c0d3.r3d
Goto Top

AD-Join - DNS vertauscht

Nabend zusammen,

ich bin aktuell dabei die jetzige Firmenstruktur von Windows Server auf eine neue, frische Ubuntu Landschaft neuaufzubauen. Als erstes ist das AD unter Ubuntu 20.04 LTS mit Samba4 dran. Das AD ist bereits funktionsfähig, sodass ich mit statischen IP-Adressen bereits der Domain "joinen" kann. Nun habe ich mich dran gemacht, und mit dem ISC-DHCP-Server eine Konfiguration errichtet, welche soweit auch funktioniert.

Die Clients bekommen aus dem IP-Adressbereich eine IP-Adresse zugewiesen, sowie den Domänennamen und die DNS-Server. Bei letzterem gibt es jedoch so ein kleines Problem. Auf einem Client mit ipconfig /all ist der primäre DNS der Ubuntu Server (10.1.140.10), der Sekundäre die 1.1.1.1. Versuche ich den Client jedoch in die Domäne zubringen, meldet er, dass er die Domäne nicht finden kann. Wenn ich weiter im Fehlermeldungsfenster schaue, sehe ich auch, dass er primären und sekundären DNS getauscht hat, und 1.1.1.1 nach der Domäne fragt, die er (was logisch ist) nicht auflösen kann.

Hier einmal die /etc/dhcp/dhcpd.conf:
# Grundkonfiguration
authoritative;
default-lease-time 86400;
max-lease-time 86400;
log-facility local7; 
ddns-update-style none;
allow booting; 
allow bootp;



# LAN
option domain-name "firma.intra";  
option domain-name-servers 10.1.140.10, 1.1.1.1;
option routers 10.1.140.1;
option subnet-mask 255.255.255.0;
subnet 10.1.140.0 netmask 255.255.255.0 {
	option broadcast-address 10.1.140.255;
	pool { 
		range 10.1.140.15 10.1.140.50;
		}
}

Meine /etc/samba/smb.conf:
# Global parameters
[global]
	dns forwarder = 1.1.1.1
	netbios name = FIRMA-DC01
	realm = FIRMA.INTRA
	server role = active directory domain controller
	workgroup = FIRMA

[sysvol]
	path = /var/lib/samba/sysvol
	read only = No

[netlogon]
	path = /var/lib/samba/sysvol/firma.intra/scripts
	read only = No

Der ipconfig /all-Auszug vom Client:
 Standardgateway . . . . . . . . . : 10.1.140.1
 DHCP-Server . . . . . . . . . . . : 10.1.140.10
 DHCPv6-IAID . . . . . . . . . . . : 10xxxxxxx
 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-xx-xx-xx-xx-08-00-xx-xx-xx-xx
 DNS-Server  . . . . . . . . . . . : 10.1.140.10
                                     1.1.1.1

Und der Client gibt mir beim Hinzufügen folgenden Fehler:
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne "firma.intra" verwendet wird:  

Fehler: "Der DNS-Name ist nicht vorhanden."  
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.firma.intra.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

1.1.1.1
10.1.140.10

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

firma.intra
intra
. (die Stammzone)

Mit folgender 18.04er Anleitung habe ich den Server aufgesetzt:
https://www.server-world.info/en/note?os=Ubuntu_18.04&p=samba&f= ...

Ich habe das ganze nach der Anleitung mal aus Spaß auf ein Debian gebastelt und dort funktioniert es. Da jedoch der Rest der Infrastruktur auf Ubuntu basiert, möchte ich ganz gerne der Einheitlich- und Einfachheit nur ein OS verwenden. Gibt es bei Ubuntu dort noch eine "Stolperfalle" in die ich gefallen bin?

Viele Grüße


PS: Besteht die Möglichkeit die Dateien von sysvol und netlogon (letzteres wird zwar nicht verwendet) auf eine andere Platte zu schieben, oder sollte der Standardpfad lieber behalten werden? Falls, ja - warum?

