Jump to content
Sign in to follow this  
Mochito89

DNS-Auflösung funktioniert Netzweise nicht

Recommended Posts

Hallo miteinander.

 

Ich haben eine Domäne mit 3 Netzen. Die Netze 2 und 5 sind private Netze in denen die Clients sind, hier funktioniert alles tiptop. Dann kommt der DC, welcher auch als Router zwischen den 3 Netzen fungiert, und das Netz 10 ist die Schnittstelle ins Internet, also an den Firewall und Modem angehängt. Auf diesem Netz ist auch NAT aktiviert. In diesem Netz sind auch alle Fileserver, Mailserver usw.

Nun habe ich das Problem das der DC dieses Netz nicht mehr richtig auflöst, denn man kann keine neuen Clients oder Server in die Domäne einfügen.

Es kommt die übliche Fehlermeldung, von wegen das er keinen DC findet und das der dafür zuständig DNS-Server nicht reagiert.

 

An was kann das liegen? Bisher hat die Namensauflösung auch aus dem Netz 10 immer tadellos funktioniert.

Dazu muss ich vielleicht noch erwähnen, das man auch nicht mehr aus diesem Netz 10 ins Internet kommt.

 

Schon im Vorauf vielen Dank für alle Tipps und Tricks.

 

Gruss Mochito.

Share this post


Link to post

Mal sehen, ob ich das richtig verstanden habe:

Du hast einen DC, der 3 Karten hat. Auf diesem DC ist RRAS mit NAT konfiguriert. Beispiel: Er hat die Adressbereiche 192.168.2.0/24, 192.168.5.0/24 und 192.168.10.0/24. Im 192.168.2.0/24 und 192.168.5.0/24 Netz befinden sich Clients, die als Domänenmitglied auf den DC zugreifen. Die Clients der privaten Netzwerke haben die entsprechende Serverkarte als Default Gateway eingetragen. Diese beiden Netze sind im RRAS als privat deklariert worden. Das 192.168.10.0/24 Netz ist direkt verbunden mit Router/Firewall und über diesen Weg sollen die privaten Netzwerke ins Internet. In diesem Netzwerk befinden sich auch Server aller Art (Mail, File und was weiss ich noch) und greifen direkt über die Firewall auf das Internet zu. Diese Schnittstelle ist im RRAS als öffentlich deklariert worden. Die Server haben die Firewall als Default Gateway eingetragen. Die Hosts in diesem Netzwerk sind (z.T.) Domänenmitglieder. Soweit korrekt ?

Share this post


Link to post

ja soweit korrekt.

 

Nun ist es so das im Netz 10 alle Hosts der Domäne hinzugefügt wurden, aber seit neustem kann man keine neue hinzufügen.

Share this post


Link to post

nein, steht nichts in den eventlogs.

es funktioniert auf einmal nicht mehr, keine meldung nichts.

auch wenn ich die dns-zone neu lade bringt es keine meldung.

Share this post


Link to post

Wann wurde die 10er Karte als öffentlich deklariert, wann wurde der RRAS installiert bzw. als NAT-Router konfiguriert ? Mich wundert das erstmal nicht, dass die Clients ausserhalb der vom Server aus gesehenen externen Schnittstelle keinerlei Verbindung bekommen, ausser Du hast Portweiterleitungen konfiguriert ...

Share this post


Link to post

Ich habe Active-Directory Domänendienste neu gestartet und dann kam diese meldung:

 

"Der DNS-Server konnte die offene Zone "_msdcs.ausbildung.com" im Active Directory der Anwendungsverzeichnispartition "ForestDnsZones.ausbildung.com" nicht öffnen. Dieser DNS-Server ist so konfiguriert, dass er Informationen aus dem Verzeichnis dieser Zone bezieht und verwendet, und kann die Zone ohne diese Informationen nicht laden. Überprüfen Sie, dass Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode."

 

das gleiche auch für die offene Zone "ausbildung.com"

 

wiso spricht der von .com?die domäne heisst "ausbildun.local"

Share this post


Link to post

Welche Zonen existieren denn überhaupt und wie heisst die Domäne ? Wann ist NAT konfiguriert worden (die Server im 10er Netz stehen "draussen") ?

Share this post


Link to post

Nein die Hosts und Server bekommen keine verbindung auf die Netze 2 und 5, jedoch können die Clients von Netz 2 und 5 auf die Server im öffentlichen Netz 10 zugreifen, das soll auch so sein.

