ffsephiroth
Goto Top

DNS bzw Netzwerkproblem

Guten Morgen.

Folgender Aufbau: Fritzbox - Server 2012 R2 - Switch - mehrere Clients

Der Server hat Internetzugriff, die Clients komischerweise nur über WLAN, aber nicht über LAN (nur über IPv6 und auch nur https).

Was hab ich bereits gemacht:

DNS-Serverrolle neu installiert und konfiguriert.
DHCP-Serverrolle neu installiert und konfiguriert.

Hat beides nix gebracht.
nslookup funktioniert, ping nicht (auch bei deaktivierter Windows Firewall).


Edit: tracert meldet Zeitüberschreitung


An den Clients Netzwerk zurückgesetzt, DNS geflusht, bringt auch nix.

Hat jemand einen Denkanstoß, wo ich noch ansetzen könnte?

Danke

Content-ID: 588194

Url: https://administrator.de/forum/dns-bzw-netzwerkproblem-588194.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Looser27
Looser27 16.07.2020 um 10:53:44 Uhr
Goto Top
Moin,

was funktioniert denn nicht?

Gruß

Looser
FFSephiroth
FFSephiroth 16.07.2020 aktualisiert um 11:00:31 Uhr
Goto Top
Die Clients kommen nicht über LAN aber per WLAN ins Internet, nur der Server kommt per LAN ins Internet.
Dr.Bit
Dr.Bit 16.07.2020 um 11:11:39 Uhr
Goto Top
Aber die Clients haben schon eine IP V4 Adresse?

🖖
aqui
aqui 16.07.2020 um 11:15:18 Uhr
Goto Top
  • DHCP Server in der FritzBox deaktiviert ?
  • DNS Server Weiterleitung korrekt auf den Provider DNS oder einen Datenschutz freundliche Alternative wie Quad 9 konfiguriert ?
  • was sagt ein ipconfig -all (Winblows) zur DNS IP im Client ?
FFSephiroth
FFSephiroth 16.07.2020 um 11:15:52 Uhr
Goto Top
C:\Users\mm>dcdiag /test:DNS

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = FRANKBT-SRV
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\FRANKBT-SRV
      Starting test: Connectivity
         ......................... FRANKBT-SRV hat den Test Connectivity
         bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\FRANKBT-SRV

      Starting test: DNS

         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
         Minuten...
         ......................... Der Test DNS für FRANKBT-SRV ist
         fehlgeschlagen.

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: frankbt

   Unternehmenstests werden ausgeführt auf: frankbt.local
      Starting test: DNS
         Testergebnisse für Domänencontroller:

            Domänencontroller: FRANKBT-SRV.frankbt.local
            Domäne: frankbt.local


               TEST: Basic (Basc)
                  Warning: no DNS RPC connectivity (error or non Microsoft DN
erver is running)

               FRANKBT-SRV                  PASS WARN n/a  n/a  n/a  n/a  n/a
         ......................... frankbt.local hat den Test DNS bestanden.
FFSephiroth
FFSephiroth 16.07.2020 um 11:17:26 Uhr
Goto Top
C:\Users\mm>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : FRANKBT-SRV
   Primäres DNS-Suffix . . . . . . . : frankbt.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : frankbt.local

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection
#2
   Physische Adresse . . . . . . . . : 38-D5-47-75-4F-EE
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::15a2:2d6e:7745:13e7%13(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.200.250(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.200.254
   DHCPv6-IAID . . . . . . . . . . . : 372823367
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-BF-56-A9-38-D5-47-75-4F-ED

   DNS-Server  . . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{3CFE4F2A-49DB-47AF-A809-EB46CB051E63}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
FFSephiroth
FFSephiroth 16.07.2020 um 11:19:38 Uhr
Goto Top
@Dr.Bit ja, eine IPv4 Adresse haben sie vom DHCP bekommen
FFSephiroth
FFSephiroth 16.07.2020 aktualisiert um 11:22:19 Uhr
Goto Top
@aqui DHCP auf Fritte deaktiviert und DNS auf Fritte ist vom Provider
Auf den Clients ist der DHCP und DNS der Server, also 192.168.200.250. So wie es sein soll.
emeriks
emeriks 16.07.2020 aktualisiert um 11:24:51 Uhr
Goto Top
Hi,
ich vermute mal, die Fritte ist nicht am Switch und der Server hat 2 NICs und soll auch Router spielen?

Falls ja:
Entweder Server als Router einrichten und Routing konfigurieren
oder Server als WebProxy einrichten und Clients damit konfigurieren.

E.

DNS nicht vergessen
FFSephiroth
FFSephiroth 16.07.2020 um 11:26:13 Uhr
Goto Top
@emeriks: Die Fritte ist am Switch und soll auch Router spielen. Der Server hat 2 NICs aber nur eine davon aktiviert.
Dr.Bit
Dr.Bit 16.07.2020 um 11:27:28 Uhr
Goto Top
Zitat von @aqui:

  • DHCP Server in der FritzBox deaktiviert ?
  • DNS Server Weiterleitung korrekt auf den Provider DNS oder einen Datenschutz freundliche Alternative wie Quad 9 konfiguriert ?
  • was sagt ein ipconfig -all (Winblows) zur DNS IP im Client ?


