Jump to content

DHCP DNS Katastrophe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Schönen Guten Tag,

 

bei uns im Unternehmen gibt es einige Probleme in Bezug auf DHCP und DNS.

 

Zur Info

 

  • DHCP und DNS Server sind beide auf dem DC installiert. Es existiert kein DHCP Failover.
  • Server ist eine VM, Windows Server 2016, 1607
  • Im DHCP IPv4 Bereich existieren mehrere (ca. 20) Bereiche für verschiedene VLAN's (meistens /16 Subnetze)
  • Im Netzwerk befinden sich mehrere Hundert Geräte
  • der DC im Netzwerk hat die 10.1.1.1

 

Probleme

 

  • neue Clients im Netzwerk bekommen eine IP-Adresse wie es auch sein soll, dies sehe ich auch unter den Leases im entsprechenden IPv4 VLAN-Bereich, allerdings bleibt die Bezeichnung Name in den Adressleases bei dem entsprechenden Client komplett leer
    • daraus folgt natürlich, dass im DNS Forward, als auch im Reverse Bereich kein Eintrag gesetzt wird (wenn ich alles statisch im DNS eintrage, funktioniert es, aber das ist natürlich keine Lösung)

==> neue DHCP Einträge werden also einfach nicht im DNS eingetragen (früher lief das wohl alles mal irgendwie, da kann ich allerdings keine Aussage zu treffen, da ich neu im Unternehmen bin und Optimierungsarbeiten vornehme)

  • alte DNS Einträge, die nicht mehr aktiv sind, werden nicht gelöscht, so entstehen leider Probleme
  • zu den ganzen /16 VLAN Bereichen aus dem DHCP existieren leider ausschließlich /24 Zonen in der Reverse DNS LookupZone, was meiner Meinung nach eine gute Übersicht und Struktur bietet, allerdings auch nervig ist zu pflegen

 

 

Aktuelle Konfiguration

 

Die könnt ihr den angehangenen Bildern entnehmen  :)  Die Dateinamen sind immer entsprechend gewählt, damit man weiß welche Eigenschaften man jetzt sieht

 

Darüber hinaus stellt sich mir die Frage, ob ich eventuell den Domänen-Admin in die AD-Gruppe DnsUpdateProxy aufnehmen muss oder aber welchen Benutzer ich bei den Anmeldeinformationen des DHCP Servers hinterlegen muss

 

Konfigurationstechnisch habe ich mich auch schon sehr an dieser Anleitung orientiert:

https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/

Leider hat dies noch nicht zur Lösung der Probleme beigetragen.

 

 

Wünschenswerte Konfiguration

 

  • wenn neue DHCP Einträge generiert werden, sollen die sofort in der Forward LookupZone stehen und der Haken bei Entsprechenden Zeigereintrag (PTR) aktualisieren soll natürlich direkt mit gesetzt werden, damit ein Reverse Eintrag gesetzt wird
  • Die Alterung in allen Bereichen soll aktiviert sein, heißt also, wenn sich ein PC  z.B. 1 Woche  nicht mehr im Netzwerk angemeldet hat, dann soll der DNS Eintrag aus der Forward und Reverse Zone entfernt werden
    • gleiches gilt natürlich auch für aktuell bestehende Altlasten von vor mehreren Jahren

 

Ich hoffe ihr könnt mir hier weiterhelfen. Solltet ihr noch mehrere Informationen benötigen, dann raus damit! :)

 

 

DHCP Bereich Default VLAN_Allgemein.png

DHCP Bereich Default VLAN_DNS.png

DHCP Bereich Default VLAN_Erweitert.png

DHCP IPv4_Allgemein.png

DHCP IPv4_Anmeldeinformationen.png

DHCP IPv4_DNS.png

DNS Server_Erweitert.png

DNS Server_Schnittstellen.png

Forward Lookupzone_Eigenschaften_Allgemein mit Alterung.png

Link zu diesem Kommentar

Moin,

 

und wo ist jetzt die "Katastrophe", die du im Titel versprichst? Was genau sind die Probleme der Umgebung?

Dass Clients nicht im DNS auftauchen, ist unschön, aber in den meisten Umgebungen ohne problematische Folgen. Wichtig ist vor allem, dass die Server dort auftauchen.

