Jump to content
Sign in to follow this  
Joggel

Streitfall DHCP/DNS

Recommended Posts

Moin,

 

nach langem googlen und Suche unter anderem im Technet hat mich ein Admin Kollege auf diese Board hier "geschoben" :p, da ich eine "spezielle Frage zu DHCP/DNS habe.

 

Folgender Fall:

 

Bisher hatten wir in der Firma DNS/DHCP unter Linux, die DCs hatten die DNS als forwarder eingetragen, unser Teamleiter kam dann auf die glorreiche Idee mal so eben schnell Ad-Hoc die bisherige DNS/DHCP Struktur über den Haufen zu werfen und hat alles auf Windows Server 2003 umgestellt, mal so Abends zwischen 18 und 19 Uhr.

 

Die Clients/Server haben jetzt keine feste IP mehr, wird alles über Reservierung über MAC auf dem Windows DHCP durchgeführt.

Da wir aber auch Linux/Unix Maschinen im Netz haben blieb der alte DNS Server "kastriert" im Netz stehen.

Jetzt kamen immer wieder Projektmitarbeiter etwas angesäuert zu uns, die Ihre Projektmaschinen neue IPs zugewiesen bekommen, obwohl eine angebliche Reservierung im DHCP gemacht wurde.

Planungen oder Test wurden nicht durchgeführt, es wurde einfach mal so umgestellt.

Ich sollte mir das ganz mal anschauen und habe dann folgende Vorschläge unterbreitet:

 

- Infrastrukturdienste/Server feste IP, fester Eintrag im Zonefile

- Ausschusslisten im DHCP für feste IP´s

- Den DHCP Server weg vom DC, Empfehlung vom BSI.

 

Der Teamleiter flippte förmlich aus, es wird alles nur noch über DHCP gemacht, es gibt keine festen IP´s über DNS Zonefile mehr und Basta. Andere Firmen lösen auch alles mit DHCP.

 

Mittlerweilen flippt unsere USV Umgebung aus, die USVen fahren Server runter weil plötzlich keine Abfrage von DNS Informationen mehr möglich ist, unser Backup flippt auch aus, weil FQDN nicht mehr auf IP Adressen abgefragt werden können.

Er redet sich damit raus, das Microsoft nichts gegen dieses Vorgehen hat, dann sollen die Leute die das Backup bzw. die USV Umgebung administrieren Ihre Arbeit richtig machen.

 

Gibt es Unterlagen bzw. Infos von Microsoft, die empfehlen oder sogar raten das feste IP´s über DNS Zonefile verteilt werden sollen, bzw. das man so keine W2K3 DHCP/DNS Struktur aufbaut und den DHCP Server vom DC zu trennen?

 

Bin Dankbar für jede Infos.

 

Grüße Joggel

Share this post


Link to post
Share on other sites

Mittlerweilen flippt unsere USV Umgebung aus, die USVen fahren Server runter weil plötzlich keine Abfrage von DNS Informationen mehr möglich ist, unser Backup flippt auch aus, weil FQDN nicht mehr auf IP Adressen abgefragt werden können.

 

 

Wenn eine USV einen Server herunterfährt, weil das DNS nicht funktioniert, dann liegt weit mehr im Argen als nur ein nicht korrekt funktionierender DNS.

Share this post


Link to post
Share on other sites

Da wir aber auch Linux/Unix Maschinen im Netz haben blieb der alte DNS Server "kastriert" im Netz stehen.

 

,......

.......

 

Gibt es Unterlagen bzw. Infos von Microsoft, die empfehlen oder sogar raten das feste IP´s über DNS Zonefile verteilt werden sollen, ....

 

Feste IPs über DNS Zonefile? 'Da Linux/Unix' und deswegen den alten DNS behalten?

 

:confused: :confused:

Sag mal, was ist eigentlich das Problem genau. Linux/Unix können genauso mit einem Windows DNS wie mit BIND und umgekehrt.

