".

Desweiteren dnsmgmt.msc->Eigenschaften des SBS DNS Servers->Forwoard und Reverse Zonen testen. Funktioniert die nslookup Auflösung von öffentlichen Adresse, z. B. nslookup www.irgendetwas.de

Auf den Windows 7 Clients in die Einstellungen TCP/IP->erweitert->DNS-DNS Suffix anhängen "Domänenname.local" eintragen. Kisten durchstarten und nochmal versuchen.

Ist im DNS als Weiterleitung das Gateway bzw. der Router eingetragen?

Geschrieben

hast du nachdem du die Zeiger eingetragen hast auch das DNS neugestartet?

Hast du das DNS gleich mit dem AD erstellt oder händisch?

weil wenn du es einfach so installierst führt das immer zu problemen in der Namensauflösung.

Wird es hingegen mit dem AD erstellt, sind nur ein paar kleine Einstellungen noch notwendig (z.B. erstellen der Reverse Zone) und dann geht das.

Geschrieben

oh das mit sbs hab ich großzügig überlesen.

@pantsoff:aber das dns suffix manuell anhängen brauchst du doch gar nicht, wenn die schon in der domäne sind.

War nicht noch irgendwie ne einstellungen, dass die einträge dynamisch geführt werden??? das gabs ja irgendwo.

könnte das des rätsels lösung sein?

Geschrieben (bearbeitet)

Ich muss noch erwähnen, dass ich den folgenden Text im Verlauf der einzelnen Tests Step by Step nach euren Hinweisen geschrieben, falls einige der Punkte uns noch weiter helfen könnten.

@matdog:

Ich habe nach der Zeigererstellung den DNS Serverdienst neu gestartet und auch zwischenzeitlich den Gesamten Server.

Der DNS Server wird doch beim SBS automatisch mitinstalliert, also gehe ich davon aus, dass der mit dem AD erstellt worden ist, mit Sicherheit wissen, tu ich dies jedoch nicht.

@pantsoff:

Ja, da hast du mich richtig verstanden. Es ist so, dass der nslookup auf den Server sowohl Forward, als auch reverse reibungslos klappt. Wenn ich nun aber einen Client hier im Netzwerk nehme, alle Windows 7 und in der lokalen Windowsdomäne, funktioniert dieser nur auf den Namen, jedoch nicht auf die IP Adresse. Es ist die IP des SBS-Servers in den DNS Einstellungen des SBS eingetragen (192.168.0.10). Diese wird auch korrekt an die Clients weiter gegeben. Als sekundären DNS Server habe ich die Firewall (192.168.0.254) eingetragen, diese Einstellung wiederrum wird nicht erst an die Clients übertragen.

Ein NS Lookup über die Gateway IP verändert leider nichts. da funktioniert es ebenfalls von Namen auf IP jedoch nicht von IP auf Namen.

Wenn ich den nslookup über die Gateway Adresse auf Interne IPS oder DNS Namen ausführe erhalte ich nur die Fehlermeldung: *** test01-pc wurde von VPN-SERVER.intranet.domäne.de nicht gefunden: NON-existent Domain.

Auf Externe Adressen, wie google.de hingegen funktioniert das ganze super.

Die Option Nslookupzonen testen kann ich in den Eigenschaften meines DNS Servers nicht finden. Aber man kann nach einem Rechtsklick den nslookup ausführen.

Solltest du das gemeint haben, so kann ich sagen: Externe Adressen funktionieren wunderbar, sowohl Forward als auch reverse. Intern bleibt es beim Alten, die Auflösung von Name in IP funktioniert aber IP in Namen nicht.

Nein, ehrlich gesagt weiß ich auch nicht wie das geht, werde es aber gleich herausfinden und testen.

Auf den Windows 7 Clients in die Einstellungen TCP/IP->erweitert->DNS-DNS Suffix anhängen "Domänenname.local" eintragen. Kisten durchstarten und nochmal versuchen

Wenn man noch den Haken "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" setzt, dann ist der PC von anderen Geräten voll auflösbar.

Die Frage dabei ist nur: Ist das jetzt gut oder schlecht? BZW. was bewirkt dieser Haken? ist das ein Fehler in der Einstellung der Clients oder Serverseitig?

Aber schon einmal ein dickes Danke, so langsam werde ich wieder optimistisch :)

Mit freundlichen Grüßen :)

Bearbeitet von Acid88
Geschrieben

es kann aber nicht die lösung sein an jeden client manuell den haken zu setzen. das problem muss am server liegen.

funktioniert denn die auflösung vom server auf sich selbst in beide richtungen?

Geschrieben (bearbeitet)

Hast du die Clients mit Rechtsklick Computer - Eigenschaften - Computername ändern

in die Domäne genommen, oder mit http://connect?

Mir ist mehrfach aufgefallen, dass http://connect bei Win 7 Clients ohne den DNS Suffix Eintrag im TCP IP nicht funktioniert.

