DNS Server kennt seine eigene A Einträge nicht mehr

[Admin666 3]

Hallo zusammen,

 

wir sind hier mal wieder auf ein Interrssantes Problem gestoßen.

Bei einem unserer Kunden gibt es verschiedene Probleme im Netzwerk eins davon ist ein DNS Problem welches wir gerade untersuchen.

Der Kunde hat 4 DCs 2 davon virtuell. Jeder DC hat mindestens 6 Netzwerkkarten im Einsatz soweit so gut.

Jetzt habe ich mich mal durchtesten wollen und fing mit den einfachsten Sachen an, am Client mal ein paar nslookup Abfragen gemacht.

Bei manchen kam die "non existing domain" Meldung. Daraufhin hab ich mich mal auf einen DC eingeloggt und wollte schauen ob dieser Eintrag im DNS überhaubt vorhanden ist.

Zu meiner Überrachung ist der A Eintrag dort vorhanden. Nun habe ich mal die Konsole mit nslookup auf dem DC selber geöffnet und wollte die IP, die klar im DNS vorhanden ist, abfragen.

Wieder kam die Meldung "non existing domain". Ich hab danach den DNS Cash mal geleert und die Zone nochmal neu abfragen lassen, wieder nichts.

Dann dachte ich es könnte ein Replikationsfehler sein also schaute ich auf den anderen DCs nach.

Alle haben mir dasselbe Ergebniss gegeben "non existing domain". Im Log (Ereignissanzeige, DNS-Log, usw) werden keine Fehler angezeigt.

Darufhin habe ich den Client mal aus der Domäne geholt und wieder hinzugefügt dann klappte das auch mit der Auflösung.

Allerdings werden GPOs nicht angewendet. Wenn das jetzt nur ein Client wäre es weniger schlimm allerdings zieht sich das über das ganze Netzwerk und auch nur mal sporadisch hier und da.

Auf Nachfrage was denn in letzter Zeit dort geändert wurde (wir betreuen den Kunden erst seit kurzen) und ob ich mal die Dokumentation sehen könnte blickte ich in fragende Gesichter.

 

Jetzt meine Frage an euch, ist euch sowas schon mal untergekommen?

Woran könnte es liegen das die DNS Server ihre eigenen A records nicht kennen?

 

 

 

[testperson 1.527]

Hi,

 

vor 47 Minuten schrieb Admin666:

Jeder DC hat mindestens 6 Netzwerkkarten im Einsatz soweit so gut.

soweit so gut? Ich würde an dieser Stelle behaupten, du musst nicht weiter untersuchen sondern "einfach" "nur" deine "Multihomed DCs" abschaffen. Sinnvoll wäre hier vermutlich allen DCs nur noch eine NIC zu geben und entsprechend zu routen.

 

Warum sollen die DCs mindestens 6 Netzwerkkarten haben? Was ist/war das Ziel?

 

Gruß

Jan

[NorbertFe 1.799]

vor 48 Minuten schrieb Admin666:

Jeder DC hat mindestens 6 Netzwerkkarten im Einsatz soweit so gut.

Soweit so gut? Naja offenbar noch nie von Multihomed DCs und den entsprechenden Empfehlungen gelesen.

 

Und bei deiner obigen Beschreibung ist es nur sehr schwer (oder eher gar nicht) nachvollziehbar, was genau du da jetzt eigentlich getestet hast und welche Ergebnisse zu erwarten gewesen wären.

[Admin666 3]

vor 21 Minuten schrieb NorbertFe:

Soweit so gut? Naja offenbar noch nie von Multihomed DCs und den entsprechenden Empfehlungen gelesen.

 

Und bei deiner obigen Beschreibung ist es nur sehr schwer (oder eher gar nicht) nachvollziehbar, was genau du da jetzt eigentlich getestet hast und welche Ergebnisse zu erwarten gewesen wären.

