Jump to content

Probleme mit Namensauflösung für einen bidirektionalen Domain Trust

DerOlele

Von DerOlele
in Active Directory Forum

Direkt zur Lösung Gelöst von DerOlele,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

DerOlele Contributor

DerOlele   0

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen,

 

benötige hier mal bitte das Schwarm-Wissen.

Wir möchten bzw. müssen eine Vertrauensstelleung zwischen zweier Windows Domänen erstellen. Wir, d.h. mein AG und eine neu zugekaufte Firma in Übersee.

Verbindungstechnisch sind die beiden Standorte mittels VPN verbunden und die Firewalls haben jeweils für diesen Tunnel zunächst mal "Any" "Any". 

 

IP Technisch kann ich die Domaincontroller der neuen Tochter erreichen. Das funktionert.

 

Wenn ich allerdings auf einem DNS Server dann bspw. eine Sekundäre Zone einrichten möchte, so ist dort der Server IP-Technisch erreichbar, der FQDN jedoch nicht auflösbar:

image.png.a97fa460c73df7a29e62c52d31bc8f3b.png

 

Gleiches passiert, wenn ich statt einer Sekundären Zone eine bedingte Weiterleitung einrichten möchte.

image.png.132a4ccd0b9b48129b4184cd50b42688.png

 

Zone Transfers sind aktiviert:
image.png.07f5c534c1b344f1a9ca1a3ae9698345.png

 

Firewalls sind deaktiviert (phsische so wie auch Software-FW auf den DCs).
VPN funktioniert stabbil....

 

Jetzt bin ich eben am rätseln wo man noch schauen könnte. In jeweiligen Domänen funktioniert die Namensauflösunge einwandfrei.
Würde mich sehr freuen wenn mir hier jemand einen Tipp geben könnte.

 

Vorab schon mal vielen Dank.

 

Beste Grüße

Thorsten

 

 

 

 

 

 

bearbeitet von DerOlele
Link zu diesem Kommentar
DerOlele Contributor

DerOlele   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 20 Minuten schrieb cj_berlin:

Moin,

 

ob eine sekundäre Zone oder Conditional Forwarder kommt auf den Use Case an. Für die Einrichtung und fürs Troubleshooting sind Conditional Forwarders einfacher.

 

Nur mal als Sanity Check: Kannst Du aus Standort A NSLOOKUP auf den Server im Standort B machen und die dort vorhandenen Records abfragen?

Hallo :D

 

Habe ich soeben nochmals versucht. 
Geht leider nicht. Non-existent domain kommt dann zurück.

Evtl. wird hier doch noch was geblockt.....

Ich hab mal auf meinem DC das Tool PortQuery laufen lassen mit der Zieladresse des DCs in der anderen Umgebung und mit Service to query: Domains and Trusts....

 

Das Log hängt bei.... also ich seh geradr vor lauter Bäume den Wald nicht mehr, Sorry.....  :-(

 

 

PortQuery_from_10112051_to_10101003_new.txt

bearbeitet von DerOlele
Link zu diesem Kommentar
daabm Grand Master

daabm   1.185

Geschrieben
Geschrieben

Die Frage war nicht nach PortQry - wobei es da eh für Domänen was viel besseres gibt :-) https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Die Frage war, ob Du Namen bei dem anderen DNS auflösen kannst.

 

Und dann wäre noch die Frage, ob der andere DNS den Zonentransfer auch erlaubt. Die Frage würdest Du Dir mit einem conditional forwarder ersparen.

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben
vor 9 Minuten schrieb DerOlele:

oben bereits beantwortet. Aber hier gerne noch einmal: nein, es geht leider nicht.

Die Namensauflösung geht nicht: 

Non-existent Domain 

Zu welchen Adressen? Poste doch mal ein paar Listings oder Screenshots. Wenn Du  

nslookup
server <IP-Adresse des DC in Domain B>
set type=soa
<domainb.com>
set type=ns
<domainb.com>
set type=a
<name-des-dc.domainb.com>

eingibst, kommt bei allen Non-Existent Domain zurück? Und exakt dasselbe funktioniert einwandfrei, wenn Du den Aufruf von einem Rechner in der Domain B und/oder im Standort B tätigst?

Link zu diesem Kommentar
DerOlele Contributor

DerOlele   0

Geschrieben
  • Autor
Geschrieben
Am 5.8.2023 um 14:07 schrieb cj_berlin:

Zu welchen Adressen? Poste doch mal ein paar Listings oder Screenshots. Wenn Du  

nslookup
server <IP-Adresse des DC in Domain B>
set type=soa
<domainb.com>
set type=ns
<domainb.com>
set type=a
<name-des-dc.domainb.com>

eingibst, kommt bei allen Non-Existent Domain zurück? Und exakt dasselbe funktioniert einwandfrei, wenn Du den Aufruf von einem Rechner in der Domain B und/oder im Standort B tätigst?

Guten Morgen Allerseits!

 

Konnte erst heute Morgen nochmals die Abfragen ausführen, da ich erst heute wieder Online war.

Bei allen Abfragen kommt immer die Antwort  Non-Existent Domain zurück. 

Ich frage mich langsam, was hier die Namensauflösung verhindert.....ob hier nicht doch was von der FW blockiert werden könnte und wie ich das herausbekommen kann, damit ich meine Kollegen aus dem Netzwerkbereich um Abhilfe bitten könnte.

 

Link zu diesem Kommentar
DerOlele Contributor

DerOlele   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo zusammen,

 

sorry für die Verzögerung wegen der gewünschte Antwort.
Hatte gestern einen Incident und dieser hatte dann entsprechend vorrang.

Hier die Rückmeldung.
Hoffe die bringt euch was was....musste das leider teilweise anonymisieren....

image.png.87e54351896b77ba69296f0123b3484d.png

 

Hier nochmals als Text und entsprechend anonymisiert:

> 10.10.100.3
Server:  DC1.inhouse
Address:  10.112.0.51

*** DC1.inhouse can't find 10.10.100.3: Non-existent domain
> set type=soa
> local.int
Server:  DC1.inhouse
Address:  10.112.0.51

*** DC1.inhouse can't find local.int: Non-existent domain
> set type=ns
> local.int
Server:  DC1.inhouse
Address:  10.112.0.51

*** DC1.inhouse can't find local.int: Non-existent domain
> set type=a
> condor.local.int
Server:  DC1.inhouse
Address:  10.112.0.51

*** DC1.inhouse can't find condor.local.int: Non-existent domain
>

 

Sorry nochmals für die Verzögerung.....

 

VG
Thorsten 

bearbeitet von DerOlele
Link zu diesem Kommentar
  • Beste Lösung
DerOlele Contributor

DerOlele   0

Geschrieben
  • Autor
  • Beste Lösung
Geschrieben

Hallo zusammen,


wir haben etwas weiter "Jugend Forscht" gespielt und eine zugehörige sekundäre Zone in den Reverse Lookup Zonen erstellt
und dort ebenfalls das Zone Transfers aktiviert.
Das hatten wir irgendwie vergessen.

Die Namensauflösung funktioniert nun. Wir konnte nun auch den Trust aufbauen.

Nochmals danke für Eure Unterstützung.

 

VG
Thorsten 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...