Und DHCP Server in Windows authorisiert?

Wie viele Netzwerkkarten hat der Server? Vielleicht falsche Netzwerkkarte gesteckt bzw. DHCP Server an falsche Netzwerkarte gebunden?

Server wird getestet: Default-First-Site-Name\FRANKBT-SRV

Starting test: DNS

DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
Minuten...
......................... Der Test DNS für FRANKBT-SRV ist
fehlgeschlagen.


Irgendiwe wird Dein DNS wohl nicht erreicht. Die Zonen korrekt eingerichtet?

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 11:28:56 Uhr
Goto Top
@Dr.Bit: Ich hab die DNS Rolle auch schon mal deinstalliert und neu installiert...gleiches Problem.
Dr.Bit
Dr.Bit 16.07.2020 um 11:36:48 Uhr
Goto Top
Zitat von @FFSephiroth:

@Dr.Bit: Ich hab die DNS Rolle auch schon mal deinstalliert und neu installiert...gleiches Problem.

Ja, aber hast Du auch die Zonen korrekt eingerichtet? Kommt das dcdiag vom Server? Dann findet er sich ja nicht einmal selbst.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 11:39:49 Uhr
Goto Top
Beide Zonen sind richtig eingerichtet (Forward und Reverse)
Dr.Bit
Dr.Bit 16.07.2020 aktualisiert um 11:47:02 Uhr
Goto Top
Trag doch mal in den "Eigenschaften von Internetprotokoll Version 4" als Bevorzugten DNS 192.168.200.250 ein und nimm 127.0.0.1 raus.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 11:51:28 Uhr
Goto Top
Keine Besserung
Dr.Bit
Dr.Bit 16.07.2020 um 11:53:48 Uhr
Goto Top
Den DNS Server auch danach neu gestartet? Es liegt definitiv am DNS irgendwas ist da krumm.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 11:58:37 Uhr
Goto Top
Mehrmals neu gestartet, funktioniert einfach nicht über LAN.
Dr.Bit
Dr.Bit 16.07.2020 um 12:00:20 Uhr
Goto Top
Mach doch bitte mal ein ipconfig /all am Server und eins auf einem Client der nicht funktioniert und poste das dann.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 12:20:07 Uhr
Goto Top
Client
C:\Users\Walter>ipconfig -all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : IMFR08
   Primäres DNS-Suffix . . . . . . . : frankbt.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : frankbt.local

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: frankbt.local
   Beschreibung. . . . . . . . . . . : Realtek Gaming GbE Family Controller
   Physische Adresse . . . . . . . . : B4-2E-99-B8-A7-C8
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.200.135(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 16. Juli 2020 12:11:43
   Lease läuft ab. . . . . . . . . . : Freitag, 17. Juli 2020 12:14:55
   Standardgateway . . . . . . . . . : 192.168.200.254
   DHCP-Server . . . . . . . . . . . : 192.168.200.250
   DNS-Server  . . . . . . . . . . . : 192.168.200.250
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
FFSephiroth
FFSephiroth 16.07.2020 um 12:24:26 Uhr
Goto Top
Server

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\mm>ipconfig -all

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : FRANKBT-SRV
Primäres DNS-Suffix . . . . . . . : frankbt.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : frankbt.local

Ethernet-Adapter Ethernet:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection
Physische Adresse . . . . . . . . : 38-D5-47-75-4F-ED
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.200.250(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.200.254
DNS-Server . . . . . . . . . . . : 127.0.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{FCDFE7BA-DE9E-496F-90A0-880B639F3A85}:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
FFSephiroth
FFSephiroth 16.07.2020 um 12:26:27 Uhr
Goto Top
Neues Phänomen: Hab jetz meinen Laptop einfach mal an den Switch gesteckt und da geht Internet über LAN. Nur an den Bestandsgeräten nicht.
Dr.Bit
Dr.Bit 16.07.2020 um 12:35:46 Uhr
Goto Top
Zitat von @FFSephiroth:

Server


Also, was mir schon einmal aufgefallen ist, ist daß der Server wieder die 127.0.0.1 als Primary DNS eingetragen hat. Das kann funktionieren, nach meiner Erfahrung kann es aber auch schief gehen. Die lokale IP des DNS Servers eintragen funktioniert aber immer. Sprich, in Deinem Fall 192.168.200.250.


Neues Phänomen: Hab jetz meinen Laptop einfach mal an den Switch gesteckt und da geht Internet über LAN. Nur an den Bestandsgeräten nicht.