 

Kannst du mal, ohne wild Ausdrücke zu vermengen, einfach mal die Symptome schildern? So kann man wohl am ehesten helfen.:wink2:

Share this post


Link to post
Share on other sites
Wenn eine USV einen Server herunterfährt, weil das DNS nicht funktioniert, dann liegt weit mehr im Argen als nur ein nicht korrekt funktionierender DNS.

 

Moin,

 

kann der USV Client übers Netzwerk nicht mehr mit der USV, bzw. WEB/SNMP Card kommunizieren, weil keine Informationen über den Defaultgateway vorhanden sind, kommen über DHCP, dann fährt der Client den Server gesichert runter weil er davon ausgeht, das die USV nicht mehr da ist.

 

Grüße Joggel

Share this post


Link to post
Share on other sites
Konfiguriere DNS Und DHCP doch einfach richtig, dann klappt das schon. Sicherlich war das ein ärgerlicher Schnellschuss, aber es ist machbar und nicht unmöglich.

 

Moin,

 

würden ja meine Kollegen gerne machen, nur Chefe will das nicht, der ist stur.

 

Grüße Joggel

Share this post


Link to post
Share on other sites
Moin,

 

würden ja meine Kollegen gerne machen, nur Chefe will das nicht, der ist stur.

 

Grüße Joggel

 

 

Ich meinte das eher als Zuspruch für Deinen Chef;)

 

Die Anforderung Deines Chefs ist klar, machbar und nicht unüblich.

Share this post


Link to post
Share on other sites
Feste IPs über DNS Zonefile? 'Da Linux/Unix' und deswegen den alten DNS behalten?

 

:confused: :confused:

Sag mal, was ist eigentlich das Problem genau. Linux/Unix können genauso mit einem Windows DNS wie mit BIND und umgekehrt.

 

Kannst du mal, ohne wild Ausdrücke zu vermengen, einfach mal die Symptome schildern? So kann man wohl am ehesten helfen.:wink2:

 

 

Moin,

 

ich versuchs mal zu entwirren:

 

Alt:

 

- Master DNS auf BIND Linux, DHCP auf Linux, Update DHCP/DNS über DNSSEC, DNS Windows (AD integriert) als Slave DNS mit Stub Zonen. DHCP hatte nur eine Bereichsoption für die Clients (192.168.1.101 - 192.168.1.254). DHCP Lease Time 1 Woche

- Server hatten feste IP, also DHCP deaktiviert, händische Eingabe der Parameter fürs Netzwerk, Clients bekamen IP über DHCP und haben sich ins Windows DNS eingetragen.

 

Neu:

 

- DNS und DHCP auf einem Domain Controller unter W2K3, Master für alle

- Komplette Range (192.168.1.1 - 192.168.1.254) über DHCP, Reservierungen über MAC im DHCP File

- Server und Clients bekommen alle Netzwerkeinstellungen über DHCP, Lease Time 2h

 

Symtome:

 

- Server/Client verlieren IP, kann nur über ipconfig /renew wieder zum laufen gebracht werden.

- Server sind plötzlich unter anderer IP erreichbar als in den DNS Files steht (Reverse Lookup funzt nicht,bzw. bringt einen andere IP -> Namen), haben plötzlich keinen Default Gateway mehr usw. usw. usw. Jetzt gibt es Anwendungen in bei unseren Software Entwicklern, da sind IP´s fest in Konfigurationsfiles verdrahtet, z.B. DB Verbindungen, die gehen dann nicht mehr.

 

Mein Vorschlag war:

 

- Server feste IP, Deaktivierung DHCP auf Server, händisches Eintragen Netzwerkparameter an den Servern, Server Adress Pool als "Sperrliste" dem DHCP Server mitteilen.

- Alternative dazu auf den Servern in die Alternative Konfiguration die Netzwerkparameter hard verdrahten. Laut MS Technet ist das eine "Notfallösung", der Server würde sofern DHCP nichtgeht die Alternative Konfiguration nehmen.

 

So und jetzt der Ärger, Chefe weigert sich, alles muss über DHCP und wenn was nicht funktioniert ist nicht er schuld.