Der Eintrag ist meiner Meinung nach nicht schlimm. Was spricht dagegen ihn drin zu lassen,

wenn dann alles funktioniert? Außerdem wird damit lediglich der fqdn im dns registriert.

Bearbeitet von pantsoff
Geschrieben

Ich habe diesen Eintrag jetzt am Server gesetzt und er verteilt den nun über den DHCP mit an die Clients in meiner Testumgebung.

Wobei mir eine Lösung der Ursache auch das liebere wäre. Da ich nciht weiß, ob das eine Standardeinstellung ist.

Ich hatte an dieser Stelle Ehrlich gesagt auch noch nie Probleme.

Ja vom Server hat davor bereits die Auflösung von sich selbst in beide Richtungen funktioniert und von den Clients auf den Server ebenfalls in beide Richtungen. Nur der Rest des Netzwerkes hat nur in eine Richtung funktioniert.

Die große Frage ist nur: Funktioniert dieser "Workaround" auch unter Linux? Da ich, wie oben beschrieben in der Liveumgebung mit 2 Linux Servern und 2 Clients zu tun haben werde.

Ich habe die Clients über Rechtsklick Computer - Eigenschaften - Computername ändern in die Domäne gehoben.

Geschrieben

such doch mal nach der einstellung mit den "dynamischen Updates zulassen" wenn ich mich recht erinnere gabs damit auch immer wieder probleme da da standardmäßig bei neueinrichtung nicht gesetzt ist.

da musste mal links in deinen DNS -Fenster mit rechtsklick auf eigenschaften und mal suchen

oder ging das nur wenn man die reverse zone neu erstellt hat??

ach ich werd langsam alt :schlaf:

Geschrieben

Haeh, hast du den DNS Suffix jetzt am Server oder bei den CLients gesetzt?????

ipconfig /registerdns und /flushdns sind übrigens auch deine Freunde.

Tests von forwoard und rekursiven Abfragen sind im dnsmgmt.msc vorhanden, schau unter Servername-Eigenschaften-Überwachen, "wählen Sie einen Testtyp".

Das mit den dynaischen Updates, was mein Vorredner in die Runde warf, solltest du auch überprüfen.

Geschrieben

Also Für den ersten Test hatte ich es an einem Client eingetragen, der war dann aus dem ganzen Netzwerk auch über rekursive Abfragen erreichbar, anschließend hatte ich es am Server eingetragen, was nur entgegen meiner vorherigen Aussage doch nichts brachte, da ich nur versehentlich den falschen Client getestet hatte.

Wenn ich das ganze über die DNS Überwachung teste bekomme ich einen Fehler bei der Rekursiven Abfrage. ABer die Windowsprotokolle geben leider nichts her -_-

Die Dynamischen Updates habe ich auf sichere und unsichere Updates zulassen eingestellt, um hier rigendwelche Probleme zu vermeiden.

Das Problem ist, dass der Server bereits der zweite Anlauf ist, da ich beim ersten die selben Probleme hatte.

Kann es daran liegen, dass er ohne Antwortdatei erstellt wurde?

Gruß

Acid

Geschrieben

Der DNS Suffix sollte auch bei den CLients und nicht am Server konfiguriert werden.

Na also, dann haben wir doch den Übeltäter, dann stimmt etwas mit der rekursiven Abfrage nicht. Bekommst du das in den Griff, sollte dein Problem gelöst sein.

Schade, da hätten wir uns ein wenig Zeit sparen können :).

Geschrieben (bearbeitet)

BTW, in den DNS Einstellungen des Servers unter Erweitert ist aber nicht der Haken bei Rekursionsvorgang (und Weiterleitungen) deaktivieren drin oder?

Ist die Gateway IP jetzt eigentlich als Weiterleitungsziel angegeben?

In der Reverse Lookupzone sind PTR Einträge vorhanden?

Erstelle mal einen händisch und teste dann.

Prüfe die Eigenschaften deiner Reverse Zone! Etwas seltsam?

Bearbeitet von pantsoff
Geschrieben (bearbeitet)

Ich probiere mal eine etwas andere Notationsweise, vllt. könnt ihr dann besser mit meinen Infos arbeiten, da ich manchmal etwas wirr schreibe.

BTW, in den DNS Einstellungen des Servers unter Erweitert ist aber nicht der Haken bei Rekursionsvorgang (und Weiterleitungen) deaktivieren drin oder?

Nein, ist kein Haken drin.

Ist die Gateway IP jetzt eigentlich als Weiterleitungsziel angegeben?

Ja, kann allerdings nicht aufgelöst werden.

In der Reverse-Lookupzone sind PTR Einträge vorhanden?

An dieser Stelle sollte ich noch folgendes Dazu sagen:

Der SBS Server (incl. AD, DHCP und DNS) hat die IP-Adresse 192.168.0.10.

Das Gateway, ein Netgearrouter hat die IP 192.168.0.15. Nur für das Verständnis.

