daniel-ratlos
Goto Top

DNS Fehler im Netzwerk

Hallo an Alle Fachleute hier.

Ich hätte da mal wieder ein Problem, an dem ich bzw. wir nun schon ziemlich lange arbeiten, bis dato ohne Lösung!

Hier ein Paar Details:

DSL 16000 Business Anschluss (feste ip)
Netgear Router/Firewall 192.168.99.1
ISA 2004 Server (auf Windows 2003) 3 LAN (192.168.99.11 zum Router; 192.168.100.8 LAN 1; 192.168.102.8 LAN 2) Gateway
Exchange 2003 2 LAN (192.168.100.7 LAN 1; 192.168.102.7 LAN 2)
Windows 2003 Server (Fileserver) 2 LAN (192.168.100.6 LAN 1; 192.168.102.6 LAN 2)

AD Controller und DNS Server ist der Exchange 2003 (Windows 2003)
zweiter DNS (Backupdomänencontroller) Fileserver (Windows 2003)

Seit geraumer Zeit erhalten wir beim Versuch ins Internet zu kommen nach ca. 30 Sec. eine DNS Fehlermeldung vom ISA Server. Nach mehreren Versuchen, kann dann die gewünschte Internet Seite geöffnet werden.

Wir haben die DNS Einstellungen überprüft, aber bis heute keine Fehler finden können!

Wenn wir nun mit einem Laptop (ohne Domäne) z.B. mit der IP-Adresse 192.168.99.2, direkt an die Netgear Firewall/Router gehen, haben wir dieses Sch... Problem nicht.

Den ISA einfach abschalten geht leider auch nicht, da der gleichzeitig Printserver (30 Drucker!) für das ganze Unternehmen ist! Desweiteren läuft auf dem ISA auch noch die Software GFI. Das ist ein Produkt, welches unsere E-Mails vom Provider abholt, nach SPAM absucht und filtert und dann zum Exchange weiterleitet!

Gibt es hier Ideen???

Wir wäre für gute Vorschläge sehr dankbar!

Content-ID: 97417

Url: https://administrator.de/contentid/97417

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

brammer
brammer 20.09.2008 um 21:02:10 Uhr
Goto Top
Hallo,

was mir bei deiner etwas seltsamen IP Struktur aber fehlt sind die Subnetzmasken!

brammer
aqui
aqui 20.09.2008 um 23:16:13 Uhr
Goto Top
Das sind doch alles klassische RFC 1918 Class-C IP Adressen also dürfte die Netzwerkmaske auf 24 Bit stehen.

Das Design ist in der Tat etwas krank und dürfte so aussehen:

109fb004353489f90b88ef5fa9ce47d2-dnsprob

Hast du auf beiden Segmenten LAN-1 und 2 ein Gateway konfiguriert ???
Macht dein ISA NAT (Adress Translation) zum Router LAN oder machst du sauberes normales Routing mit 2 statischen Routen auf dem Router wie hier beschrieben ??
Daniel-Ratlos
Daniel-Ratlos 21.09.2008 um 09:00:30 Uhr
Goto Top
Hallo,

ja das Design ist krank!!!

Das habe ich so vom Vorgänger übernommen!

Das Gateway ist im LAN 1 192.168.100.8 und im LAN 2 192.168.102.8.

Nur der ISA ist direkt mit dem Netgear Router verbunden, genauso wie in dem Bild s.o.

Noch zur Info:

LAN 1 also .100.* ist bei uns das Verwaltungs-Netz (Lehrer, Verwaltung,...)
LAN 2 also .102.* ist bei uns das Schulungs-Netz (Schüler PC's)

Es gibt ausser den genannten Servern noch 3 weitere, die ebenfalls alle zwei Netzwerkkarten haben, und auch zwei IP-Adressen .100.* und .102.*!

Wir haben in der letzten Zeit diverse Kombinationen der IP-Settings bei dem Exchange und dem Server (Fileserver) probiert, nur leider alles ohne Erfolg! Das oben beschriebene DNS Problem besteht weiterhin. Es sieht so aus, als ob die Clientanforderung nur zwischen den beiden DNS Servern kreist, ohne irgentwann aufgelöst zu werden. Wenn dann eine gewisse Zeit um ist, dann erscheint die DNS Fehlermeldung im Client!

