9
DNS Server Prüfen
Hallo Kollegen,
seit Mitte des Jahres bin ich für ein Unternehmen als Admin tätig.
Insgesamt auf mehrere Standorte in Deutschland aufgeteilt sind wir 4 Personen die für die EDV zuständig sind.
Nun zu meinem Problem.
Seit einigen Wochen haben wir das Gefühl das es DNS Probleme / Störungen gibt.
Bsp.1
Netzlaufwerke von einem bestimmten Server können nur über den Name zugewiesen werden und nicht über den IP Adresse.
Im DNS Server ist dieser Server in der Forward- und in der Reverse-Lookupzone korrekt eingetragen.
BSP2:
Ein NAS Gerät an einem anderen Standort kann von Berlin nicht angepingt werden. Von dem Standort wo es steht schon. DNS Eintrag manuell erstellt, etwas gewartet, funktioniert.
Hier wurde kein automatischer DNS Eintrag erstellt.
BSP3:
Client konnte nicht angepingt werden. Auf dem DNS Server sah man, dass, die IP Adresse an zwei verschiedene Clients vergeben wurde. Somit brachte NSLookup auch andere Ergebnisse.
Hier tat sich die Vermutung auf das die DNS Einträge nicht Automatisch aktualisiert werden.
Die Standorte sind über MPLS Netz miteinander verbunden.
Nun haben wir uns die Konfiguration der DNS Server angeschaut.
Wir haben mehrere Domänencontroller.
Standort 1: Primären (Server 2008R2) und Sekundären DNS Server (Server 2003)
Standort 2: 1 Domänencontroller (primär -Server 2008R2)
Standort 3: 1 Domänencontroller (primär - Server 2008R2)
Standort 4: 1 Domänencontroller (primär - Server 2008R2)
Standort 5: 1 Domänencontroller (primär - Server 2008R2)
Standort 6: 1 Domänencontroller (primär - Server 2008R2)
Die Standorte sind in Subnetze aufgeteilt.
Nun haben wir mehrere Zonen (Standorte) in der Forward Lookupzone.
Zone1: _msdcs.contoso.com (Server 2008R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert.
- Replikation: „ Auf allen DNS Servern, die auf Domänencontrollern in der Gesamtstruktur aufgeführt werden:
contoso.com“
- Dynamische Updates: nur sichere
Zone2. Standort2.contoso.com (Server 2008 R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert
- „ Auf allen DNS Servern, die auf Domänencontrollern in dieser Domäne aufgeführt werden:
contoso.com“
- Dynamische Updates. Nur sichere
Standort3: standort3.contoso.com (Server 2008 R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert
- „ Auf allen Domaincontrollern in dieser Domäne (windows2000- Kompatibilität)
contoso.com“
- Dynamische Updates. Nur sichere
Ich stolpere gerade über die Option Dynamische Updates. Überall ist „nur sichere“ eingetragen.
Kann hier der Fehler liegen? Ich hab es so gelernt das man dort „nicht sichere und sichere Updates“ auswählt.
Gibt es noch andere Möglichkeiten die Funktionalität des DNS Server’s zu überprüfen.
Vorab vielen Dank für eure Hilfe.
Beste Grüße
Grobi
seit Mitte des Jahres bin ich für ein Unternehmen als Admin tätig.
Insgesamt auf mehrere Standorte in Deutschland aufgeteilt sind wir 4 Personen die für die EDV zuständig sind.
Nun zu meinem Problem.
Seit einigen Wochen haben wir das Gefühl das es DNS Probleme / Störungen gibt.
Bsp.1
Netzlaufwerke von einem bestimmten Server können nur über den Name zugewiesen werden und nicht über den IP Adresse.
Im DNS Server ist dieser Server in der Forward- und in der Reverse-Lookupzone korrekt eingetragen.
BSP2:
Ein NAS Gerät an einem anderen Standort kann von Berlin nicht angepingt werden. Von dem Standort wo es steht schon. DNS Eintrag manuell erstellt, etwas gewartet, funktioniert.
