DNS Problem

[aybcde 0]

Hallo Forum,

habe in einer AD Domain mit 3 DCs ein Namensauflösungsproblem. Server ist ein 2003 R2 , ein 2008 und ein weiterer.
DNS Zonen sind AD integriert und auf dem 2003er läuft Exchange 2007. Der 2003er ist auch ein pptp/vpn-RAS und hat zwei IP Addressen. Beide IP haben in DNS einen A Record mit dem selben Namen. Der DNS lauscht auf allen IPs.

Wenn ich nun ein CMD auf dem Server auch mache und den DNS Namen "Name1" ping, bekomme ich ein timeout. 5 Min später funktioniert die Namensauflösung wieder. Auch ein ping auf exteren Namen erzeugt meist ein timeout. Ping 8.8.8.8 geht aber.

Hat jemand dazu eine Idee?
(PS: das ganze soll in den nächsten Wochen ersetzt werden durch neue Systeme...)

Danke und lg

bearbeitet 31. Oktober 2015 von aybcde

[testperson 1.547]

Hi,

 

das heißt, dein Exchange Server läuft auf einem multihomed DC der auch noch Routing/RAS macht?

Tausch das Ganze nicht erst in den nächsten Wochen..

 

Ansonsten: https://support.microsoft.com/en-us/kb/272294

 

Und google mal nach Multihomed Domain Controller.

 

Gruß

Jan

[aybcde 0]

Danke für die Antwort!

 

Es ist so, dass der DC nur eine NIC hat. Die zweite IP ist virtuell und im gleichen (LAN)subnet. Auf die RAS IP wird NAT gemacht. Der DC hat keine public IP.

 

LG

ayb

[NorbertFe 1.835]

Das ändert aber nix daran, dass das problematisch ist. ;)

[lefg 276]

Moin

 

Eine Idee? Nein, Fragen

 

Ist die Nichtantwort auf den Ping das primäre Problem, oder funktioniert etwas anderes nicht?

 

Wurde schon in die Ereignisanzeigen geschaut?

 

Wurde schon dcdiag angewendet?

bearbeitet 31. Oktober 2015 von lefg

[aybcde 0]

Das Problem ist, dass mail clients ab und an keine Verindung zum Exchange aufbauen können und für einige Minuten offline sind. Auch geben die Mail-Clients (MacOS Outlook 2011) http fehler aus. Ist die Frage ob Outlook für Mac 2011 über Mapi connected oder über https (outlook anywhere). Wenn über https, dann würde das die Mail-Client http Fehlermeldungen erklären.

 

Auch auf den clients geht oft die Namensauflösung nicht. Das ist das Problem.

 

Der DNS ist so konfiguriert, dass Round robin für die Exchange A Records eingerichtet ist. Aber wie gesagt der DNS lauscht auf der virtuellen NIC und auf der physikalischen.

 

Danke und lg

bearbeitet 31. Oktober 2015 von aybcde

[NorbertFe 1.835]

Https um

Genau zu sein über die webservices oder WebDAV.

[DerSharky 0]

Hallo aybcde,

 

DNS Round Robin ist als eine einfache Form der Lastenverteilung gedacht.

Du erstellst in deiner DNS Zone mehrere Einträge mit dem gleichen Namen z.b. "web-srv", die aber alle auf unterschiedliche IP Adresse auf unterschiedlichen Systemen zeigen.

Die erste Anfrage nach dem Namen web-srv landet auf der IP Adresse 192.168.5.10

Die zweite Anfrage nach dem Namen web-srv landet auf der IP Adresse 192.168.5.11

Die nächste Anfrage nach dem Namen web-srv landet auf der IP Adresse 192.168.5.12

und so weiter und so weiter

Irgendwann landet die Anfrage nach dem Namen web-srv wieder auf der IP Adresse 192.168.5.10 und das ganze geht von vorne los.

Wenn Deine IP Adressen aber in Wirklichkeit beide auf dem selben Server sind, dann macht Round Robin eigentlich keinen Sinn, weil ja keine Lastenverteilung stattfindet.

 

Du hast also auf Deinem 2003er Server 2 IP Adressen die beide unter dem gleichen Namen als A Record im DNS registriert sind.

Nach welchen Kriterien löst der DNS denn nach der einen oder anderen IP auf ?

Das ist doch dann dem Zufall überlassen oder greift hier auch Round Robin ?

Wenn sowohl die physikalische als auch die virtuelle IP Adresse im gleichen Subnet liegen macht das doch so gar keinen Sinn ?

 

Warum lauscht der DNS auf der virtuellen IP ?

Auf der virtuellen IP kommt doch eigentlich nur die VPN Verbindung an nach dem diese von Irgendwo weitergeleitet wurde ?

Eine DNS Anfrage wird hier doch nicht ankommen ?