Content-ID: 596974

Url: https://administrator.de/forum/ad-join-dns-vertauscht-596974.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

nEmEsIs
Lösung nEmEsIs 16.08.2020 um 22:46:16 Uhr
Goto Top
Hi

Nimm die 1.1.1.1 im DHCP raus.

option domain-name-servers 10.1.140.10;

Deine Clients fragen den DC und der DC forwarded es Richtung 1.1.1.1.
Macht man bei nem Windows DHCP auch nicht am DC vorbei den DNS zu Konfigurieren.
Führt auch dort zu ungewollten Dingen.

Ändere das und du bist glücklich.

Mit freundlichen Grüßen Nemesis
c0d3.r3d
c0d3.r3d 16.08.2020 aktualisiert um 23:08:05 Uhr
Goto Top
Hi,

danke für deine schnelle Antwort. Ich habe die Konfiguration 1:1 vom jetzigen DC übernommen, dort war als sekundärer DNS 1.1.1.1 eingetragen.
Jetzt bekommt der Client nur noch als DNS den gewollten Ubuntu-Server.

Glücklich bin ich leider nicht, jetzt bekomme ich einen Timeout:
Fehler: "Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben."  
(Fehlercode 0x000005B4 ERROR_TIMEOUT)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.firma.intra.

Der von diesem Computer für die Namensauflösung verwendete DNS-Server reagiert nicht. Dieser Computer wurde zur Verwendung der folgenden IP-Adressen konfiguriert:

10.1.140.10

Vergewissern Sie sich, dass dieser Computer über eine Verbindung mit dem Netzwerk verfügt, dass dies die richtigen DNS-Server-IP-Adressen sind und dass mindestens einer der DNS-Server ausgeführt wird.

Über die CMD kann das System anpingen - also am nicht vorhandenen NW liegt es nicht.

Edit: Soetwas wie Google kann ich z.B nicht anpingen, die 8.8.8.8 jedoch schon. Irgendwie funktioniert anscheinend die Namensauflösung nicht ganz.
cykes
cykes 17.08.2020 um 07:04:47 Uhr
Goto Top
Moin,

Zitat von @c0d3.r3d:
Ich habe die Konfiguration 1:1 vom jetzigen DC übernommen, dort war als sekundärer DNS 1.1.1.1 eingetragen.
Alleine dies ist eigentlich schon fatal. und dürfte vor Deiner Umstellung schon zu (eventuell nicht direkt bemerkten) Problemen geführt haben. Am DC kommt in der DNS-Server-Konfiguration einen Weiterleitung auf den DNS des ISPs oder Google oder ... - in die Adapterconfig kommt kein externer DNS.

[...]
Über die CMD kann das System anpingen - also am nicht vorhandenen NW liegt es nicht.
Kannst ja mal spaßeshalber über den DNS-Namen pingen, das wird wohl nicht funktionieren (anstatt über die IP).

Edit: Soetwas wie Google kann ich z.B nicht anpingen, die 8.8.8.8 jedoch schon. Irgendwie funktioniert anscheinend die Namensauflösung nicht ganz.
Genau, DNS-Server auf der Ubuntu-Kiste sauber konfigurieren. Dort hakt es noch und deswegen springt er zum 2. DNS, der interne Anfragen aber auch nicht auflösen kann.

Gruß

cykes
90948
90948 17.08.2020 um 07:42:00 Uhr
Goto Top
Guten Morgen,

klingt ein bisschen, als ob DNS schon immer falsch konfiguriert war. Mir kommt es gerade so vor, das man einmal den DNS Server für die Domain und die 1.1.1.1 für dein Internet Traffic verwendet hat.

Kann ja schon nicht sein, das ein DNS-Server eingetragen wird der das lokale Netz nicht auflösen kann. Also wenn ein 2. DNS Server verwendet werden soll, muss dieser einen Eintrag für die lokale Domäne enthalten, so das er diese entweder selbst (Replikationspartner) oder zumindest einen bedingten Weiterleitungseintrag hat.

Zudem muss am dann auf jedenfall ein Weiterleitungseintrag auf einen externen DNS Server eingetragen werden.

Gruß
c0d3.r3d
c0d3.r3d 17.08.2020 um 11:08:50 Uhr
Goto Top
Hallo zusammen,

ich habe den Fehler gefunden. Es war ein Tippfehler von mir in der hosts-Datei. In dieser habe ich statt 10.1.140.10 fälschlicherweise 10.1.1.40.10 eingetragen - da war der Finger am Punkt Mal wieder zu eifrig.