Hier wurde kein automatischer DNS Eintrag erstellt.
BSP3:
Client konnte nicht angepingt werden. Auf dem DNS Server sah man, dass, die IP Adresse an zwei verschiedene Clients vergeben wurde. Somit brachte NSLookup auch andere Ergebnisse.
Hier tat sich die Vermutung auf das die DNS Einträge nicht Automatisch aktualisiert werden.
Die Standorte sind über MPLS Netz miteinander verbunden.
Nun haben wir uns die Konfiguration der DNS Server angeschaut.
Wir haben mehrere Domänencontroller.
Standort 1: Primären (Server 2008R2) und Sekundären DNS Server (Server 2003)
Standort 2: 1 Domänencontroller (primär -Server 2008R2)
Standort 3: 1 Domänencontroller (primär - Server 2008R2)
Standort 4: 1 Domänencontroller (primär - Server 2008R2)
Standort 5: 1 Domänencontroller (primär - Server 2008R2)
Standort 6: 1 Domänencontroller (primär - Server 2008R2)
Die Standorte sind in Subnetze aufgeteilt.
Nun haben wir mehrere Zonen (Standorte) in der Forward Lookupzone.
Zone1: _msdcs.contoso.com (Server 2008R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert.
- Replikation: „ Auf allen DNS Servern, die auf Domänencontrollern in der Gesamtstruktur aufgeführt werden:
contoso.com“
- Dynamische Updates: nur sichere
Zone2. Standort2.contoso.com (Server 2008 R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert
- „ Auf allen DNS Servern, die auf Domänencontrollern in dieser Domäne aufgeführt werden:
contoso.com“
- Dynamische Updates. Nur sichere
Standort3: standort3.contoso.com (Server 2008 R2)
Kontext Menü auf diese Zone: folgende Einstellungen.
- Zone ist im AD Integriert
- „ Auf allen Domaincontrollern in dieser Domäne (windows2000- Kompatibilität)
contoso.com“
- Dynamische Updates. Nur sichere
Ich stolpere gerade über die Option Dynamische Updates. Überall ist „nur sichere“ eingetragen.
Kann hier der Fehler liegen? Ich hab es so gelernt das man dort „nicht sichere und sichere Updates“ auswählt.
Gibt es noch andere Möglichkeiten die Funktionalität des DNS Server’s zu überprüfen.
Vorab vielen Dank für eure Hilfe.
Beste Grüße
Grobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217836
Url: https://administrator.de/contentid/217836
Printed on: April 19, 2024 at 19:04 o'clock
9 Comments
Latest comment
Hi Grobi,
zu bsp1:
würde ich immer vorziehen. IPs sind so vergänglich
zu bsp2:
Warum sollte sich ein NAS aus Standort 1 im DNS von Standort 2 eintragen. Das muss man wohl erst organisieren. Manuell oder automatisch.
zu bsp3:
Naja, für das update von Adressen aus dem DHCP wird auch Zeit benötigt, vor allem, wenn es um verschiedene Standorte geht.
Für DNS kann ich bind (SW) oder / und Infoblox (W) empfehlen.
Aber hier geht es eher um Windows Server als um das DNS System.
Gruß
Netman
zu bsp1:
würde ich immer vorziehen. IPs sind so vergänglich
zu bsp2:
Warum sollte sich ein NAS aus Standort 1 im DNS von Standort 2 eintragen. Das muss man wohl erst organisieren. Manuell oder automatisch.
zu bsp3:
Naja, für das update von Adressen aus dem DHCP wird auch Zeit benötigt, vor allem, wenn es um verschiedene Standorte geht.
Für DNS kann ich bind (SW) oder / und Infoblox (W) empfehlen.
Aber hier geht es eher um Windows Server als um das DNS System.
Gruß
Netman
Hallo MrNetman,
danke für dein Feedback.
Die beiden Produkte "bind" und "infoblox" kenn ich nicht. Man kann Sie sich aber mal anschauen.
Wie oben beschrieben sind die Zonen alle so Konfiguriert.
Mir stellt sich nur die Frage ob das so korrekt ist.