Hast Du denn das WLAN vom Laptop abgeschaltet? Nicht nur trennen, sondern die Karte abschalten.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 12:40:49 Uhr
Goto Top
WLAN ist abgeschaltet
Dr.Bit
Dr.Bit 16.07.2020 um 13:07:44 Uhr
Goto Top
Also, mal zusammenfassen:
1. Bis auf das Laptop kommt kein Rechner ins Internet über LAN.
2. Über WLAN kommen alle ins Internet und die WLAN Clients bekommen ihre Netzwerkeinstellungen vom Server und nicht von der Fritzbox.
3. Der Server hat als DNS seine eigen IP eingetragen und auf dem DNS Server ist die Konfiguration richtig und als Forwarder ist ein DNS im Internet und nicht die Fritzbox eingetragen.
4. Der Server selber kommt ins Internet, obwohl er die gleichen Netzwerkeinstellungen hat wie die Clients.
5. Alle Clients (auch die Laptops) sind in der gleichen Domäne und bekommen über die GPO die gleichen Vorgaben.
6. Der DHCP Server funktioniert und verteilt die IP´s korrekt mit den gewünschten Einstellungen für DNS und Gateway.
7. Keine Firewall funkt irgendwo dazwischen

Hab ich was vergessen?

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 13:24:00 Uhr
Goto Top
Nichts vergessen, inzwischen gehen die WLAN Clients auch nicht mehr
FFSephiroth
FFSephiroth 16.07.2020 um 13:27:12 Uhr
Goto Top
Ergänzung: LAN geht nur mit alternativem DNS
Dr.Bit
Dr.Bit 16.07.2020 um 13:29:58 Uhr
Goto Top
Zitat von @FFSephiroth:

Ergänzung: LAN geht nur mit alternativem DNS

Was soll das heißen? Welcher DNS und wo trägst Du den ein?

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 13:36:35 Uhr
Goto Top
1.1.1.1 als Weiterleitung im DNS
Dr.Bit
Dr.Bit 16.07.2020 um 13:40:41 Uhr
Goto Top
Zitat von @FFSephiroth:

1.1.1.1 als Weiterleitung im DNS
Mit "Weiterleitung" meinst Du den Forwarder im DNS Server? Dann geht es doch. So soll es dann ja auch sein. Und die Lpatops müßten dann über WLAN auch wieder reinkommen.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 13:43:09 Uhr
Goto Top
Update:
Von 7 Clients kommen 4 per LAN jetzt ins Internet, einer nur mit WLAN und bei 2 geht gar nix
Dr.Bit
Dr.Bit 16.07.2020 um 13:48:39 Uhr
Goto Top
Die Rechner neu starten und 15 min warten, bis die sich berappelt haben. Sind schon einmal 4 mehr als vorher. Trotzdem hast Du nicht auf mine Frage geantwortet. Was soll Weiterleitung bedeuten und wo hast Du die eingetragen?
Du bist ja nun nicht erst seit gestern hier und solltest wissen, wie es läuft.

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 13:50:51 Uhr
Goto Top
In den DNS Eigenschaften unter Weiterleitungen hab ich die 1.1.1.1 eingetragen. Bei den 2 wo kein LAN geht, wäre der Standardgateway angeblich nicht erreichbar.
NixVerstehen
NixVerstehen 16.07.2020 aktualisiert um 13:54:52 Uhr
Goto Top
Zitat von @FFSephiroth:

1.1.1.1 als Weiterleitung im DNS

Trag doch da bitte die Adresse des DNS-Servers deines Providers ein.
@aqui hat es ja oben auch schon beschrieben.
Dr.Bit
Dr.Bit 16.07.2020 um 14:09:37 Uhr
Goto Top
Wie alt ist denn die Fritte oder vielleicht irgendwo ein Kabelbruch. Kannst du die Fritte von den Beiden die nicht gehen anpingen? Wenn nicht schon einmal einen anderen Port auf dem Switch ausprobiert?

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 17:21:14 Uhr
Goto Top
Fritte ist neu, genauso wie der Switch. Fritte ist von den beiden nicht anpingbar. Portwechsel am Switch bringt keine Besserung.
Dr.Bit
Dr.Bit 16.07.2020 aktualisiert um 17:42:27 Uhr
Goto Top
Aha, und ist der Server anpingbar? Und die Beiden beziehen auch wirklich eine IP vom Server?

🖖
FFSephiroth
FFSephiroth 16.07.2020 um 18:23:13 Uhr
Goto Top
Server ist anpingbar und bekommen per DHCP eine IP.
Dr.Bit
Dr.Bit 16.07.2020 um 19:08:17 Uhr
Goto Top
So langsam wird das eine Meisterprüfung! face-smile ist der DHCP auf der Fritte auch wirklich deaktiviert? Wenn Du ein ipconfig auf allen Clients machst, müßte, bis auf die IP, bei allen das Gleiche stehen. Auf allen Clients ist die Firewall deaktiviert? Also nur die Firewall deaktivieren, NICHT den Dienst deaktivieren.

So langsam gehen mir die Ideen aus.