Der DNS funktioniert nun tadellos. Domänen Zutritt und Surfen klappt erfolgreich.

---
In der alten Domäne ist so vieles schief gebogen, weswegen ich mir auch nicht die Mühe machen das ganze zu migrieren sondern von Grund auf neu aufzusetzen.

Auf dem DC schlummert z.B. ein uralter Firefox, eine alte StarOffice Version und eine Netzwerkdokumentation aus dem letzten Jahrzehnt, als noch Cat 3/4 Kabel verwendet worden sind.

Im nächsten Schritt muss ich noch die Subnetzmaske von der /24 auf die /16 brechen, ansonsten bekomme ich ein kleines Problemchen mit der Anzahl der IP Adressen. Auch sollte der DHCP Bereich noch etwas vergrößert werden. Und ganz wichtig, ein zweiter DC.

Grüße
Pjordorf
Pjordorf 17.08.2020 aktualisiert um 17:10:15 Uhr
Goto Top
Hallo,

Zitat von @c0d3.r3d:
ich habe den Fehler gefunden. Es war ein Tippfehler von mir in der hosts-Datei.
In welcher HOSTS Datei. Die ist auf jedes System, egal ob Windows, Linux, Desktop, Server usw. Und warum bastelst du noch mit HOSTS Dateien rum. Macht man schon seit 30 Jahren nicht mehr, eigentlich noch nie...

Auf dem DC schlummert z.B. ein uralter Firefox, eine alte StarOffice Version und eine Netzwerkdokumentation aus dem letzten Jahrzehnt, als noch Cat 3/4 Kabel verwendet worden sind.
CAT 3/4 wurde in DE extrem selten genutzt, Schon vor 30 Jahren war es CAT 5. Letztes Jahrzehnt ist doch erst 10 Jahre her. 2010, und da war CAT 3/4 schon schwer zu bekommen.

Im nächsten Schritt muss ich noch die Subnetzmaske von der /24 auf die /16 brechen,
Warum keine VLANs?

Gruß,
Peter
c0d3.r3d
c0d3.r3d 17.08.2020 um 17:13:31 Uhr
Goto Top
Hallo,

Geändert habe ich dies in der hosts-Datei vom Ubuntu. Wenn ich am PC bin werde ich das ganze nochmal editieren.

Ich kann leider nur der Dokumentation entnehmen, dass Cat3/4 verbaut war und auf Cat7 umgerüstet wurde. Leider aber nur zwischen den Etagen. Die Räume sind immernoch über einen kleinen Serverraum der in jeder Etage hängt über 1 (!) Kabel an einem Gigabit Switch angeschlossen, welcher in den Keller geht und dort auf den Switch, an dem der Server hängt. Von dem Etagenverteiler geht's schön in einer Reihenschaltung von der linken Büroseite bis ans Ende der Etage und dann nochmal Retoure auf der rechten Seite und endet dort im Büro. Also immer nur von Raum zu Raum erweitert worden.

Leider ziemlich Fehler- und Performance Anfällig, da es sich hierbei nur um 100 Mbit/s billig Desktop-Switche handelt. VLAN's sind damit definitiv nicht möglich. Generell ist aber geplant in naher Zukunft (oder auch weit entfernter) das ganze Netzwerk über einen Switch in jeder Etage direkt auf neue Netzwerkdosen zu patchen und somit die lästige und langsame Switch-Reihenschaltung zu eliminieren.


Wahrscheinlich wäre hier ein VLAN für jeden Raum sinnvoll. Von 3 bis 15 Netzwerkgeräten ist die Rede in jedem Raum. Für das WLAN wäre eine Trennung sicherlich auch sinnvoll, bisher gibt es aber noch kein WLAN, was bei Notebooks als Workstations nicht wirklich optimal ist. Ein Mitarbeiter WLAN ist zum aktuellen Stand nicht gewünscht, aber sicherlich ebenfalls über ein VLAN lösbar. Firmen und Mitarbeiter WLAN will ich dann aber aus Sicherheitsgründen wenn es Mal irgendwann gewünscht ist getrennt haben.

Grüße