soccerdelux
Goto Top

DNS intern und extern auflösung AD Domäne

Hallo zusammen,

ich habe ein kleines Problem und vielleicht könnt ihr mir weiterhelfen.

Meine Domain lautet abc.de - darunter erreicht man unsere Website. Alles gut.

Jetzt haben wir einen internen DNS-Server unter WIndows Server 2016 aufgesetzt.

Unsere AD domäne lautet: ad.abc.de

Wenn ich nun von einem Notebook aus der Domäne ein NSlookup machen sieht es wie folgt aus :

M:\>nslookup
Standardserver: DC01.ad.abc.de
Address: 192.168.10.12

passt.

Führe ich ein nslookup auf ein Notebook oder Server aus nur mit dem namen:
in diesem Fall ts01 - funktioniert es auch einwandfrei.
ts01
Server: DC01.ad.abc.de
Address: 192.168.10.12

Name: ts01.ad.abc.de
Address: 192.168.10.13

passt.

Mache ich ein nslookup auf ts01.ad.abc.de sieht es wie folgt aus:

ts01.ad.abc.de
Server: DC01.ad.abc.de
Address: 192.168.10.12

Nicht autorisierende Antwort:
Name: ts01.ad.abc.de.abc.de
Addresses: 62.138.239.45
62.138.238.45

Es antwortet ein extern DNS in diesem Fall der DNS Telekom Server.

Könnt ihr mir sagen was ich falsch mache ?

Wie bekomme ich es ordentlich aufgelöst ohne externe IP ?
Das es unter ts01.ad.abc.de genauso aussieht wie bei nur ts01 (NSlookup) ?

Leider bin ich nicht so in deer Tiefe drin, ich habe mir schon einige ToDo's angeschaut, ich denke hier fehlt einfach das Fachwissen..

Ich hatte auch mal spasshalber das IPV6 ausgeschaltet, ohne Erfolg.

Danke schön.

Content-ID: 359070

Url: https://administrator.de/forum/dns-intern-und-extern-aufloesung-ad-domaene-359070.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Kryolyt
Kryolyt 22.12.2017 aktualisiert um 13:22:14 Uhr
Goto Top
Zitat von @Soccerdelux:
Mache ich ein nslookup auf ts01.ad.abc.de sieht es wie folgt aus:

ts01.ad.abc.de
Server: DC01.ad.abc.de
Address: 192.168.10.12

Nicht autorisierende Antwort:
Name: ts01.ad.abc.de.abc.de
Addresses: 62.138.239.45
62.138.238.45

Es antwortet ein extern DNS in diesem Fall der DNS Telekom Server.

In dem beispiel antwortet immernoch der interne dns server. Der kannte wohl "ts01.ad.abc.de" nicht und hat gemäß seiner bedingten weiterleitungen entweder deinen router (und der wiederum den telekom dns) oder direkt einen externen dns nach dem namen gefragt. Seine antwort war dadurch nicht autorisierend.

Ich würde fast schätzen, dass es in deinen forward lookupzonen kein "ts01.ad.abc.de" gibt. Benutzt du dynamisches dns? wenn ja, schau nach ob sich ts01 richtig hinzugefügt hat. ansonsten erledige das per Hand.

Edit: wenn du garkeine antworten von außen möchtest, müsstest du die bedingten weiterleitungen deaktivieren.
Soccerdelux
Soccerdelux 22.12.2017 aktualisiert um 14:00:59 Uhr
Goto Top
Hallo,

viele Dank für deine Hilfe.

In der forward lookupzone ist der ts01 von mir händisch angelegt worden, das hatte ich vorher schon getestet.

er löst ja wenn ich nur ts01 nutze auch sauber auf, nur wenn ich ts01.ad.abc.de auswähle kommt die Meldung.

DIe bedingte weiterleitung muss ich haben, ich habe gerade mal unter den eigenschaften des DNs, den Router rausgehauen.