Die Reverse-Lookupzone Heißt: 0.168.192.in-addr.arpa

in Ihr enthalten sind 4 Zeiger:

1.: Name: 192.168.0.15.0.168.192 Typ: Zeiger (PTR) Daten: dns.

2.: Name: 192.168.0.10.0.168.192 Typ: Zeiger (PTR) Daten: srv-01.domäne.local.

3.: Name: 192.168.0.10.0.168.192 Typ: Zeiger (PTR) Daten: srv01.

4.: Name: (identisch mit übergeordnetem ordner) Typ: Zeiger (PTR) Daten: srv-01.xnet2000.local.

Erstelle mal einen händisch und teste dann.

Gibt es da Spezielle Namen die ich verwenden muss?

Habe jetzt einfach noch einmalfolgende erstellt:

Name: 192.168.0.10.0.168.192 Typ: Zeiger(PTR) Daten: dns2

Brachte aber leider keinen Erfolg. Oder soll ich hier einzelne PCs eintragen?

Für den Fall habe ich auch gleich noch meinen eigenen TestPC eingetragen:

Name:192.168.0.152.0.168.192 Typ: Zeiger (PTR) Daten: PC-AS-01

Brachte aber leider ebenfalls keine Besserung der Situation.

Prüfe die Eigenschaften deiner Reverse Zone! Etwas seltsam?

Aus meiner Sicht nicht, aber ich habe auch, wie eingangs erwähnt, keine Ahnung von DNS

Deshalb hier noch einmal die, aus meiner Sicht wichtigsten Punkte zusammen gefasst:

Allgemein:

Status: Wird ausgeführt

Typ: Active Directory integriert

Replikation: Alle Domänencontroller in dieser Domäne

Dynamische Updates: Nicht sichere und Sichere

Autoritätsuhrsprung (SOA):

Seriennummer: 24

Primärer Server: srv01.domäne.local.

Verantwortliche Person: admin.domäne.local.

Aktualisierungsintervall: 1Minute

Wiederholungsinterwall: 10 Minuten

Läuft ab nach: 1 Tage

Minimale Gültigkeitsdauer 1 Stunde

Namenserver:

Vollqualifizierter Serverdomänenname: srv-01.domäne.local.

IP-Adresse: 192.168.0.10*

Wins-R:

Alles deaktiviert

Zonenübertragungen:

keine Einträge

Sicherheit:

Jeder: Lesen

System: Vollzugriff

DNS Admins: Spezielle Berechtigung + Alle anderen ohne Vollzugriff

Domänenadmins: Vollzugriff

Bearbeitet von Acid88
Geschrieben (bearbeitet)

Die Einträge sehen teilweise irgendwie merkwürdig aus, mal versucht auf dem client ein ipconfig /registerdns auszuführen und den dns zu aktualisieren? Da sollten eigentlich lauter Pointer zu deinen Clients / sonstigen Netzwerkgeräten sein.

Ich meinte, du solltest einen stinknormalen Pointer EIntrag für einen beliebigen Client hinzufügen.

Einfach Neu->PTR->IP Adresse und FQDN angeben, dann mit nslookup testen.

Bearbeitet von pantsoff
Geschrieben (bearbeitet)

In wie fern merkwürdig?

Auch unter Verwendung des FQDN erhalte ich kein Ergebnis beim nslookup auf die IP-Adresse des PCs.

Im DHCP sind die Clients alle vorhanden.

im DNS gibt es nur den Server und den Router, wobei ich den, glaube ich noch selbst eingetragen habe.

habe das ausgeführt und warte jetzt nochmal 15 Minuten auf die Fehlermeldung, wenn es eine geben sollte.

Aber direkt, also 2 Minuten danach erscheint der PC noch nicht in der Zone.

Kann das Prolem an den drei anderen Reverse-Lookupzonen liegen?

die da heißen:

0.in-addr.arpa

127.in-addr.arpa

255.in-addr.arpa

Wobei in diesen keine Zeiger gesetzt wurden.

Abgesehen von der 127.in-addr.arpa, da gibt es den zeiger:

Name: 127.0.0.1 Type: Zeiger (PTR) Daten: localhost.

Wobei der meinem Gefühl nach eigentlich richtig ist. (Adresse und name passen zumindest zusammen :))

Bearbeitet von Acid88
Geschrieben (bearbeitet)

Wieviele Reverse Lookupzonen habt ihr denn??

Leg doch einfach mal eine neue an, irgendwo muss es eine Einstellung geben, dass PTR Einträge automatisch aktualisiert werden (eventuell nur bei Anlage der Zone, weis ich nicht mehr, macht man ja auch nicht jeden Tag).

Kleiner Nachtrag:

Habe soeben den letzten SBS geprüft (2011), den ich installiert habe. DOrt ist genau EINE Reverse Zone vorhanden, PTR Einträge alle da, und die habe ich sicher nicht selbst gepflegt:).

Bearbeitet von pantsoff

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...