Erster DC 2012 r2 Client DNS aus anderem Subnetz

[maedo 0]

Hallo,

ich habe in einer Testumgebung einen neuen Windows 2012 R2 als ersten DC aufgesetzt und den DNS Server nach der Installation des AD nachinstalliert. Joinen von Clients aus dem eigenen Subnetz funktioniert, Clients aus weiteren Subnetzen melden jedoch 

Standardserver:  UnKnown

Address:  10.230.10.10

 

ipconfig /all reduziert:

IPv4-Adresse  . . . . . . . . . . : 10.230.95.123(Bevorzugt)

Subnetzmaske  . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 10.230.95.1

DNS-Server  . . . . . . . . . . . : 10.230.10.10

Primärer WINS-Server. . . . . . . : 10.230.10.10

NetBIOS über TCP/IP . . . . . . . : Aktiviert

 

Auf dem Server selber habe ich die reverse lookup zone 95.230.10.in-addr.arpa inzwischen manuell angelegt, mit dem DC als Nameserver. Eine vorherig angelegte reverse zone 230.10.in-addr.arpa meldete unter den Einstellungen des Nameservers immer,, diese 

 

Ping auf die IP funktioniert, RDP L7 funktioniert.

Subnetz ist im Standort eingepflegt.

Jemand eine Idee wieso vom Client aus kein Beitritt zu der Domäne möglich ist?

 

Grüße

Maedo

 

[Nobbyaushb 1.381]

Wie soll der Rechner mit einer 24er Subnet aus dem Netz 10.230.95.123 die 10.230.10.10 erreichen? Hast du eine Statische Route eingerichtet?

 

Entweder das oder du musst auf ein 16er Subnetz, sprich 255.255.0.0

 

;)

[maedo 0]

Wie soll der Rechner mit einer 24er Subnet aus dem Netz 10.230.95.123 die 10.230.10.10 erreichen? Hast du eine Statische Route eingerichtet?

 

Entweder das oder du musst auf ein 16er Subnetz, sprich 255.255.0.0

 

 

Hallo und Danke,

 

Ping L3 funktioniert, RDP L7 funktioniert also vermute ich, dass unser Router routet oder missverstehe ich Dich? 

Grüße

Maedo

[maedo 0]

Keiner eine Idee?

[lefg 276]

Moin,

 

wie wurde das Joinen denn versucht? Einfach nur Domäne(NetBios Namen)? Oder auch mit FQDN? Auch unter Weitere mit dem Primäre DNS-Suffix?

 

Ist vom Server aus der Client im anderen Subnet pingbar?

 

Was ist das für ein Router? Hat der eine Firewall?

bearbeitet 11. März 2016 von lefg

[Nobbyaushb 1.381]

Ähnlich hätte auch meine nächste Frage ausgesehen, geht dein DNS überhaupt sauber?

 

Zu deiner Frage auf meine Antwort: Ping auf die IP heißt nicht das die Namensauflösung funktioniert, und das ist Voraussetzung.

 

;)

[lefg 276]

Ist am Client denn der DNS des DC eingetragen als 1.DNS?

 

Hat der sich der Client im DNS eingetragen nach ipconfig /registerdns?

bearbeitet 11. März 2016 von lefg

[blub 115]

Hi,

deaktiver doch testweise mal die personal Firewall am Client und DC.

Ansonsten kann dir ein Netzwerkmonitor wie Wireshark weiterhelfen. Da kannst du sehen, ob überhaupt Traffic zwischen DC und  JoinClient fließt.

 

blub

[maedo 0]

Hallo und Danke für die Antworten,

 

ping als auch tracert auf die IP der Hosts geht in beide Richtung durch. Also 10.230.10.10<-->10.230.95.123

tracert gibt in beide Richtungen den den jeweiligen Host mit Netbios Namen als erreicht an

 

Ein Joinen der Domain aus dem gleichen Subnetz funktioniert ohne weitere Probleme

Ein Catch all Subnetz wurde unter SuD eingerichtet und dem Standort zugewiesen

 

Auf dem DC selber wird sowohl seine IP als auch reverse aufgelöst, incl. _ldap._tcp usw

dcdiag /test:dns /v

            DNS-Server: 10.230.10.10 (consrv02.corp.local.)