Dann löst er richtig auf, allerdings mit 2 Timeouts und das größte Probleme, wir können nicht mehr google.de öffnen.

TS01.ad.abc.de
Server: DC01.ad.abc.de
Address: 192.168.10.12

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Name: TS01.ad.abc.de
Address: 192.168.10.14

Irgendwie läuft da komplett was falsch face-sad

Wie kann ich den Beitrag als noch nicht gelöst setzen ? Oder war das ein Admin ?
Soccerdelux
Soccerdelux 22.12.2017 um 14:06:07 Uhr
Goto Top
Was meinst du mit Bedingter Weiterleitung ?

Also ich habe den Router aus den Eigenschaften des DNS Server unter dem Reiter "Weiterleitungen" entfernt gehabt zum testen.

Danke schön.
Kryolyt
Kryolyt 22.12.2017 aktualisiert um 14:15:46 Uhr
Goto Top
Oh, keine Ahnung ob du ein Thread wieder auf ungelöst setzen kannst.

Ich kenn das genaue ordering bei einer Namensauflösung nicht, aber ich vermute sehr stark, dass die timeouts verursacht wurden, als der DNS server versucht hat die server aus seinen bedingten weiterleitungen anzusprechen. (Ist eine Vermutung, ich bin mir grad selbst nicht sicher)

Benutzt du mehr als einen DNS? Wenn ja, wie ist die konnektivität zwischen den beiden (oder mehr) DNS? Eine schnelle suche hat ergeben, dass solch ein verhalten (2 timeouts, dann Ergebnis) auch an blockierten ports liegen kann.

Dass der Telekomserver aber sonst eine Antwort schickt wundert mich sowieso. Ist ts01.ad.abc.de nochmal extern registriert? Gehört euch abc.de auch? Ich vermute, dass es entweder ein konnektivitätsproblem ist oder, dass der Name zweimal vergeben wurde.

Edit: Wir meinen das gleiche, bedingte weiterleitungen kannst du verwenden, wenn du nur namensauflösungen zu bestimmten domänen an externe namenservern weiterleiten möchtest. (Unter DNS-Manager -> Eigenschaften -> Weiterleitungen)
Soccerdelux
Soccerdelux 22.12.2017 um 14:22:54 Uhr
Goto Top
also es gibt ja in dem dns Severbaum die bedingte weiterleitung. da steht aber nichts drin.

Firewall und virenscanner am Notebook aus. Auf dem Server läuft eset filesecurity auch komplett aus, der verwaltet ja auch die Windows Firewall.

Also extern ist nichts regstriert. was mit ad.abc.de zutun hat.

Nur unsere Website abc.de liegt im internet und ist dort erreichbar.

was mich ja wundert ist das wenn ich auf ts01 nslookup mache, alles gut ist. aber wenn ich auf ts01.ad.abc.de ein nslookup mache, er mir in der Fehlermeldung nochmal die domäne hinten dran hängt.. weisst du was ich meine ?


ts01.ad.abc.de
Server: DC01.ad.abc.de
Address: 192.168.10.12

Nicht autorisierende Antwort:
Name: ts01.ad.abc.de.abc.de
Addresses: 62.138.239.45
62.138.238.45
Kryolyt
Kryolyt 22.12.2017 aktualisiert um 14:32:40 Uhr
Goto Top
ts01.ad.abc.de.abc.de

