Jump to content

DNS mit Aussetzern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe das Problem, dass die Namensauflösung bei den Client-Browsern nicht zuverlässig funktioniert. Manchmal klappt der Aufruf über über den Domänennamen und manchmal nur über die IP-Adresse. Wenn ich dann nslookup bemühe, funktioniert die Namensauflösung ohne Probleme. Trotzdem kriegt der Browser es nicht hin. Auch ein "ipconfig /flushdns" hilft nicht. Nach einiger Zeit kann es dann sein, dass es wie von Geisterhand wieder geht, ohne dass ich etwas gemacht hätte. Kennt einer von euch das Problem? Ich habe schon die Suchfunktion hier bemüht, konnte aber keinen passenden Thread finden.

 

Zum Hintergrund:

Wir haben im LAN einen Server (Win 2k3 SBS) für die Rollen DC, DHCP, DNS, Fileserver und Intranetserver (companyweb).

Die Clients laufen unter XP Pro SP3. Alles auf aktuellem Stand. Wenn das Problem auftritt, nützt auch die Benutzung von IE 8 statt Firefox nichts.

 

Bisher hat uns das nicht wirklich gejuckt, weil wir das Companyweb nicht so intensiv nutzen. Nun haben wir aber einen weiteren Standort per VPN angebunden. Auf einem Server am anderen Standort laufen Anwendungen mit Web-Interface, die wir häufiger brauchen. Dadurch fällt das Problem jetzt erst richtig auf. Der andere Standort hat ebenfalls einen 2k3-DC. Die beiden Domänen sind voneinander unabhängig (Kopplung geht ja bei SBS nicht), aber einheitlich benannt:

standort1.firma.local

standort2.firma.local

Zusätzlich gibt es am anderen Standort einen Linux-Server, auf dem die Anwendungen laufen. Da ich die Domänenweiterleitung in Verdacht hatte, habe ich einfach manuell eine Forward-Zone eingetragen (standort2.firma.local). Zu der habe ich die IP-Adressen der beiden Server eingerichtet:

server1.standort2.firma.local -> 10.0.0.1

server2.standort2.firma.local -> 10.0.0.2

Außerdem habe ich einen Alias eingerichtet:

-> server2.standort2.firma.local

Zusätzlich habe ich auch die passende Reverse-Lookup-Zone eingerichtet (als primäre Zone, die Pointer habe ich manuell gesetzt).

 

Wie geschrieben: Mal funktioniert's und mal nicht. Fällt einem von euch etwas dazu ein?

 

Danke im Voraus für eure Hilfe

Reppy

Link zu diesem Kommentar
Die beiden Domänen sind voneinander unabhängig (Kopplung geht ja bei SBS nicht),

 

Wirklich zwei Domänen? Also zwei verschiedene Gesamtstrukturen mit jeweils eigenem Schema und unterschiedlichen Enterprise-Administratoren? Oder meinst Du Standorte (Sites) in der gleichen Domäne?

 

Mich würde es erstaunen, wenn Du mit dem SBS 2003 eine Subdomäne (standort1.firma.local) hast einrichten können. Ihr meldet Euch wahrscheinlich als firma\benutzer an, nicht als standort1\benutzer, oder?

Link zu diesem Kommentar
Wirklich zwei Domänen? Also zwei verschiedene Gesamtstrukturen mit jeweils eigenem Schema und unterschiedlichen Enterprise-Administratoren? Oder meinst Du Standorte (Sites) in der gleichen Domäne?

 

Ja, das sind wirklich zwei unabhängige Domänen mit jeweils eigenen Schemas und Domänenadministratoren, keine Sites. Meines Wissens kann man bei einer SBS-Domäne auch keinen zweiten DC einbinden. Insofern könnten wir nur das Wagnis eingehen, einen Standort ohne Server zu betreiben. Aber das wollen wir auch nicht.

