45455
07.05.2018
1917
9
0
DNS-Port DC nicht erreichbar
Hallo,
ich habe ein etwas seltsames Problem in einem Netzwerk, das über mehrere Standorte per VPN verbunden ist.
Es sind insgesamt 4 Standorte, an einem sind 2 DCs, an zwei weiteren jeweils ein RODC, ein neuer Standort noch ohne DC
jeweils eigene Subnetze 192.168.x.0/24, Routing funktioniert, DNS-Auflösungen funktionieren, Ping, Netzfreigaben, alles prima in allen Richtungen.
Das neue Subnetz ohne DC ist in die Subnetze unter AD-Standorte und Domänen aufgenommen und als ReverseZone im DNS angelegt.
Das Phänomen: Von dem neuen Standort wird der Port 53 der beiden DCs nicht erreicht, jedoch der Port 53 der beiden RODCs. Alle anderen Ports gehen überall.
Umgekehrt werden von den RODC-Standorten aber die DCs Und sie gegenseitig auf Port 53 erreicht.
Auf dem Weg kann also kein Block sein.
Es sieht daher so aus, als würden die beiden DCs schlicht auf Anfragen auf Port 53 nur nicht aus dem neuen Subnetz antworten.
Ich erkenne aber gerade beim besten Willen keinen Grund dafür.
Ideen?
Gruß
kai
ich habe ein etwas seltsames Problem in einem Netzwerk, das über mehrere Standorte per VPN verbunden ist.
Es sind insgesamt 4 Standorte, an einem sind 2 DCs, an zwei weiteren jeweils ein RODC, ein neuer Standort noch ohne DC
jeweils eigene Subnetze 192.168.x.0/24, Routing funktioniert, DNS-Auflösungen funktionieren, Ping, Netzfreigaben, alles prima in allen Richtungen.
Das neue Subnetz ohne DC ist in die Subnetze unter AD-Standorte und Domänen aufgenommen und als ReverseZone im DNS angelegt.
Das Phänomen: Von dem neuen Standort wird der Port 53 der beiden DCs nicht erreicht, jedoch der Port 53 der beiden RODCs. Alle anderen Ports gehen überall.
Umgekehrt werden von den RODC-Standorten aber die DCs Und sie gegenseitig auf Port 53 erreicht.
Auf dem Weg kann also kein Block sein.
Es sieht daher so aus, als würden die beiden DCs schlicht auf Anfragen auf Port 53 nur nicht aus dem neuen Subnetz antworten.
Ich erkenne aber gerade beim besten Willen keinen Grund dafür.
Ideen?
Gruß
kai
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 373281
Url: https://administrator.de/forum/dns-port-dc-nicht-erreichbar-373281.html
Ausgedruckt am: 14.06.2025 um 22:06 Uhr
9 Kommentare
Neuester Kommentar
Moin,
sicher das die main DCs die neue Zone ebenfalls kennen?
Gruß
Spirit
sicher das die main DCs die neue Zone ebenfalls kennen?
Gruß
Spirit
Was sagt denn die Firewall?
Logging scharf geschalten?
VG
Logging scharf geschalten?
VG
Naja, auf denen ist sie angelegt, in der AD und im DNS. Wie soll ich die denen noch kenntlich machen?
Es gibt keine Blocks. Wäre auch noch seltsamer. Auf den VPNs zwischen den Standorten ist eine Any-Any-Regel aktiv.
Und in allen Richtungen die DNS-Ports erreichbar (alle Router/Firewalls, alle RODCs), nur genau diese eben bei den beiden DCs ausschliesslich nicht vom neuen Sub-Netz.
Ich denke nicht, dass das Problem in der Firewall liegt.
Und in allen Richtungen die DNS-Ports erreichbar (alle Router/Firewalls, alle RODCs), nur genau diese eben bei den beiden DCs ausschliesslich nicht vom neuen Sub-Netz.
Ich denke nicht, dass das Problem in der Firewall liegt.
Zudem: Die Namensauflösung in die Domäne funktioniert ja, also antworten die DCs ja ganz offensichtlich auf Anfragen, mehr aber nicht.
Der Port erscheint geschlossen, eine Domänenaufnahme scheitert an DC nicht erreichbar
Der Port erscheint geschlossen, eine Domänenaufnahme scheitert an DC nicht erreichbar
Ich kenne deine Firewalls nicht, allerdings solltest du eigentlich wissen, wie du Netzwerkverkehr bzw versuchte Zugriffe darauf kenntlich machst.
So, Problem gefunden.
Der Router des DC-Standortes reagiert IMHO buggy: Der DNS-Block fürs WAN blockte auch DNS-Abfragen in den IPsec-Tunneln, nicht aber auf SSL-Tunneln. Was für mich grad keinen echten Sinn macht.
Die Standard-Blockregel wurde jetzt so verändert, dass sie Anfragen nicht All-WAN-In zu Any blockt, sondern nur All-WAN-In zu All-WAN-Out.
Dann läufts auch im IPsec-Tunnel.
Der Router des DC-Standortes reagiert IMHO buggy: Der DNS-Block fürs WAN blockte auch DNS-Abfragen in den IPsec-Tunneln, nicht aber auf SSL-Tunneln. Was für mich grad keinen echten Sinn macht.
Die Standard-Blockregel wurde jetzt so verändert, dass sie Anfragen nicht All-WAN-In zu Any blockt, sondern nur All-WAN-In zu All-WAN-Out.
Dann läufts auch im IPsec-Tunnel.
Läuft doch, also war die Richtung zu den DCs nicht falsch.
Also Final: Irgendwie ein Firewallproblem.
Gern geschehen.
Gern geschehen.