🖖
erikro
erikro 17.07.2020 aktualisiert um 00:05:37 Uhr
Goto Top
Moin,

Zitat von @FFSephiroth:
Der Server hat Internetzugriff,

OK, auf dem Server geht alles richtig.

die Clients komischerweise nur über WLAN,

Im WLAN geht's auch richtig. Das WLAN ist im selben IP Netz wie das LAN. Die Einstellungen (DNS, Router etc.) sind die gleichen wie beim LAN.

Damit scheiden DNS-Probleme imho aus. Wenn Server und WLAN-Clients funktionieren und den gleichen DNS wie die LAN-Clients benutzen, dann kann es nicht das DNS sein. Dann würde es beim Server und im WLAN auch nicht gehen. Außerdem meine ich, Du hast irgendwo oben geschrieben, dass nslookup auch auf den nicht funktionierenden Clients funktioniert, also die richtigen Ergebnisse liefert.

aber nicht über LAN (nur über IPv6 und auch nur https).

Diese Aussage ist widersprüchlich. Geht es nicht? Oder geht nur IPv6 mit https? Denn wenn es mit IPv6 und https funktioniert, dann heißt das, dass die Verbindung prinzipiell funktioniert, aber die anderen Protokolle warum auch immer blockiert werden. Damit scheiden imho alle Hardwareprobleme aus, denn Hardware unterscheidet nicht zwischen IPv6 und IPv4. Außerdem habe ich das so verstanden, dass die interne Kommunikation ja reibungslos klappt. Nur der Internetzugriff nicht. Damit können die internen Hardwarekomponenten (NICs, Switches, Kabel usw.) als funktionsfähig angenommen werden.

Also musst Du nach dem Grund suchen, warum Pakete nicht ins Internet gelangen oder die Antworten nicht richtig zurück kommen. Da hilft nur Wireshark. Lass den mal mitlaufen, wenn es nicht geht, wenn es mit IPv6 und https geht und wenn es geht. Das wird allerding eine Menge werden, die man dann da auswerten muss. Ich fürchte fast, dass wir da nicht drum herum kommen, dass Du das in irgend einer Cloud als Dateien zur Verfügung stellst. Die Ergebnisse hier einzustellen, macht wenig Sinn. Oder kannst Du das selbst auswerten?

Liebe Grüße

Erik
Dr.Bit
Dr.Bit 17.07.2020 um 07:26:41 Uhr
Goto Top
Zitat von @erikro:

Damit scheiden DNS-Probleme imho aus. Wenn Server und WLAN-Clients funktionieren und den gleichen DNS wie die LAN-Clients benutzen, dann kann es nicht das DNS sein. Dann würde es beim Server und im WLAN auch nicht gehen. Außerdem meine ich, Du hast irgendwo oben geschrieben, dass nslookup auch auf den nicht funktionierenden Clients funktioniert, also die richtigen Ergebnisse liefert.

Da , nach der Neukonfiguration des DNS Servers, die meisten Clients ins Internet kamen und die Wlan Clients nicht mehr, kann es nur am DNS gelegen haben. Ich vermute, das auf den Clients und WLAN Clients noch irgendetwas krum ist. Vielleicht irgendwelche Einträge in der hosts oder sonstwo, man kann ja leider nicht über die Schulter gucken.

aber nicht über LAN (nur über IPv6 und auch nur https).

Diese Aussage ist widersprüchlich. Geht es nicht? Oder geht nur IPv6 mit https? Denn wenn es mit IPv6 und https funktioniert, dann heißt das, dass die Verbindung prinzipiell funktioniert, aber die anderen Protokolle warum auch immer blockiert werden. Damit scheiden imho alle Hardwareprobleme aus, denn Hardware unterscheidet nicht zwischen IPv6 und IPv4.

Daher meine Frage nach einer Firewall, die irgendwo im Netzwerk hängt oder auf den Clients noch läuft.

Außerdem habe ich das so verstanden, dass die interne Kommunikation ja reibungslos klappt. Nur der Internetzugriff nicht. Damit können die internen Hardwarekomponenten (NICs, Switches, Kabel usw.) als funktionsfähig angenommen werden.

Dem ist ja nicht so. Er kann von zwei Clients aus nur den Server anpingen und nicht die Fritte, was ja eigentlich gar nicht sein kann und kommt demetsprechend mit den Beiden auch nicht ins i-net. Daher lohnt es sich auf jeden Fall die Hardware / Verkabelung mal durchzuprüfen. Man kann gar nicht so dumm denken wie es kommt.

Also musst Du nach dem Grund suchen, warum Pakete nicht ins Internet gelangen oder die Antworten nicht richtig zurück kommen.
Richtig, genau das versuchen wir gerade. Ich habe es allerdings, bisher, am DNS festgemacht und es scheint ja auch schon eine Besserung eingetreten zu sein.

Da hilft nur Wireshark. Lass den mal mitlaufen, wenn es nicht geht, wenn es mit IPv6 und https geht und wenn es geht. Das wird allerding eine Menge werden, die man dann da auswerten muss. Ich fürchte fast, dass wir da nicht drum herum kommen, dass Du das in irgend einer Cloud als Dateien zur Verfügung stellst. Die Ergebnisse hier einzustellen, macht wenig Sinn.