 

Im dritten Bild von unten ist die DNS-Alterung auf dem Server ausdrücklich abgeschaltet. Dann findet sie auch nicht statt, egal, was in der Zone steht.

 

Habe ich richtig verstanden, dass es in der Umgebung nur einen DC gibt? Dann wäre das grob fahrlässig. Installiere mindestens einen zweiten.

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin, die Katastrophe ist, dass eben die DNS Einträge nicht vernünftig erstellt werden, und somit diverse Folgeprobleme auftauchen (unter anderem Image Rollout auf Clients etc. etc.)

 

Nein, hier im Netzwerk gibt es einen zweiten DC. Da hast du recht, das wäre allerdings grob fahrlässig.

 

Ich sehe gerade noch btw, dass unter quasi allen Reverse Lookup Zonen unter den Eigenschaften im Reiter Namenserver, bei dem Haupt DC bei IP-Adresse unbekannt steht, bei dem DC2 allerdings steht die IP-Adresse, könnte das eventuell auch eine Ursache sein und wenn ja, wie könnte man dies zentral bereinigen?

Link zu diesem Kommentar

Im Event Log kann ich nichts finden und im dcdiag steht folgendes:

 


VerzeichnisDCdiagnose


Anfangssetup wird ausgefhrt:

   Der HomeDC wird gesucht...

   HomeDC = **DC**

   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   DC wird getestet: Site-Germany-**ORT**\**DC**

      Starting test: Connectivity

         ......................... **DC** hat den Test Connectivity bestanden.

Prim„rtests werden ausgefhrt.

   
   DC wird getestet: Site-Germany-**ORT**\**DC**

      Starting test: Advertising

         ......................... **DC** hat den Test Advertising bestanden.

      Starting test: FrsEvent

         ......................... **DC** hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

         SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge

         haben.
         ......................... Der Test DFSREvent fr **DC** ist

         fehlgeschlagen.

      Starting test: SysVolCheck

         ......................... **DC** hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         ......................... **DC** hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... **DC** hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... **DC** hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         ......................... **DC** hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         ......................... **DC** hat den Test NetLogons bestanden.

      Starting test: ObjectsReplicated

         ......................... **DC** hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         ......................... **DC** hat den Test Replications bestanden.

      Starting test: RidManager

         ......................... **DC** hat den Test RidManager bestanden.

      Starting test: Services

         ......................... **DC** hat den Test Services bestanden.

      Starting test: SystemLog

         Fehler. Ereignis-ID: 0x0000165B

            Erstellungszeitpunkt: 09/13/2019   08:37:33

            Ereigniszeichenfolge:

            Die Sitzung konnte vom Computer "**CLIENTX**" nicht eingerichtet werden, da die Sicherheitsdatenbank  kein Vertrauenskonto "**CLIENTX**$" entsprechend dem angegebenen Computer enth„lt.  


         Fehler. Ereignis-ID: 0x000016AD

            Erstellungszeitpunkt: 09/13/2019   08:41:48

            Ereigniszeichenfolge:

            Die Sitzungseinrichtung von Computer **CLIENTX** konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten:


         Fehler. Ereignis-ID: 0x0000165B

            Erstellungszeitpunkt: 09/13/2019   08:52:33

            Ereigniszeichenfolge:

            Die Sitzung konnte vom Computer "**CLIENTY**" nicht eingerichtet werden, da die Sicherheitsdatenbank  kein Vertrauenskonto "**CLIENTY**" entsprechend dem angegebenen Computer enth„lt.  


         ......................... Der Test SystemLog fr **DC** ist

         fehlgeschlagen.

      Starting test: VerifyReferences

         ......................... **DC** hat den Test VerifyReferences

         bestanden.

   
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: **ORT**

      Starting test: CheckSDRefDom

         ......................... **ORT** hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... **ORT** hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: **ORT**.mueller-schmidt.de

      Starting test: LocatorCheck

         ......................... **ORT**.mueller-schmidt.de hat den Test

         LocatorCheck bestanden.

      Starting test: Intersite

         ......................... **ORT**.mueller-schmidt.de hat den Test Intersite

         bestanden.

