Jump to content

DNS-Auflösung funktioniert Netzweise nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo miteinander.

 

Ich haben eine Domäne mit 3 Netzen. Die Netze 2 und 5 sind private Netze in denen die Clients sind, hier funktioniert alles tiptop. Dann kommt der DC, welcher auch als Router zwischen den 3 Netzen fungiert, und das Netz 10 ist die Schnittstelle ins Internet, also an den Firewall und Modem angehängt. Auf diesem Netz ist auch NAT aktiviert. In diesem Netz sind auch alle Fileserver, Mailserver usw.

Nun habe ich das Problem das der DC dieses Netz nicht mehr richtig auflöst, denn man kann keine neuen Clients oder Server in die Domäne einfügen.

Es kommt die übliche Fehlermeldung, von wegen das er keinen DC findet und das der dafür zuständig DNS-Server nicht reagiert.

 

An was kann das liegen? Bisher hat die Namensauflösung auch aus dem Netz 10 immer tadellos funktioniert.

Dazu muss ich vielleicht noch erwähnen, das man auch nicht mehr aus diesem Netz 10 ins Internet kommt.

 

Schon im Vorauf vielen Dank für alle Tipps und Tricks.

 

Gruss Mochito.

Link zu diesem Kommentar

Mal sehen, ob ich das richtig verstanden habe:

Du hast einen DC, der 3 Karten hat. Auf diesem DC ist RRAS mit NAT konfiguriert. Beispiel: Er hat die Adressbereiche 192.168.2.0/24, 192.168.5.0/24 und 192.168.10.0/24. Im 192.168.2.0/24 und 192.168.5.0/24 Netz befinden sich Clients, die als Domänenmitglied auf den DC zugreifen. Die Clients der privaten Netzwerke haben die entsprechende Serverkarte als Default Gateway eingetragen. Diese beiden Netze sind im RRAS als privat deklariert worden. Das 192.168.10.0/24 Netz ist direkt verbunden mit Router/Firewall und über diesen Weg sollen die privaten Netzwerke ins Internet. In diesem Netzwerk befinden sich auch Server aller Art (Mail, File und was weiss ich noch) und greifen direkt über die Firewall auf das Internet zu. Diese Schnittstelle ist im RRAS als öffentlich deklariert worden. Die Server haben die Firewall als Default Gateway eingetragen. Die Hosts in diesem Netzwerk sind (z.T.) Domänenmitglieder. Soweit korrekt ?

Link zu diesem Kommentar

Ich habe Active-Directory Domänendienste neu gestartet und dann kam diese meldung:

 

"Der DNS-Server konnte die offene Zone "_msdcs.ausbildung.com" im Active Directory der Anwendungsverzeichnispartition "ForestDnsZones.ausbildung.com" nicht öffnen. Dieser DNS-Server ist so konfiguriert, dass er Informationen aus dem Verzeichnis dieser Zone bezieht und verwendet, und kann die Zone ohne diese Informationen nicht laden. Überprüfen Sie, dass Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode."

 

das gleiche auch für die offene Zone "ausbildung.com"

 

wiso spricht der von .com?die domäne heisst "ausbildun.local"

Link zu diesem Kommentar

Nein die Hosts und Server bekommen keine verbindung auf die Netze 2 und 5, jedoch können die Clients von Netz 2 und 5 auf die Server im öffentlichen Netz 10 zugreifen, das soll auch so sein.

 

es existieren die Zonen:

  • _msdcs.ausbildung.local (Forward-Lookupzone)
  • ausbildung.local (Forward-Lookupzone)
  • 10.168.192.in-addr.arpa (Reverse-Lookupzone)
  • 5.168.192.in-addr.arpa (Reverse-Lookupzone)
  • 2.168.192.in-addr.arpa (Reverse-Lookupzone)

 

NAT konfigurierte ich gleichzeitig wie das ganze Routing der Domäne, habe nichts mehr daran geändert und funktionerte bisher.