Das sehe ich auch so.


Man gut, in 5 St.d is Urlaub. face-smile

🖖
FFSephiroth
FFSephiroth 17.07.2020 aktualisiert um 12:07:54 Uhr
Goto Top
Leider war ich heut nicht bei diesem Kunden, aber mein Chef. Und siehe da, er hat´s auch nicht hinbekommen. Inzwischen hat sich ein Client wieder vom LAN verabschiedet und kommt nur per WLAN wieder ins Internet.

Alle Clients können intern auf die Shares des Servers zugreifen nur Internet will nicht.

Also nochmal von vorne zur Erklärung:

- 7 Clients sind vorhanden
- 5 davon haben LAN und WLAN eingebaut
- per WLAN kommen die Clients ins Internet und nslookup löst auch den DNS Server richtig auf
- die 2 Clients mit LAN bekommen per DHCP eine IP im richtigen Netz un der DNS ist auch richtig, allerdings kommen diese beiden Clients nur ins Internet, wenn IPv6 aktiviert ist und selbst dann gehen nur bestimmte Seiten auf.
- Ping auf Gateway geht von allen Clients aus nicht
- Physische Firewall nicht vorhanden
- Windows Firewall testhalber ausgeschaltet, keine Besserung
- tracert hat Zeitüberschreitung

Was mir noch aufgefallen ist, jetzt gegenüber meinem DNS zuhause ist, das beim Kunden in der Forward-Lookupzone der Eintrag _msdcs.Domäne.local fehlt.

Selbst wenn ich die DNS Rolle neu installiere, fehlt der Eintrag.
dns home
firma
Dr.Bit
Dr.Bit 17.07.2020 um 12:13:52 Uhr
Goto Top
Nich Dein Ernst, wir haben doch nun wirklich oft genug gefragt, ob der DNS richtig konfiguriert ist. Dann korrigier das mal schnell, dann sollte es auch funktionieren.
Vielleicht solltest Du dir das hier nochmal zu Gemüte führen: http://openbook.rheinwerk-verlag.de/windows_server_2012r2/09_001.html#d ...


🖖
FFSephiroth
FFSephiroth 17.07.2020 aktualisiert um 12:20:35 Uhr
Goto Top
Ich hab den DNS richtig eingerichtet, aber die Einträge werden nicht angelegt...ist ja nicht der erste DNS den ich anlege...selbst wenn ich die Rolle deinstalliere und neu installiere...
Dr.Bit
Dr.Bit 17.07.2020 um 12:22:07 Uhr
Goto Top
Aber wenn ich den DNS kontrolliere gucke ich doch als Erstes, ob alle Einträge vorhanden sind. 😣

🖖
FFSephiroth
FFSephiroth 17.07.2020 um 12:24:25 Uhr
Goto Top
Wer ohne Fehler ist, werfe den ersten Stein...
FFSephiroth
FFSephiroth 17.07.2020 aktualisiert um 12:32:15 Uhr
Goto Top
Soeben hat mir mein Chef gemeldet, das er bei einem anderen Kunden das gleiche Problem hat und da ist die ForestDomainZone aber vorhanden. Den Server hat er selbst aufgesetzt. Hier ist es ein Server 2019 Essentials.
Dr.Bit
Dr.Bit 17.07.2020 um 12:59:51 Uhr
Goto Top
So, einmal noch vorm Urlaub face-smile

Die WLAN Clients gehen über das WLAN der Fritte ins internet, oder hängt da noch ein AP mit drin, an dem sie sich anmelden? Ist auf dem Switch eventuell irgend etwas mit VLAN konfiguriert?

🖖
FFSephiroth
FFSephiroth 17.07.2020 um 14:13:16 Uhr
Goto Top
Nein, mit mehreren Unifi APs, kein VLAN.

Ich glaub ich hab den Fehler gefunden und halte mich mal an diese Anleitung (kann ich allerdings erst Montag nachmittag machen):

https://www.dell.com/support/article/de-de/sln155826/l%C3%B6schen-und-ne ...
Ex0r2k16
Ex0r2k16 17.07.2020 um 15:08:01 Uhr
Goto Top
und falls nicht schon irgendwo erwähnt. Nimm bitte keine .local Domain! Gründe liefert dir google genug face-wink
FFSephiroth
FFSephiroth 17.07.2020 um 15:11:49 Uhr
Goto Top
Server wurde so vom vorherigen Dienstleister übernommen...
BernhardMeierrose
BernhardMeierrose 17.07.2020 um 16:44:26 Uhr
Goto Top
Moin

wenn die Rechner die Fritzbox nicht anpingen können, können wir eventuelle DNS-Themen wohl hinten anstellen.