 

Es gibt auch schon einen Plan für die Zukunft: Wir werden die SBS-Lizenzen gegen normale Serverlizenzen tauschen und dabei auch gleich zu 2008 R2 wechseln. Dann werden wir auch genau das tun: Wir werden eine Domäne mit zwei Sites betreiben. Aber das will gut vorbereitet werden, weil wir die Domäne komplett neu aufsetzen und alle Clients und vor allem das Berechtigungskonzept auf dem Fileserver migrieren müssen. Das dauert also noch etwas. Wir hoffen, dass sich das DNS-Problem dann auch erledigt hat, weil dann die beiden Server miteinander replizieren können. Im Moment trauen die sich ja gegenseitig nicht. Aber bis das mal so weit ist nervt das DNS-Problem ganz schön.

Die Sache mit den SBSen ist eine Altlast von einem Vorgänger und mag damals vielleicht eine gute Idee gewesen sein. Aber es wurde nie richtig genutzt, weil der Exchange gar nicht installiert wurde. Heute sind wir schlauer.

 

Mich würde es erstaunen, wenn Du mit dem SBS 2003 eine Subdomäne (standort1.firma.local) hast einrichten können. Ihr meldet Euch wahrscheinlich als firma\benutzer an, nicht als standort1\benutzer, oder?

 

Die übergeordnete Domäne "firma.local" gibt es nicht. Insofern wird die Domäne "standort[1/2].firma.local" als Root-Domäne betrachtet. Die Anmeldung läuft über den Prä-Windows-2000-Namen der Domäne. Das sieht dann ungefähr so aus: "firma-standort\benutzer"

Link zu diesem Kommentar
Meines Wissens kann man bei einer SBS-Domäne auch keinen zweiten DC einbinden.

 

Das ist nicht richtig. Du kannst maximal 75 Nodes einbinden, darunter auch weitere Domänencontroller. Diese Frage wurde hier im Board im Zusammenhang mit dem SBS 2003 bereits geklärt und ist auch so dokumentiert:

Debunking Myths About Additional Domain Controllers In SBS Domains - The Official SBS Blog - Site Home - TechNet Blogs

 

 

Insofern wird die Domäne "standort[1/2].firma.local" als Root-Domäne betrachtet.

 

Der SBS ist definitiv gebaut, um DC einer Stammdomäne am Stamm des Namensraums zu sein. Sonst gibts Probleme - aber das siehts Du selbst.

 

Hinweise und Stichworte zu Deinen Auflösungsproblemen findest Du u.a.:

Gesamtstrukturübergreifendes Routing von Namensuffixen

Konfigurieren von DNS-Clienteinstellungen

 

 

und mag damals vielleicht eine gute Idee gewesen sein.

War es schon damals bestimmt nicht.

Link zu diesem Kommentar

Der Eintrag zur Konfiguration hat mich auf die grandiose Idee gebracht, den Server des anderen Standorts als zweiten DNS in der Liste einzutragen. Wieso bin ich da nicht schon früher drauf gekommen? Mal schauen, wie es sich jetzt verhält. Ich beobachte das mal ein paar Tage und melde mich dann mal, ob's geholfen hat.

 

Danke und viele Grüße

Reppy

Link zu diesem Kommentar

Ich beiß noch in die Tischkante! :cry:

 

Das hat nicht geholfen. Ich habe aber noch die Firewall in der DNS-Liste, damit die Benutzer auch surfen können, wenn ich den Server mal in den Update-Reboot schicken muss. Die DNS-Liste, die übrigens natürlich per DHCP verteilt wird, sieht folgendermaßen aus:

  1. Lokaler Server
  2. Server des anderen Standorts (neu)
  3. Firewall

 

Plötzlich meldete meine Kollegin, dass der Fehler wieder aufgetreten ist. Ich habe es getestet und auch bei mir schlug die Verbindung fehl. Auffällig: Immer wenn der Fehler auftritt ist die Antwortzeit sehr kurz.

 

Nun habe ich in der Firewall auch noch einen DNS-Forward eingetragen. Nachdem ich das getan habe, habe ich den Link getestet, es ging aber immer noch nicht. Kurz "ipconfig /flushdns" eingegeben und danach ging's.