 

Nun ist es ja auch so das die Host in Netz 10 auch kein Internetzugriff haben, und das hat ja ansich nichts mit dem Laden der Zone zu tun.:confused:

 

gruss

Mochito

Link zu diesem Kommentar

Also sind die Server in dem 10er Netz keine Domänenmitglieder und haben auch nicht den DC als bevorzugten DNS-Server eingetragen ?

Du hast geschrieben

Nun habe ich das Problem das der DC dieses Netz nicht mehr richtig auflöst, denn man kann keine neuen Clients oder Server in die Domäne einfügen.

Welches Netz nicht, das 10er ? Wie auflöst, reverse oder forward oder gar nicht ? Hast Du die Rechner im 10er Netz händisch im DNS eingetragen ? Die Clients, die joinen sollen, befinden sich in einem der privaten Netzwerke ?

Link zu diesem Kommentar

nei es ist schon die öffentliche Schnittstelle in der nicht richtig aufgelöst wird, sprich man kann keine neue Hosts hinzufügen. Die die schon hinzugefügt wurden und jetzt noch in der Domäne sind, haben einzig das problem das diese keine Internetzugriff mehr haben.

Nein die Hosts im Netz 10 habe ich alle einzel via Computereinstellung in die Domäne hinzugefügt.

Die zwei privaten Netze machen keine probleme, es ist nur das öffentliche Netz.

Link zu diesem Kommentar

Hast Du denn auch Portweiterleitungen zum DC definiert ? Wie sollen die denn sonst den DNS oder die Active Directory Dienste oder überhaupt irgendwas erreichen ? Wie sollen die sich am DNS registrieren ? Wie sollen die die Gruppenrichtlinien abarbeiten (selbst wenn Portweiterleitungen definiert sind, Stichwort "Erkennung von langsamen Verbindungen") ? Ich denke, dass die Ereignisanzeigen dieser Clients vor Fehlern fast überlaufen. Wie hast Du die denn bei bestehendem NAT aus dem externen Netz heraus hinzugefügt ?

Diese Konstellation ist überaus ungünstig. Routen ist ja okay, NAT nicht so ...

Link zu diesem Kommentar

Nein habe keine Portweiterleitung definiert, bisher hat es ohne funktioniert. Jedoch muss ich auf Netz 10 NAT aktivieren ansonsten bekommen die privaten Netze keinen Internetzugriff. Einige Hosts wahren schon in die Domäne eingebunden, dann habe ich den DC auf Server2008 gehoben und aktivierte somit NAT neu auf Netz10. Es war mir bis jetzt nichts aufgefallen da diese ja weiterhin in der Domäne waren und man problem Zugreifen konnte. Jetzt wollte ich einen neuen Server hinzufügen und diesen konnte ich aber in die Domäne einbinden.

Die Hosts die schon eingebunden sind bekommen in der Ereignissanzeige sehr oft die Meldung, das sie authentifizierungsprobleme zum DC haben, werden jedoch von dem Erkannt.

Wäre das eine Lösung mit dem definieren einer Portweiterleitung? oder sollte ich mir gedanken machen über das deaktivieren von NAT und dies anderst zu lösen?

 

Vielen Dank für dein Bemühen.

Mochito

Link zu diesem Kommentar

Mach keine Portweiterleitung, sondern entferne NAT und benutze "normales" Routing. Damit die Clients in den privaten Netzwerken in das Internet können, müssen auf dem Internetrouter 2 Routen gesetzt werden. Um mal bei dem Beispiel von oben zu bleiben:

Route 1: Ziel: 192.168.2.0/24 über die 192.168.10.x (externe Adresse des RRAS)

Route 2: Ziel: 192.168.5.0/24 über die 192.168.10.x (externe Adresse des RRAS)

Die Clients aus dem 2er und 5er Netz bekommen die entsprechende Serverkarte als Default Gateway, die im 10er Netz den Internetrouter. ALLE bekommen eine der Adressen des DCs als bevorzugten DNS-Server. KEINER bekommt einen externen DNS-Server in die Konfiguration ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...