Bitte mal von einem Rechner, der die Fritzbox NICHT anpingen kann
a) ein ipconfig /all
b) ein arp -a
c) nslookup auf irgendwas z.B. www.administrator.de
Und von der Fritzbox die IP-Konfiguration (theoretisch könnte eine falsche Subnet-Mask an der Fritzbox für derart lustige Probleme sorgen)

Gruß
Bernhard
erikro
erikro 17.07.2020 um 18:48:51 Uhr
Goto Top
Moin,

Zitat von @BernhardMeierrose:
wenn die Rechner die Fritzbox nicht anpingen können, können wir eventuelle DNS-Themen wohl hinten anstellen.

Mein reden. face-wink Das Ganze klingt so gar nicht nach DNS.

Und von der Fritzbox die IP-Konfiguration (theoretisch könnte eine falsche Subnet-Mask an der Fritzbox für derart lustige Probleme sorgen)

Die Idee ist gut. Das könnte auch erklären, warum es mit IPv6 geht.

Liebe Grüße

Erik
FFSephiroth
FFSephiroth 19.07.2020 um 07:55:06 Uhr
Goto Top
Bin am Montag Nachmittag vor Ort und melde mich dann von da. Wer möchte, kann wieder mitlesen...
FFSephiroth
FFSephiroth 20.07.2020 um 15:37:21 Uhr
Goto Top
Hier mal der dcdiagreport:
Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   * Die Verbindung mit dem Verzeichnisdienst auf Server FRANKBT-SRV wird

   hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=frankbt,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=frankbt,DC=local
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=frankbt,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=FRANKBT-SRV,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=frankbt,DC=local 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\FRANKBT-SRV

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... FRANKBT-SRV hat den Test Connectivity

         bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\FRANKBT-SRV

      Test durch Benutzeranforderung ausgelassen: Advertising

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Test durch Benutzeranforderung ausgelassen: FrsEvent

      Test durch Benutzeranforderung ausgelassen: DFSREvent

      Test durch Benutzeranforderung ausgelassen: SysVolCheck

      Test durch Benutzeranforderung ausgelassen: KccEvent

      Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders

      Test durch Benutzeranforderung ausgelassen: MachineAccount

      Test durch Benutzeranforderung ausgelassen: NCSecDesc

      Test durch Benutzeranforderung ausgelassen: NetLogons

      Test durch Benutzeranforderung ausgelassen: ObjectsReplicated

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Test durch Benutzeranforderung ausgelassen: Replications

      Test durch Benutzeranforderung ausgelassen: RidManager

      Test durch Benutzeranforderung ausgelassen: Services

      Test durch Benutzeranforderung ausgelassen: SystemLog

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

   
      Starting test: DNS

         

         DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige

         Minuten...

         See DNS test in enterprise tests section for results
         ......................... FRANKBT-SRV hat den Test DNS bestanden.

   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Schema

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Configuration

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: frankbt

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Unternehmenstests werden ausgefhrt auf: frankbt.local

      Starting test: DNS

         Testergebnisse fr Dom„nencontroller:

            
            Dom„nencontroller: FRANKBT-SRV.frankbt.local

            Dom„ne: frankbt.local

            

                  
               TEST: Authentication (Auth)
                  Authentifizierungstest: Erfolgreich abgeschlossen
                  
               TEST: Basic (Basc)
                  Das OS

                  Microsoft Windows Server 2012 R2 Foundation (Service Pack level: 0.0)

                  wird untersttzt.

                  NETLOGON-Dienst wird ausgefhrt.

                  kdc-Dienst wird ausgefhrt.

                  DNSCACHE-Dienst wird ausgefhrt.

                  DNS-Dienst wird ausgefhrt.

                  Dom„nencontroller ist ein DNS-Server.

                  Informationen zum Netzwerkadapter:

                  Adapter [00000009] Intel(R) I210 Gigabit Network Connection:

                     MAC address is 38:D5:47:75:4F:ED
                     IP-Adresse ist statisch. 
                     IP address: 192.168.200.250
                     DNS-Server:

                        192.168.200.250 (FRANKBT-SRV) [Valid]
                        Warnung:
                        1.1.1.1 (<name unavailable>) [Invalid]
                        Achtung: Adapter

                        [00000009] Intel(R) I210 Gigabit Network Connection

                        besitzt einen ungltigen DNS-Server: 1.1.1.1

                        (<name unavailable>)

                  Warning: The A record for this DC was not found
                  [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.) - frankbt.local]
                  Fr diesen Dom„nencontroller wurden keine Hosteintr„ge (A

                  oder AAAA) gefunden.

                  The SOA record for the Active Directory zone was not found
                  The Active Directory zone on this DC/DNS server was found primary
                  Root zone on this DC/DNS server was not found
         
         Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten

         Dom„nencontrollern verwendeten DNS-Server:

         

            DNS-Server: 1.1.1.1 (<name unavailable>)

               1 Testfehler auf diesem DNS-Server

               Name resolution is not functional. _ldap._tcp.frankbt.local. failed on the DNS server 1.1.1.1
               [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]
               
            DNS-Server: 192.168.200.250 (FRANKBT-SRV)

               Alle Tests auf diesem DNS-Server bestanden

               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
               
         Zusammenfassung der DNS-Testergebnisse:

         
                                            Auth. Bas. Weiterl. Entf.  Dyn.