 

es existieren die Zonen:

  • _msdcs.ausbildung.local (Forward-Lookupzone)
  • ausbildung.local (Forward-Lookupzone)
  • 10.168.192.in-addr.arpa (Reverse-Lookupzone)
  • 5.168.192.in-addr.arpa (Reverse-Lookupzone)
  • 2.168.192.in-addr.arpa (Reverse-Lookupzone)

 

NAT konfigurierte ich gleichzeitig wie das ganze Routing der Domäne, habe nichts mehr daran geändert und funktionerte bisher.

 

Nun ist es ja auch so das die Host in Netz 10 auch kein Internetzugriff haben, und das hat ja ansich nichts mit dem Laden der Zone zu tun.:confused:

 

gruss

Mochito

Share this post


Link to post

Also sind die Server in dem 10er Netz keine Domänenmitglieder und haben auch nicht den DC als bevorzugten DNS-Server eingetragen ?

Du hast geschrieben

Nun habe ich das Problem das der DC dieses Netz nicht mehr richtig auflöst, denn man kann keine neuen Clients oder Server in die Domäne einfügen.

Welches Netz nicht, das 10er ? Wie auflöst, reverse oder forward oder gar nicht ? Hast Du die Rechner im 10er Netz händisch im DNS eingetragen ? Die Clients, die joinen sollen, befinden sich in einem der privaten Netzwerke ?

Share this post


Link to post

nei es ist schon die öffentliche Schnittstelle in der nicht richtig aufgelöst wird, sprich man kann keine neue Hosts hinzufügen. Die die schon hinzugefügt wurden und jetzt noch in der Domäne sind, haben einzig das problem das diese keine Internetzugriff mehr haben.

Nein die Hosts im Netz 10 habe ich alle einzel via Computereinstellung in die Domäne hinzugefügt.

Die zwei privaten Netze machen keine probleme, es ist nur das öffentliche Netz.

Share this post


Link to post

Hast Du denn auch Portweiterleitungen zum DC definiert ? Wie sollen die denn sonst den DNS oder die Active Directory Dienste oder überhaupt irgendwas erreichen ? Wie sollen die sich am DNS registrieren ? Wie sollen die die Gruppenrichtlinien abarbeiten (selbst wenn Portweiterleitungen definiert sind, Stichwort "Erkennung von langsamen Verbindungen") ? Ich denke, dass die Ereignisanzeigen dieser Clients vor Fehlern fast überlaufen. Wie hast Du die denn bei bestehendem NAT aus dem externen Netz heraus hinzugefügt ?

Diese Konstellation ist überaus ungünstig. Routen ist ja okay, NAT nicht so ...

Share this post


Link to post

Nein habe keine Portweiterleitung definiert, bisher hat es ohne funktioniert. Jedoch muss ich auf Netz 10 NAT aktivieren ansonsten bekommen die privaten Netze keinen Internetzugriff. Einige Hosts wahren schon in die Domäne eingebunden, dann habe ich den DC auf Server2008 gehoben und aktivierte somit NAT neu auf Netz10. Es war mir bis jetzt nichts aufgefallen da diese ja weiterhin in der Domäne waren und man problem Zugreifen konnte. Jetzt wollte ich einen neuen Server hinzufügen und diesen konnte ich aber in die Domäne einbinden.

Die Hosts die schon eingebunden sind bekommen in der Ereignissanzeige sehr oft die Meldung, das sie authentifizierungsprobleme zum DC haben, werden jedoch von dem Erkannt.

Wäre das eine Lösung mit dem definieren einer Portweiterleitung? oder sollte ich mir gedanken machen über das deaktivieren von NAT und dies anderst zu lösen?

 

Vielen Dank für dein Bemühen.

Mochito

Share this post


Link to post

Mach keine Portweiterleitung, sondern entferne NAT und benutze "normales" Routing. Damit die Clients in den privaten Netzwerken in das Internet können, müssen auf dem Internetrouter 2 Routen gesetzt werden. Um mal bei dem Beispiel von oben zu bleiben:

Route 1: Ziel: 192.168.2.0/24 über die 192.168.10.x (externe Adresse des RRAS)

Route 2: Ziel: 192.168.5.0/24 über die 192.168.10.x (externe Adresse des RRAS)

Die Clients aus dem 2er und 5er Netz bekommen die entsprechende Serverkarte als Default Gateway, die im 10er Netz den Internetrouter. ALLE bekommen eine der Adressen des DCs als bevorzugten DNS-Server. KEINER bekommt einen externen DNS-Server in die Konfiguration ...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...