 

Jetzt kommt noch ein Witz: Ich habe zwei Aliase. "www" verweist auf die meisten Dienste auf dem Server, zusätzlich gibt es den Alias "wiki", der auf ein internes Wiki verweist. Bei meinem Test (vor dem FlushDNS-Befehl) ging nun der Zugriff aufs Wiki, auf den WWW aber nicht. Das kann jetzt aber auch daran gelegen haben, dass ich die beiden Regeln auf der Firewall hinzugefügt habe. Ich hatte vorher nämlich nur mit WWW getestet und nicht mit Wiki. Ein "nochmal versuchen" auf WWW hat nämlich auch nichts gebracht, obwohl Wiki ging. Ich musste den Link komplett neu aufrufen, damit es funktioniert.

 

Ich werde berichten, ob es das jetzt war.

 

Gespannte Grüße :suspect:

Reppy

Link zu diesem Kommentar

Ich habe die Verknüpfungen zu den Dokumenten eigentlich nicht in der Absicht gepostet, Ideen zu liefern, wie in dieser AD/DNS-Topologie mittels Workarounds ein weitgehend problemfreier Betrieb mit funktionierender interner Namensauflösung erreicht werden kann. Ich wollte vielmehr einen Anstoss und Informationen liefern, sich mit den grundlegenden Architektur von Windows-Domänen/AD/DNS zu beschäftigen, die bestehende Topologie zu überdenken und sie neu so zu bauen, wie sie gebaut sein sollte, nämlich als 1 Gesamtstruktur/1 Domäne mit zwei Standorten. Alles andere ist Basteln.

Link zu diesem Kommentar
Ich habe die Verknüpfungen zu den Dokumenten eigentlich nicht in der Absicht gepostet, Ideen zu liefern, wie in dieser AD/DNS-Topologie mittels Workarounds ein weitgehend problemfreier Betrieb mit funktionierender interner Namensauflösung erreicht werden kann. Ich wollte vielmehr einen Anstoss und Informationen liefern, sich mit den grundlegenden Architektur von Windows-Domänen/AD/DNS zu beschäftigen, die bestehende Topologie zu überdenken und sie neu so zu bauen, wie sie gebaut sein sollte, nämlich als 1 Gesamtstruktur/1 Domäne mit zwei Standorten. Alles andere ist Basteln.

 

Es gibt auch schon einen Plan für die Zukunft: Wir werden die SBS-Lizenzen gegen normale Serverlizenzen tauschen und dabei auch gleich zu 2008 R2 wechseln. Dann werden wir auch genau das tun: Wir werden eine Domäne mit zwei Sites betreiben. Aber das will gut vorbereitet werden, weil wir die Domäne komplett neu aufsetzen und alle Clients und vor allem das Berechtigungskonzept auf dem Fileserver migrieren müssen. Das dauert also noch etwas. Wir hoffen, dass sich das DNS-Problem dann auch erledigt hat, weil dann die beiden Server miteinander replizieren können. Im Moment trauen die sich ja gegenseitig nicht. Aber bis das mal so weit ist nervt das DNS-Problem ganz schön.

 

:confused:

Link zu diesem Kommentar
Sonst führt das Basteln womöglich halbwegs zum Ziel und könnte jemanden veranlassen, den geplanten Umbau für unnötig zu erklären.

 

Keine Bange, die Einführung von 2008 R2 ist beschlossene Sache. Wir wollen DFS-R zwischen den Standorten einsetzen. Da müssen wir eh mindestens auf 2003 R2 setzen. Und da wir auch an die Domäne ranmüssen, haben wir gesagt, dass wir gleich den großen Schritt machen. Aber das will halt gut vorbereitet sein und ich bin nur nebenbei Admin.

 

Mein Verdacht geht übrigens jetzt dahin, dass die Probleme wahrscheinlich daher kommen, dass ich die Firewall als Reserve-DNS gesetzt habe. Die kennt natürlich die DNS-Einträge im Server nicht. Kann es sein, dass der Reserve-DNS auch bemüht wird, obwohl der primäre DNS läuft?

 

Viele Grüße und schonmal ein schönes Wochenende

Reppy

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...