            RReg. Erw.
            _________________________________________________________________
            Dom„ne: frankbt.local

               FRANKBT-SRV                  PASS FAIL n/a  n/a  n/a  n/a  n/a  
         
         ......................... Der Test DNS fr frankbt.local ist

         fehlgeschlagen.

      Test durch Benutzeranforderung ausgelassen: LocatorCheck

      Test durch Benutzeranforderung ausgelassen: Intersite
FFSephiroth
FFSephiroth 20.07.2020 um 15:52:22 Uhr
Goto Top
Update:

Wenn ich den LAN CLients eine feste IP außerhalb des DHCP-Bereichs gebe, klappt alles. Ping, tracert, web...alles.

Also muss es am DHCP liegen.
Ex0r2k16
Ex0r2k16 24.07.2020 um 11:15:46 Uhr
Goto Top
Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern. Dort dürfen reservierte IPs nie in der DHCP Range liegen, da sonst die Möglichkeit besteht, dass diese doppelt vergeben werden. Vielleicht hilft das?
erikro
erikro 09.08.2020 um 22:17:29 Uhr
Goto Top
Moin,

Zitat von @Ex0r2k16:
Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern. Dort dürfen reservierte IPs nie in der DHCP Range liegen, da sonst die Möglichkeit besteht, dass diese doppelt vergeben werden. Vielleicht hilft das?

Andersherum wird ein Schuh daraus. Wenn die Adresse außerhalb des DHCP-Bereichs liegt, dann besteht bei vergessener Dokumentation, dass die Adresse vergeben ist, die Gefahr, dass ein anderer Admin die Adresse noch einmal händisch vergibt. Liegt die Adresse aber innerhalb dieses Bereichs, dann besteht die Gefahr nicht. Ein Admin, der händisch Adressen vergeben darf, sollte wissen, dass die innerhalb des DHCP-Bereichs tabu sind. face-wink Deshalb ist das bei Windows-DHCP auch so.

Ist das Problem eingentlich gelöst? Was war denn die Lösung? Ich war im Urlaub. face-wink

Liebe Grüße

Erik
Dr.Bit
Dr.Bit 10.08.2020 um 08:35:31 Uhr
Goto Top
Zitat von @FFSephiroth:

Update:

Wenn ich den LAN CLients eine feste IP außerhalb des DHCP-Bereichs gebe, klappt alles. Ping, tracert, web...alles.

Also muss es am DHCP liegen.
Moinsens,

bin nun auch aus dem Urlaub zurück.
Da hast Du doch den Fehler. Irgendetwas an Deinem DHCP ist/war ja wohl nicht korrekt eingestellt.

Wie erikro schon fragte, ist es denn inzwischen erledigt? Wenn ja, was war denn tatsächlich das Problem?

🖖
Ex0r2k16
Ex0r2k16 10.08.2020 um 15:47:14 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @Ex0r2k16:
Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern. Dort dürfen reservierte IPs nie in der DHCP Range liegen, da sonst die Möglichkeit besteht, dass diese doppelt vergeben werden. Vielleicht hilft das?

Andersherum wird ein Schuh daraus. Wenn die Adresse außerhalb des DHCP-Bereichs liegt, dann besteht bei vergessener Dokumentation, dass die Adresse vergeben ist, die Gefahr, dass ein anderer Admin die Adresse noch einmal händisch vergibt. Liegt die Adresse aber innerhalb dieses Bereichs, dann besteht die Gefahr nicht. Ein Admin, der händisch Adressen vergeben darf, sollte wissen, dass die innerhalb des DHCP-Bereichs tabu sind. face-wink Deshalb ist das bei Windows-DHCP auch so.

Nö stimmt so nicht. Best Practise ist die IP ausserhalb der Range zu reservieren:

Siehe hier: https://community.sophos.com/products/xg-firewall/f/network-and-routing/ ...

Und ich glaube Sophos verwendet da auch nur irgend nen Standard Linux DHCP Server. Reserviert man in der Range, kommt es zu doppelten IPs. Zumindest bei ner älteren UTM Version ging das noch. Vielleicht ham sies aber langsam mal gepatched.
Dr.Bit
Dr.Bit 10.08.2020, aktualisiert am 11.08.2020 um 09:07:17 Uhr
Goto Top
Zitat von @Ex0r2k16:

Reserviert man in der Range, kommt es zu doppelten IPs.

Watt? Wenn ich in der Range reserviere, dann in der Regel um bestimmten MAC Adressen eine bestimmte IP zuzuordnen, ohne diese direkt am Gerät einstellen zu müssen. Oder um bestimmte IP Adressen (z.B. für Server und Drucker usw.) von der Verteilung auszuschließen (is dämlich, kann man aber so machen). Wenn ich diese Range von der Verteilung ausschließe, kann ich gar keine doppelten IP´s vergeben, wenn ich das ordentlich dokumentiert habe.
Grundsätzlich, bei einem Windows DHCP, bestimme ich die Range die ich haben will und schließe dann IP´s von der Verteilung für eine betimmte Range von IP Adressen aus, die für feste IP´s oder über MAC Adressen zuteilbare vorgesehen sind.
Ich lege immer von 1 bis 254 fest und schließe dann aus. Ist am einfachsten und ich bin flexibel.

