6
Bedingte Weiterleitung funktioniert nur in eine Richtung korrekt
Hallo Administratoren,
wir haben aktuell das Problem das wir 2 Standorte mit unterschiedlichen Domänen (sind bereits vorhanden) haben und diese untereinander via Site-to-Site VPN getunnelt sind, die Bedingte Weiterleitung nur in eine Richtung haben.
Situation:
Firma DE -> FIRMA1.LOCAL -> 10.190.200.1 -> DC1 ist 2008 R2, DC2 und DC3 sind 2016er
Firma CZ -> FIRMA2.LOCAL -> 192.168.11.2 -> DC1 ist 2012er
Eingerichtet ist eine bedingte Weiterleitung auf dem DC von Firma1 und auf dem DC von Firma2.
Die bedingte Weiterleitung funktioniert einwandfrei von Firma2 auf beliebiges Gerät/Hostname zu Firma1 -> Ping an WS123 wird automatisch zu WS123.FIRMA1.LOCAL und funktioniert.
Wenn ich jetzt aber in von FIRMA1 ein Client in FIRMA2 pinge -> Ping an WS456 geht der Ping nicht durch. Wenn ich WS456 via IP oder FQDN (WS456.FIRMA1.LOCAL) pinge, geht das auch.
Beide Weiterleitungen sind identisch eingerichtet worden und ich sehe auch jetzt keinen unterschied.
Firma 2 hat nur einen DC/DNS Server und Firma 1 hat 3 DC/DNS Server. VPN-Tunnel lässt alles durch, dort wird nichts gefiltert.
Hat jemand von euch eine Idee? Wie kann ich am besten die DNS-Auflösung testen, also woran es im Endeffekt scheitert?
Vielen Dank im Voraus!
Gruß Towerplease
wir haben aktuell das Problem das wir 2 Standorte mit unterschiedlichen Domänen (sind bereits vorhanden) haben und diese untereinander via Site-to-Site VPN getunnelt sind, die Bedingte Weiterleitung nur in eine Richtung haben.
Situation:
Firma DE -> FIRMA1.LOCAL -> 10.190.200.1 -> DC1 ist 2008 R2, DC2 und DC3 sind 2016er
Firma CZ -> FIRMA2.LOCAL -> 192.168.11.2 -> DC1 ist 2012er
Eingerichtet ist eine bedingte Weiterleitung auf dem DC von Firma1 und auf dem DC von Firma2.
Die bedingte Weiterleitung funktioniert einwandfrei von Firma2 auf beliebiges Gerät/Hostname zu Firma1 -> Ping an WS123 wird automatisch zu WS123.FIRMA1.LOCAL und funktioniert.
Wenn ich jetzt aber in von FIRMA1 ein Client in FIRMA2 pinge -> Ping an WS456 geht der Ping nicht durch. Wenn ich WS456 via IP oder FQDN (WS456.FIRMA1.LOCAL) pinge, geht das auch.
Beide Weiterleitungen sind identisch eingerichtet worden und ich sehe auch jetzt keinen unterschied.
Firma 2 hat nur einen DC/DNS Server und Firma 1 hat 3 DC/DNS Server. VPN-Tunnel lässt alles durch, dort wird nichts gefiltert.
Hat jemand von euch eine Idee? Wie kann ich am besten die DNS-Auflösung testen, also woran es im Endeffekt scheitert?
Vielen Dank im Voraus!
Gruß Towerplease
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390305
Url: https://administrator.de/contentid/390305
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
das hat was damit zu tun, dass der DNS-Client aus der anderen Domäne den kurzen Namen "WS456" nicht auflösen kann. Du musst dann am DNS-Client konfigurieren - entweder manuell lokal oder per GPO zentral - dass er für die Auflösung von kurzen namen die lokale Domäne sowie die andere Domäne versuchen soll.
E.
das hat was damit zu tun, dass der DNS-Client aus der anderen Domäne den kurzen Namen "WS456" nicht auflösen kann. Du musst dann am DNS-Client konfigurieren - entweder manuell lokal oder per GPO zentral - dass er für die Auflösung von kurzen namen die lokale Domäne sowie die andere Domäne versuchen soll.
E.
1
Hey,
danke für die schnelle Antwort.
Weißt du wo ich das einstellen kann? Mir ist da gerade nichts bekannt.
Zusätzlich frage ich mich wie die Konfiguration in FIRMA2 funktioniert, dort wurde nichts konfiguriert außer dem Standard.
Gruß Towerplease
danke für die schnelle Antwort.
Weißt du wo ich das einstellen kann? Mir ist da gerade nichts bekannt.
Zusätzlich frage ich mich wie die Konfiguration in FIRMA2 funktioniert, dort wurde nichts konfiguriert außer dem Standard.
Gruß Towerplease
Manuell
in der TCP/IP-Konfiguration der Netzkarte.
Per GPO
Computerkonfiguration - Richtlinien - Administrative Vorlagen - Netzwerk - DNS-Client - DNS-Suffixe
in der TCP/IP-Konfiguration der Netzkarte.
Per GPO
Computerkonfiguration - Richtlinien - Administrative Vorlagen - Netzwerk - DNS-Client - DNS-Suffixe
1
Danke dir für die super Hilfe.
Habe gerade auf 3 meiner Test-VMs eine Richtlinie angewendet und siehe da, es funktioniert einwandfrei. Warum das bei FIRMA2 direkt funktioniert kann ich mir zwar nicht erklären, da die 3 Richtlinien haben und 2 davon sind Desktopsymbole... Naja was solls, Danke dir auf jeden fall.
Hier noch einmal die Richtlinie (Screenshot):
Ich bin mir nicht sicher ob alle Einstellungen nötig sind, aber diese haben für mich Sinn gemacht und so funktioniert es
Gruß
![2018-10-22 15_38_15-remote desktop manager free [srvdc1]](/images/c/2018/10/22/3c27976272fd4e9305bf62f6c236ffdd.jpg "2018-10-22 15_38_15-remote desktop manager free [srvdc1] - 3c27976272fd4e9305bf62f6c236ffdd - Klicke auf das Bild, um es zu vergrößern")
Habe gerade auf 3 meiner Test-VMs eine Richtlinie angewendet und siehe da, es funktioniert einwandfrei. Warum das bei FIRMA2 direkt funktioniert kann ich mir zwar nicht erklären, da die 3 Richtlinien haben und 2 davon sind Desktopsymbole... Naja was solls, Danke dir auf jeden fall.
Hier noch einmal die Richtlinie (Screenshot):
Ich bin mir nicht sicher ob alle Einstellungen nötig sind, aber diese haben für mich Sinn gemacht und so funktioniert es
Gruß
Das mit dem Registrieren (2. aktivierte Einstellung im Screenshot) würde ich mir überlegen. Wenns dumm läuft, registrieren sich die Clients in beiden DNS-Zonen, was Du aber u.U. gar nicht haben willst.
1
Ich habe gerade auf beiden DNS-Servern nachgeschaut, dort haben sich nun über Nacht keine Clients der jeweils anderen Firma registriert. Ich behalte das aber im Auge. Danke noch einmal!
Gruß
Gruß