 

Ich hoffe das war jetzt verständlicher ;)

 

 

Grüße Joggel

Share this post


Link to post
Share on other sites
Ich meinte das eher als Zuspruch für Deinen Chef;)

 

Die Anforderung Deines Chefs ist klar, machbar und nicht unüblich.

 

Moin,

 

ich kanns ja verstehen, aber das ganze sollte man doch vorher mal durchplanen und testen, bzw. wenigstens mal die Whitepapers von MS zu rate ziehen und nicht hemdsärmlig als FuBa (Fummel und Basteln) Abends ne komplette Struktur durch ein paar Klicks über den Haufen werfen.

Der richtige Einsatz von DHCP hat klar Vorteile, nur werde ich skeptisch wenn diverse externe Panik in den Augen bekommen die das mitbekommen :cool:

 

Grüße Joggel

Share this post


Link to post
Share on other sites

 

Neu:

 

- DNS und DHCP auf einem Domain Controller unter W2K3, Master für alle

- Komplette Range (192.168.1.1 - 192.168.1.254) über DHCP, Reservierungen über MAC im DHCP File

- Server und Clients bekommen alle Netzwerkeinstellungen über DHCP, Lease Time 2h

 

 

 

 

Wenn das stimmt (fett markiert), dann kann das nicht stimmen...

 

 

- Server sind plötzlich unter anderer IP erreichbar als in den DNS Files steht (Reverse Lookup funzt nicht,bzw. bringt einen andere IP -> Namen), haben plötzlich keinen Default Gateway mehr

 

 

Ich würde sagen, der DHCP ist vermurkst....

Weisst du denn, wie Reservationen aussehen, bzw. wie man die sieht?

Share this post


Link to post
Share on other sites

Habe ich das richtig verstanden und aufgefasst, Server, DC(s) haben die IP per DHCP? Falls dem so sein sollte, ich empfehle, den Servern, ganz besonders aber den DC`s eine statische IP zu verpassen am Gerät selbst.

 

Wurde der neue DNS auch richtig eingerichtet für die Aufkösung im LAN, AD-Integrierte Zonen, Forward- und Reverse?

Share this post


Link to post
Share on other sites
Habe ich das richtig verstanden und aufgefasst, Server, DC(s) haben die IP per DHCP? Falls dem so sein sollte, ich empfehle, den Servern, ganz besonders aber den DC`s eine statische IP zu verpassen am Gerät selbst.

 

 

Print Server und Konsorten sind kein Problem - das kann man ohne Bedenken machen. Server, die selber Netzwerkdienste wie ein DHCP Server bereitstellen, und ein DC & DNS zählt da auch dazu, da gebe ich dir recht, die sollten dringlichst eine lokal fest vergebene IP haben.

Share this post


Link to post
Share on other sites

ich würd auch ne längere Leasetime als 2h verwenden ... so bekommt man auch ein Netzwerk langsam ...

 

BTW - Reservierungen sind sinnvoll und funktionieren auch - wenn richtig eingerichtet! Für Printer, Switches, APs, etc ohne Probleme verwendbar.

 

Allerdings Server würde ich immer mit fixen IPs betreiben. Meinetwegen im DHCP Range allerdings muss dann ein entsprechender Ausschlussbereich definiert sein!

Share this post


Link to post
Share on other sites

Kurze Frage zur Reservierung: Habt ihr die MAC Adresse ohne oder mit Bindestrich eingetragen? Ohne wäre nämlich richtig. Sind die Reservierungen denn aktiv, wenn der betreffende Rechner online ist.

Eine Leasetime von 2h ist schon sehr bedenklich. Damit produzierst du extremen Traffic auf der Leitung.

Share this post


Link to post
Share on other sites
Kurze Frage zur Reservierung: Habt ihr die MAC Adresse ohne oder mit Bindestrich eingetragen?

 

Ein W2K3 DHCP korrigiert das eigentlich ganz von selbst, auch wenn da die MAC mit Bindestrich eingegeben wurde (hab's jedenfalls mehrmals so beobachtet).

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...