               Alle Tests auf diesem DNS-Server bestanden

               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered

               DNS delegation for the domain  _msdcs.corp.local. is operational on IP 10.230.10.10

 

Portquery von Microsoft, eingestellt auf Domains & Trust liefert auch nur LISTENING ausser bei TCP port 42 (nameserver service): FILTERED portqry.exe -n 10.230.10.10 -e 42 -p TCP exits with return code 0x00000002.

Aber da ich eh kein WINS verwende und keiner installiert ist bringt mich das auch nicht weiter

 

Irgendwie sehe ich unsere 2003er Servermigrartion noch nicht in trockenen Tüchern 

 

Grüße und Danke

Maedo

Ist am Client denn der DNS des DC eingetragen als 1.DNS?

 

Hat der sich der Client im DNS eingetragen nach ipconfig /registerdns?

 

Selbsterklärend ist nur die IP des DC eigetragen, 

ipconfig /registerdns habe ich bereits durchgeführt aber das Ziel, dass er sich im DNS einträgt konnte ich nicht erreichen. 

Am DNS Server selber ist die forward Zone AD integriert incl. zugelassenen sicheren dynamisches Update

 

Ich vermute ja ziemlich stark dass der Fehler irgendwo hier in dieser Mechanik liegt

 

thx

Maedo

[lefg 276]

 

Am DNS Server selber ist die forward Zone AD integriert incl. zugelassenen sicheren dynamisches Update

 

Moin

 

Ich empfehle: Lasse doch einmal testweise auch zu: unsicher, danach führe ipconfig /registerdns durch!

bearbeitet 13. März 2016 von lefg

[NorbertFe 1.845]

Ich empfehle das nicht.

[lefg 276]

 

Irgendwie sehe ich unsere 2003er Servermigrartion noch nicht in trockenen Tüchern

 

Erläutere doch mal bitte den Satz!

bearbeitet 13. März 2016 von lefg

[maedo 0]

Moin,

 

nur zum testen..

 

auf dem DC die forwardzone als auch die reverse zonen jeweils auf unsicher und sicher geändert

ipconfig /registerdns durchgeführt und DNS neu gestartet

auf client ipconfig /registerdns durchgeführt.

Standardserver:  UnKnown

Address:  10.230.10.10

 

da ändert sich nix am Verhalten der Client Hosts.

 

dcdiag /test:registerindns /dnsdomain:corp.local

   Starting test: RegisterInDNS

      Die DNS-Konfiguration ist ausreichend, damit die Domänencontrollerlocator-Einträge von diesem Domänencontroller dynamisch in den DNS registriert werden können.

      Die DNS-Konfiguration ist ausreichend, damit der dem DNS-Namen des Computers entsprechende A-Eintrag von diesem Computer registriert werden kann.

      ......................... consrv02 hat den Test RegisterInDNS bestanden.

 

DCDIag /v /c /e ergab auch kein verwertbares Ergebnis bzw einen Fehler

 

 

Mir stellt sich so die Frage, ob es am grundsätzlichen 2012 Server Setup des DC liegt..

 

Die Installation wurde über den Servermanager durchgeführt, benötigt man außer den AD DS und den automatisch hinzugefügten DNS noch ein Tool was extra installiert werden muss?

Muss mann Gpo seitig Änderungen durchführen wenn man weitere Subnetze verwenden will?

 

Grüße und Danke für die Unterstützung

Maedo

 

 

 

Erläutere doch mal bitte den Satz!

Wir wollen von einer Windows 2003 Server Infrastruktur auf eine neu zu erstellende 2012 AD Umgebung wechseln ohne irgendwelche Altlasten mit zu nehmen

[lefg 276]

 

Wir wollen von einer Windows 2003 Server Infrastruktur auf eine neu zu erstellende 2012 AD Umgebung wechseln ohne irgendwelche Altlasten mit zu nehmen

 

Ich verstehe nur nicht, was machst Du jetzt? Was hat das mit dem Wechsel zu tun?

 

Und wie soll dieser Wechsel durchgeführt werden?

 

Und welche Altlasten werden da vermutet?

bearbeitet 13. März 2016 von lefg

[blub 115]

willst du XP/ Server2003 - Systeme in die Server2012DC joinen?

Default fehlen dann einige Protokolle (z.B. SMB1.0) am 2012-er DC für die Kommunikation mit diesen Systemen. Solltest du aber nicht nachinstallieren!