Achja. Guck mal in deine Zonendatei. Bzw. Zoneneinstellungen

Bsp.:
$ORIGIN example.com.     ; designates the start of this zone file in the namespace
$TTL 1h                  ; default expiration time of all resource records without their own TTL value
example.com.  IN  SOA   ns.example.com. username.example.com. ( 2007120710 1d 2h 4w 1h )
example.com.  IN  NS    ns                    ; ns.example.com is a nameserver for example.com
example.com.  IN  NS    ns.somewhere.example. ; ns.somewhere.example is a backup nameserver for example.com
example.com.  IN  MX    10 mail.example.com.  ; mail.example.com is the mailserver for example.com
@             IN  MX    20 mail2.example.com. ; equivalent to above line, "@" represents zone origin  
@             IN  MX    50 mail3              ; equivalent to above line, but using a relative host name
example.com.  IN  A     192.0.2.1             ; IPv4 address for example.com
              IN  AAAA  2001:db8:10::1        ; IPv6 address for example.com
ns            IN  A     192.0.2.2             ; IPv4 address for ns.example.com
              IN  AAAA  2001:db8:10::2        ; IPv6 address for ns.example.com
www           IN  CNAME example.com.          ; www.example.com is an alias for example.com
wwwtest       IN  CNAME www                   ; wwwtest.example.com is another alias for www.example.com
mail          IN  A     192.0.2.3             ; IPv4 address for mail.example.com
mail2         IN  A     192.0.2.4             ; IPv4 address for mail2.example.com
mail3         IN  A     192.0.2.5             ; IPv4 address for mail3.example.com

Schau auch, dass die rootpunkte richtig gesetzt sind (adb.de.).

In deinem Fall glaube ich aber, dass in einem deiner Einträge zu viel drin steht. Warscheinlich ts01.ad.adb.de. wo schon ts01 bszw ts01.ad schon gereicht hätte.

Edit: Dein Zonenfile findest du unter %windir%\System32\DNS
aqui
aqui 22.12.2017 um 21:41:36 Uhr
Goto Top
Oh, keine Ahnung ob du ein Thread wieder auf ungelöst setzen kannst.
Ja das geht natürlich ! Einfach mal die FAQs lesen face-wink
Wie kann ich einen Beitrag als gelöst markieren?
(Kapitel: Status der Frage zurücksetzen !)
Dani
Dani 26.12.2017 um 12:11:16 Uhr
Goto Top
Moin,
Ich hatte auch mal spasshalber das IPV6 ausgeschaltet, ohne Erfolg.
bitte wieder die Konfiguration rückgängig machen. Dadurch kannst du zukünftig ungewollt Probleme verursachen, wo nicht mehr unbedingt an IPv6 denkst.

Nach welcher Anleitung has du dein Active Directory bzw. DNS-Server aufgesetzt?
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...


Gruß,
Dani
Soccerdelux
Soccerdelux 27.12.2017 aktualisiert um 13:15:50 Uhr
Goto Top
Hallo zusammen,

sorry das ich mich erst jetzt dazu melde.

OMG- manchmal sieht man den Wald vor lauter Bäume nicht.

ns lookup 1.Klasse face-smile

es fehlte schlichtweg einfach der Punkt dahinter bei NSlookup.

also abfrage lautet ja :

M:\>nslookup
Standardserver: DC01.ad.abc.de
Address: 192.168.10.12

passt.

Führe ich ein nslookup auf ein Notebook oder Server aus nur mit dem namen:
in diesem Fall ts01 - funktioniert es auch einwandfrei.
ts01
Server: DC01.ad.abc.de
Address: 192.168.10.12

Name: ts01.ad.abc.de
Address: 192.168.10.13

passt.

Mache ich ein nslookup auf ts01.ad.abc.de sieht es wie folgt aus:

ts01.ad.abc.de
Server: DC01.ad.abc.de
Address: 192.168.10.12

Nicht autorisierende Antwort:
Name: ts01.ad.abc.de.abc.de
Addresses: 62.138.239.45
62.138.238.45

so und setze ich hier einfach den Punkt dahinter, weiss der interne DNS das es intern ist.

also dann so:

nslookup ts01.ad.abc.de.

Dann lösst er richtig auf, DNS war richtig konfguiert ! Nur meine Weihnachtsausetzer wohl leider nicht face-smile
ALles gut, danke und guten Rutsch !