 

Das 6 Netzwerkkarten nicht optimal sind weiss ich deswegen hab ich das ja erwähnt (hätte es vl anders fomulieren sollen sorry nicht mein Stärke). Zu deiner Frage was ich testen will, ich will mir überhaubt mal irgenwo einen Durchblick verschaffen und igendwo muss ich anfangen. Die Info vom Kunden ist da nur "das geht nicht macht was".

 

Das sind aber auch verschiedene Physiche Netze von denen wir hier sprechen und der Kunde möchte das unbedingt so weiter beibehalten bzw er will auch weiterhin unmanaged Switche verwenden ohne VLAN das ist aber eine andere Geschichte.

Meine Frage war ja auf den DNS Server bezogen warum vergisst oder erkennt er nicht seine eigene Einträge wenn ich ihn selber direkt frage?

 

Edit:

 

OK hatte einen Ausetzer ja klar lese mich gerade durch multihomed DCs durch und ihr habt recht das sollte man einfach lassen mal schauen was ich da machen kann. Könnte das aber auch mein Problem Lösen?

bearbeitet 26. April 2023 von Admin666

[winmadness 78]

Fragen zur Konfiguration:

• ipconfig /all zur Überprüfung der eingetragenen DNS Server
• ist die interne Domain offiziell registriert
• ist IPv6 konfiguriert oder über die Registry deaktiviert

Hier einige Tests, welche ich durchführen würde:

• nslookup unter explizieten Angabe des DNS (DC) Servers
• funktioniert ping auf DC bzw. Clients?

[Admin666 3]

vor 2 Minuten schrieb winmadness:

Fragen zur Konfiguration:

• ipconfig /all zur Überprüfung der eingetragenen DNS Server
• ist die interne Domain offiziell registriert
• ist IPv6 konfiguriert oder über die Registry deaktiviert

Hier einige Tests, welche ich durchführen würde:

• nslookup unter explizieten Angabe des DNS (DC) Servers
• funktioniert ping auf DC bzw. Clients?

 

• Die richtigen DNS Server sind eingetragen
• Was meinst du mit Offizell registriert? Im Netz? nein das ist eine .local Domäne
• Deaktiviert über Registry

 

• nslookup auf dem DC gemacht und er antwortet mit der 127.0.0.1 (denke das meinst du oder?)
• Japp ping funktioniert einbahnfrei Netwerk kommunikation allgemein forhanden außer DNS und GPOs (auch nur sporadisch)

 

[NorbertFe 1.799]

vor 22 Minuten schrieb Admin666:

Das 6 Netzwerkkarten nicht optimal sind weiss ich

Die sind nicht nicht optimal, die sind Mist. ;)

 

vor 22 Minuten schrieb Admin666:

und der Kunde möchte das unbedingt so weiter beibehalten bzw er will auch weiterhin unmanaged Switche verwenden ohne VLAN das ist aber eine andere Geschichte.

Nein, das ist keine andere Geschichte, sondern das Problem. Wenn der Kunde mehr wissen mag als der Dienstleister, kommt oft sowas bei raus. :)

 

Bye

Norbert

vor 23 Minuten schrieb Admin666:

und igendwo muss ich anfangen. Die Info vom Kunden ist da nur "das geht nicht macht was".

Dann wäre die konkrete Beschreibung des jeweiligen Problems hilfreich. Wie schon oben geschrieben, kann man mit deiner Aussage oben definitiv nicht viel unterstützen. Sieh Fragen von @winmadness

[winmadness 78]

vor 8 Minuten schrieb Admin666:

nslookup auf dem DC gemacht und er antwortet mit der 127.0.0.1 (denke das meinst du oder?)

Nein, ich meine damit die Angabe des DNS Servers der die Anfrage beantworten soll, Test auf Clients und DNS/DC Server; z.B.

nslookup <server.domain.local> <dnsserver.domain.local>

bearbeitet 26. April 2023 von winmadness

[Admin666 3]

Ja Norbert du hast da vollkommen Recht, ich bin das völlig falsch angegangen und hab mich zu stark nur auf das DNS Problem gestürtzt.

 

Ich schaue mal ob ich die Netz Infrastruktur hier sinnvoller gestalten kann und versuche mal Ordnung in das Chaos reinzubekommen.