Dann könnte man dem DNS doch sagen dass er auf der virtuellen IP nicht mehr lauschen soll ?

 

Dass ein ping auf eine externe Adresse im Time Out versandet deutet darauf hin dass die DNS Weiterleitung nicht funktioniert.

Die DNS Server in Deinem Netz können ja nur die Namen innerhalb Deines Netzes auflösen.

Für alles andere wie www.irgendwas.de machst Du ja die Weiterleitung auf den DNS Deines Internetproviders.

Wenn aber innerhalb Deines Netzes die DNS Auflösung schon nicht sauber läuft, könnte ich mir vorstellen dass die Weiterleitung daran scheitert dass Deine DNS Server intern schon nicht sauber arbeiten und nicht "wissen" wann eine weiterleitung auf einen externen DNS notwendig wird.

 

Dass dann die DNS Auflösung auf Deinen Clients nicht funktioniert ist dann lediglich ein Folgefehler der das Chaos vollständig macht.

 

Du schreibst dass Du 3 DC´s hast Die alle 3 auch DNS machen.

Welchen dieser 3 DNS Server verwenden denn die Clients.

Treten die Fehler auf den Clients immer auf oder nur wenn ein bestimmter DNS Server verwendet wird ?

Hast Du denn mal geschaut ob die Clients wenigstens die internen Namen korrekt aufgelöst bekommen ?

 

Viele Grüße

DerSharky

bearbeitet 31. Oktober 2015 von DerSharky

[Doso 77]

1. Server 2003 ist komplett aus dem Support raus. Sollte also asap ausgetauscht werden.

2. Entsprechendes gilt dann mittelfristig auch für deinen Exchange Server, da hast du noch 2 Jahre für.

3. Exchange Server sollte nicht auf einem DC laufen, das gilt auch für ältere Versionen: https://technet.microsoft.com/de-de/library/ms.exch.setupreadiness.warninginstallexchangerolesondomaincontroller(v=exchg.160).aspx

4. Multihome DCs ist problematisch, vermutlich hast du mit dem vpn/RAS genau das geschaffen.

[lefg 276]

Ich bin ein Freund eines Ansatzes mittels History, ich fragte (mich), existiert das Problem seit dem Urknall der Domäne oder trat er nach einer Änderung auf, einer Erweiterung Ergänzung? Ist da ein Zusammenhang feststellbar mit dem Einrichten von Multihome, Round Bobin, VPN?

bearbeitet 1. November 2015 von lefg

[aybcde 0]

Hallo nochmal!

 

also das Ding laeuft so seit 7 Jahren. Mit Vista Clients hat alles funktioniert. Seitem wird auf MacOS Clients umgestiegen sind gibt es Probleme mit der Namensaufloesung. Das wirkt sich primaer auf E-Mail Clients aus. SMB macht derzeit keine Probleme.

 

lg

[lefg 276]

Oh, steht in der Eröffnung des Thread etwas von McOS? Habe ich das überlesen? Ob das von Bedeutung ist oder ein zufälliges Zusammentreffen?

 

Tritt das Problem also nur an Mc`s auf? Wurde es mal mit Windowsrechnern getestet?

 

Haben sich die Clients denn aktuell in die FLZ eingtragen?

bearbeitet 4. November 2015 von lefg

[aybcde 0]

Hallo nochmal,

 

die Clients sind im DNS nicht registriert. Die Weiterleitungen passen auch am DNS Server. Forwarding geht zum Provider und auch auf 8.8.8.8 (google DNS)

 

FLZ bedeutet, so nehme ich an Forward lookup zone. Das konzept von round robin ist mir klar. Wie gesagt, das Netz hat 7 Jahre relativ problemlos funktioniert. Ich bin seit 10 Monate dort. Vor 5 Monaten sind wir von Vista auf MacOS umgestiegen. Ich habe im Vista Environment nicht lange genug gearbeitet um sagen zu können, ob das ein reines Mac Client Problem ist... Bin auch nur wenige Stunden pro Woche dort.

 

Danke und lg

[lefg 276]

Sind die Mc denn Member der Domäne?

 

Warum sind die Mc nicht im DNS(FLZ) der Domäne registriert?

 

Der DNS des Providers und der von Google lösen keine Namens auf für das LAN, die Domäne, nur für das Internet.

bearbeitet 7. November 2015 von lefg

[aybcde 0]

Danke für die Antwort.

Die Weiterleitungen passen auch am DNS Server. Forwarding (am DNS Server) geht zum Provider und auch auf 8.8.8.8 (google DNS). Wir habe AD integrierte DNS Zonen.

Ob die Clients nun in der FLZ/RLZ registriert sind ist doch für die Namensauflösung unwesentlich, denke ich.

Macs sind kein AD Members.

 

Danke und lg,

aybcde