🖖
erikro
erikro 11.08.2020 um 08:19:07 Uhr
Goto Top
Moin,

Zitat von @Ex0r2k16:

Zitat von @erikro:

Moin,

Zitat von @Ex0r2k16:
Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern. Dort dürfen reservierte IPs nie in der DHCP Range liegen, da sonst die Möglichkeit besteht, dass diese doppelt vergeben werden. Vielleicht hilft das?

Andersherum wird ein Schuh daraus. Wenn die Adresse außerhalb des DHCP-Bereichs liegt, dann besteht bei vergessener Dokumentation, dass die Adresse vergeben ist, die Gefahr, dass ein anderer Admin die Adresse noch einmal händisch vergibt. Liegt die Adresse aber innerhalb dieses Bereichs, dann besteht die Gefahr nicht. Ein Admin, der händisch Adressen vergeben darf, sollte wissen, dass die innerhalb des DHCP-Bereichs tabu sind. face-wink Deshalb ist das bei Windows-DHCP auch so.

Nö stimmt so nicht. Best Practise ist die IP ausserhalb der Range zu reservieren:

Nur weil das Sophos so macht, ist das noch lange nicht Best Practice. Wir sprechen hier über einen Windows-DHCP-Server. Bei dem geht das nicht anders. Du musst die Reservierungen aus der Range nehmen. Sonst gibt es eine Fehlermeldung.
Liebe Grüße

Erik
FFSephiroth
FFSephiroth 11.08.2020 um 08:28:20 Uhr
Goto Top
Guten Morgen zusammen,

was ich bis jetzt rausfinden konnte ist, dass der DHCP anscheinend keine IPs mehr vergibt. Er verhält sich so, als ob alle IPs vergeben wären.

Ich werde bei Gelegenheit mal das testen und berichte dann weiter:

Unsichtbare DHCP Leases finden und löschen
Dr.Bit
Dr.Bit 11.08.2020 aktualisiert um 09:10:12 Uhr
Goto Top
Zitat von @FFSephiroth:

was ich bis jetzt rausfinden konnte ist, dass der DHCP anscheinend keine IPs mehr vergibt. Er verhält sich so, als ob alle IPs vergeben wären.

Falls Du es noch nicht wußtest: ein Windows DHCP Server schaltet sich automatisch ab, oder besser gesagt verteilt keine IP´s mehr, wenn er einen anderen DHCP Server im Netzwerk findet. Sicher, daß der Windows Server der Einzige im LAN ist?

🖖
FFSephiroth
FFSephiroth 11.08.2020 um 10:22:16 Uhr
Goto Top
Ja ist er, der DHCP in der Fritte ist deaktiviert.
Dr.Bit
Dr.Bit 11.08.2020 um 10:34:21 Uhr
Goto Top
Kannst Du kurzzeitig den DHCP von der Fritte einschalten und den Windows DHCP deaktivieren und dann testen ob die Clients funltionieren? Zum rantasten an den Fehler.

🖖
FFSephiroth
FFSephiroth 11.08.2020 um 11:39:06 Uhr
Goto Top
Dazu komm ich erst nächste Woche, aber ich werde berichten.
Ex0r2k16
Ex0r2k16 12.08.2020 aktualisiert um 08:40:45 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @Ex0r2k16:

Zitat von @erikro:

Moin,

Zitat von @Ex0r2k16:
Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern. Dort dürfen reservierte IPs nie in der DHCP Range liegen, da sonst die Möglichkeit besteht, dass diese doppelt vergeben werden. Vielleicht hilft das?

Andersherum wird ein Schuh daraus. Wenn die Adresse außerhalb des DHCP-Bereichs liegt, dann besteht bei vergessener Dokumentation, dass die Adresse vergeben ist, die Gefahr, dass ein anderer Admin die Adresse noch einmal händisch vergibt. Liegt die Adresse aber innerhalb dieses Bereichs, dann besteht die Gefahr nicht. Ein Admin, der händisch Adressen vergeben darf, sollte wissen, dass die innerhalb des DHCP-Bereichs tabu sind. face-wink Deshalb ist das bei Windows-DHCP auch so.

Nö stimmt so nicht. Best Practise ist die IP ausserhalb der Range zu reservieren:

Nur weil das Sophos so macht, ist das noch lange nicht Best Practice. Wir sprechen hier über einen Windows-DHCP-Server. Bei dem geht das nicht anders. Du musst die Reservierungen aus der Range nehmen. Sonst gibt es eine Fehlermeldung.
Liebe Grüße

Erik

deswegen schrieb ich doch auch:

Ich kenn ein solches Verhalten nur von linux basierten DHCP Servern

:D