Ich bzw. wir (ein TZ Admin und zwei Praktikanten) wissen echt nicht mehr weiter!
aqui
aqui 21.09.2008 um 11:05:31 Uhr
Goto Top
Das Problem bei euch ist nun das alle Server unter 2 IP Adressen zu erreichen sind !
Ihr müsst ferner strikt darauf achten das keiner dieser Server die mit 2 Karten angebunden sind routet.
Also das was im obigen Tutorial beschrieben ist darf auf keinen Fall bei euch passieren !!
Die einzige Instanz die routet darf ausschliesslich NUR der ISA Server sein !
Ihr solltet auf dem 102.er Netz auch KEIN Gateway an den Servern eintragen, so das diese NICHT über den ISA in das andere Segment kommen. Nur das 100.er Segment sollte als Einziges IP Segment einen Gateway Eintrag an den Servern haben !
sysad
sysad 21.09.2008 um 11:11:25 Uhr
Goto Top
Mit erschliesst sich der Sinn der beiden Segmente auf den .8 nicht. Wollt Ihr da eine hausgemachte Link Aggregation? Das geht so aber nicht.
Am besten Ihr legt ein Segment still.
aqui
aqui 21.09.2008 um 11:33:14 Uhr
Goto Top
Vermutlich soll das eine Trennung von Schüler PC Netz zum Lehrer / Verwaltungs PC Netz sein.

Ziemlich krank und unsinnig, denn aus Sicherheitssicht ist das vollkommener Blödsinn, denn die Schüler haben ja somit auch uneingeschränkten Zugriff bei diesem falschem Design auf sämtliche Server des Verwaltungsnetzes. Was wohl der Direktor dazu sagen würde wenn er es denn verstehen würde....
Derjenige der sich das ausgedacht hat, hat scheinbar sehr wenig Wissen von IP Netzen und Sicherheitsdesigns. Das kann heutzutage jeder Grundschüler besser machen....
Normalerweise gehört ein freies Schülersegment mit einem Router oder Firewall abgetrennt vom Verwaltungssegment mit strikten Zugangsregeln.
Das ist aber sicher Thema eines anderen Threads und löst sein DNS Problem nicht was ja de facto existiert.
Vermutlich stimmt was mit der DNS Weiterleitung an die NetGear Proxy Adresse nicht !!
Daniel-Ratlos
Daniel-Ratlos 21.09.2008 um 13:49:41 Uhr
Goto Top
Hallo und erst einmal Danke für die Antworten.

Wenn ich euch nun richtig verstehe, dann sollten wir bei den Servern in den Settings zum 102er Netz einfach die Gateways rausnehmen, und nur beim 100er Netz das Gateway auf den 192.168.100.8 stehen lassen?

Und was setzte ich bei den DNS Einträgen ein? Beim 100er Netz doch sehr wahrscheinlich primär DNS 192.168.100.7 und secundär 192.168.100.6 und beim 102er Netz auch nichts wie beim Gateway?
aqui
aqui 21.09.2008 um 17:28:03 Uhr
Goto Top
Wenn du 2 DNS Server hast die redundant sind ist das so richtig, dann ist es die .6 und .7 sofern es wirklich der Exchange Server und der 2k3 Server sind die auch DNS spielen.

Für das 102er Netz kannst du auch ebenfalls die 100.6 und 100.7 vergeben wenn denn der ISA Server routen kann oder du musst in der FW TCP/UDP Port 53 durchlassen auf den 2k3 und Exchange.
Dann eine Weiterleitung in beiden DNS auf die .99.1 konfigurieren und das sollte es gewesen sein.

Das Konstrukt ist wirklich krank...besser wäre es doch den DNS Service zentral auf dem ISA zu handhaben mit Weiterleitung an den NetGear... !!
segelflieger-pk
segelflieger-pk 05.05.2010 um 23:16:54 Uhr
Goto Top
hi
ich habe da auch ein ähnliches problem komme dabei einfach net weiter

meine hw: 1x Windows Server 2003 R2 Enterprise Edition

IP: 192.168.3.144
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.3.50 [DSL-Router]
Domain: Radio-Lichtentanne
Läuft als Domain Controller + DNS Server + Streaming Media Server + File Server + PrintServer

Client1: WinXp Prof.
IP: 192.168.3.110
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.3.50 [DSL-Router] !!!!!FUNKTIONIERT EINWANDFREI!!!!!
Domain: Radio-Lichtentanne

Client2: WIn7 Enterprise
IP: 192.168.3.136
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.3.50 [DSL-Router]
Domain: Fehler beim Eintreten

Hier meine Fehlermeldung vom Windows7 Enterprise Client:

Beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Active Directory-Domänencontrollers (AD DC) für die Domäne "radio-lichtentanne" verwendet wird, ist ein Fehler aufgetreten.

Fehler: "Eine vorhandene Verbindung wurde vom Remotehost geschlossen."
(Fehlercode 0x00002746 WSAECONNRESET)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags für _ldap._tcp.dc._msdcs.radio-lichtentanne.

~~!!!!Hier die 2. !!!!~~

Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne "Radio-Lichtentanne" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.Radio-Lichtentanne.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

192.168.3.50

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

Radio-Lichtentanne
. (die Stammzone)


--

Habe alles mögliche versucht er hat irgend ein problem mit der DNS Auflösung hatt vielleicht jemand einen Tipp????

Bitte um schnelle Antwort!

Lg Philipp