 

 

 

Link zu diesem Kommentar

Moin

 

Mit Parameter /q zu dcdiag werden nur die Fehler ausgegeben  https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc731968(v%3Dws.11)

 

Mit dcdiag /q | clipboard geht es in die Zwischenablage.

 

Mit dcdiag /q >> Datei.txt geht es in eine Datei.

bearbeitet von lefg
Link zu diesem Kommentar

Hier sind nur die Fehler:

 

         Fehler. Ereignis-ID: 0x0000165B

            Erstellungszeitpunkt: 09/16/2019   08:54:01

            Ereigniszeichenfolge:

            Die Sitzung konnte vom Computer "NotebookXY" nicht eingerichtet werden, da die Sicherheitsdatenbank  kein Vertrauenskonto "NotebookXY$" entsprechend dem angegebenen Computer enth„lt.  


         Fehler. Ereignis-ID: 0x000016AD

            Erstellungszeitpunkt: 09/16/2019   09:00:15

            Ereigniszeichenfolge:

            Die Sitzungseinrichtung von Computer NotebookXY konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten:


         ......................... Der Test SystemLog fr DC1 ist

         fehlgeschlagen.

 

@Tektronix das musst du mir erklären :D

 

@NilsK @lefg   also mittlerweile fällt mir tatsächlich nichts mehr ein. Die Ereignisanzeige sagt nichts bestimmtes

(außer folgender Fehlermeldung, nachdem ich die Alterung / Aufräumung in allen Bereichen auf 7 Tage gesetzt und aktiviert habe:

 

Der DNS-Server hat den Aufräumzyklus abgeschlossen, aber es wurden keine Knoten besucht. Der Grund für diesen Zustand kann sein:
 
  1) Es sind keine Zonen für das Aufräumen durch diesen Server konfiguriert.
  2) Es ist ein Aufräumzyklus innerhalb der letzten 30 Minuten durchgeführt worden.
  3) Während des Aufräumens ist ein Fehler aufgetreten.
 
Der nächste Aufräumzyklus ist für die nächsten 168 Stunden geplant.
 
Die Ereignisdaten enthalten den Fehlercode, wenn während des Aufräumzyklus ein Fehler aufgetreten ist.

)

 

Was mir aktuell noch auffällt betrifft die allgemeinen Serveroptionen vom DHCP.

Wie bereits erwähnt, haben wir auf dem DC im IPv4 einige Bereiche aufgrund verschiedener VLAN's. Jeder dieser Bereiche hat unter den Bereichsoptionen unter 003 Router die jeweilige IP-Adresse des Subnetzes liegen.

 

Allerdings findet man unter DHCP>DC>IPv4 noch die Serveroptionen, die ganz oben über allen anderen Bereichen angeordnet sind.

Dort ist merkwürdigerweise bei 003 Router das Gateway aus einem bestimmten VLAN eingetragen, aber sollte dort nicht eigentlich das Gateway vom DC stehen?

 

Ansonsten wüsste ich aktuell nicht was ich noch überprüfen sollte??

Ich verstehe einfach nicht, warum bei einem neuen Client, der via DHCP eine IP-Adresse bekommen hat, 0 Einträge im DNS gesetzt werden, weder im Forward und dann natürlich auch nicht im Reverse Bereich.

Darüber hinaus werden dann auch neue IP-Adressen vom DHCP vergeben, wo bereits noch ein alter DNS Eintrag existiert, aber natürlich einen ganz anderen Namen aufweist als der neue Client

 

 

Link zu diesem Kommentar
vor 2 Stunden schrieb sd2019:

Fehler. Ereignis-ID: 0x0000165B

            Erstellungszeitpunkt: 09/16/2019   08:54:01

            Ereigniszeichenfolge:

            Die Sitzung konnte vom Computer "NotebookXY" nicht eingerichtet werden, da die Sicherheitsdatenbank  kein Vertrauenskonto "NotebookXY$" entsprechend dem angegebenen Computer enth„lt.  

 

Moin

 

In solch einem Fall versuchen das Gerät normal aus der Domäne zu entfernen, dann neu starten. In Ereignisprotokoll von Server und Client schauen. Falls das Computerkonto im AD nicht automatisch gelöscht, es händisch löschen. Dann den Computer wieder der Domäne hinzufügen. Mehrfache Blicke in die Ereignisanzeigen können schon hilfreich sein.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...