Vielen Dank

 

@winmadness mal klappt das und mal nicht, ich denke mal Norbert und Testperson haben hier den richtigen Ansatz trotzdem danke für deine Zeit.

[daabm 1.184]

Man KANN multihomed DCs machen. Aber nicht alles, was man machen kann, ist auch hilfreich oder gut Man KANN auch von einer Brücke springen, das ist kompletter Blödsinn. Vielleicht hilft dieser Vergleichsansatz Deinem Kunden.

 

Wenn man es macht (aus "Gründen"), dann sollte man viel Energie in DNS investieren, damit die AD-relevanten DNS-Einträge für alle Clients aus allen Netzen immer korrekte Antworten liefern. Und auch für die DCs selbst natürlich. Viel Spaß dabei, wenn das Windows-DNS ist - SCNR

[Admin666 3]

Ja ne ich werde nicht die Zeit investieren das Netzwerk zu verbasteln,

wir haben uns zusammengesetzt und geschaut was die beste Lösung hier ist und kamen zum Schluss, wir werden das Netzwerk neu aufsetzen.

Das geht schneller und ist kostengünstiger für den Kunden.

Und ja es ist Windows DNS 

[Admin666 3]

Eine Frage hätte ich da noch:

 

Wenn ich DCs habe die in unterschiedlichen Netzen sind und diese miteinnander kommunizieren sollen zwecks Replikationen, CA Abfragen etc. kann ich dann einem DC 2 netzwerkkarten einbauen und und praktisch die DCs in einem Seperaten Netz miteinander reden lassen? Die DNS abfragen würde ich dann für dieses Netzwerk deaktivieren und es im DNS hart eintragen.

 

[testperson 1.527]

Natürlich kannst du das machen. Ist dann aber genau so Multihomed wie mit 6, 9 oder 3 Netzwerkkarten und damit genau so bescheiden. Wenn du doch eh schon ein Routing implementierst, warum diesen Traffic dann nicht einfach auch routen?

[Dukel 436]

Was sind das für Netzwerke bzw. wieso gibt es diese Trennung?

Wieso sind die DC's in mehreren dieser Netzwerke?

[Admin666 3]

vor 4 Minuten schrieb testperson:

Natürlich kannst du das machen. Ist dann aber genau so Multihomed wie mit 6, 9 oder 3 Netzwerkkarten und damit genau so bescheiden. Wenn du doch eh schon ein Routing implementierst, warum diesen Traffic dann nicht einfach auch routen?

 

Gibt es da keine möglichkeit zu sagen er soll alle DNS und AD Arbeiten über einen gewissen Netzwerkadapter machen? Der Kunde hat ein extra Netz für Backups und da hängen alle Server drinne also auch die DCs. Das Netz ist physich getrennt um die Last vom Produktiv Netz vernzuhalten.

 

Der Grund für meine Frage ist, dass ich eine Übergangslösung brauche ich hab hier viele Netze die man mal eben nicht so einfach ändern kann.

3 getrennte Produktivnetze mit DNS und AD Problemen, da kann ich zwar jedem Netz einen DC zuweisen aber diese müssen ja miteinander reden können,

1 Backupnetz das an allen DCs hängt und zwingend getrennt sein muss wegen Netzwerklast (kann ich etwas nachvollziehen da gehen viele TB am Tag durch die Leitung)

und 1 Maschienennetz das ich gerne einfach von den DCs lösen möchte und auch machen werde da dort keine AD oder DNS Dienste benötigt werden (falls ja route ich das mit der Firewall)

 

vor 13 Minuten schrieb Dukel:

Was sind das für Netzwerke bzw. wieso gibt es diese Trennung?

Wieso sind die DC's in mehreren dieser Netzwerke?

 

Netzwerke für Produktion und Verwaltung  Motto war hier: "Oh wir bekommen ein neues Gebäude oder haben keine IPs mehr frei Lösung: lass uns ein neues Netz machen und alle DCs drann hängen"

Wieso? Tja kp gibt keine Doku und die IT Firma vor uns ist einfach weg.