Ich hatte erwartet das das Nas Gerät wenigstens erreichbar ist. Ohne den Eintrag manuell im DNS zu hinterlegen.
Replikation findet ja statt. Das das etwas Zeit benötigt ist Korrekt.
Zum Bspl1: Das ist ein Server und die IP ist fest vergeben. Hier erwarte ich das die Auflösung beim Aufruf des Explorers mit Eingabe der IP und des Servernamen funktioniert.
Leider bei diesen einen Server nicht. Wir haben ca. 30 Server im Unternehmen. Der Rest läuft bisher, Gott sei Dank, ohne Probleme.
Gruß
Grobi
danke für dein Feedback.
Die beiden Produkte "bind" und "infoblox" kenn ich nicht. Man kann Sie sich aber mal anschauen.
Wie oben beschrieben sind die Zonen alle so Konfiguriert.
Mir stellt sich nur die Frage ob das so korrekt ist.
Ich hatte erwartet das das Nas Gerät wenigstens erreichbar ist. Ohne den Eintrag manuell im DNS zu hinterlegen.
Replikation findet ja statt. Das das etwas Zeit benötigt ist Korrekt.
Zum Bspl1: Das ist ein Server und die IP ist fest vergeben. Hier erwarte ich das die Auflösung beim Aufruf des Explorers mit Eingabe der IP und des Servernamen funktioniert.
Leider bei diesen einen Server nicht. Wir haben ca. 30 Server im Unternehmen. Der Rest läuft bisher, Gott sei Dank, ohne Probleme.
Gruß
Grobi
Hallo,
schalte einfach die Konflikterkennung im DHCP an somit solltest du keine doppelten Adressen bekommen.
Habt ihr an verschiedenen Standorten den gleichen IP Range? Wie handelt Ihr dann ADSites ab?
Wer registriert bei euch DNS Einträge? Der Client an sich oder der DHCP Server?
Grüße
schalte einfach die Konflikterkennung im DHCP an somit solltest du keine doppelten Adressen bekommen.
Habt ihr an verschiedenen Standorten den gleichen IP Range? Wie handelt Ihr dann ADSites ab?
Wer registriert bei euch DNS Einträge? Der Client an sich oder der DHCP Server?
Grüße
Hallo lenny4me,
die Konflikerkennung schaue ich mir mal an.
IP Adressen sind aufgeteilt in folgende bereiche.
Bspl. Standort 1 - 10.1.1.x
Standort 2 - 10.2.1.x
etc.
DHCP Server ist folgendermaßen eingestellt.
- DNS-A und PTR Einträge nur nach Aufforderung vom DHCP-Client dynmisch aktialisieren
- A und PTR Einträge beim löschen der Lease verwerfen
- DNS-a und PTR Einträge für DHCP Clients, die keine Updates anfordern dynamisch aktualisieren
die Konflikerkennung schaue ich mir mal an.
IP Adressen sind aufgeteilt in folgende bereiche.
Bspl. Standort 1 - 10.1.1.x
Standort 2 - 10.2.1.x
etc.
DHCP Server ist folgendermaßen eingestellt.
- DNS-A und PTR Einträge nur nach Aufforderung vom DHCP-Client dynmisch aktialisieren
- A und PTR Einträge beim löschen der Lease verwerfen
- DNS-a und PTR Einträge für DHCP Clients, die keine Updates anfordern dynamisch aktualisieren
Hallo,
und du hast pro Standort einen DHCP oder mehrere? Split Scope? Cluster? DHCP Relay Agents? hast du dem DHCP Credentials mitgegeben womit er DNS Records erstellen kann? Ist dieser Nutzer auch Besitzer der erstellten Records? ist er auch Besitzer bei den Einträgen wo es Problem gibt?
Grüße
und du hast pro Standort einen DHCP oder mehrere? Split Scope? Cluster? DHCP Relay Agents? hast du dem DHCP Credentials mitgegeben womit er DNS Records erstellen kann? Ist dieser Nutzer auch Besitzer der erstellten Records? ist er auch Besitzer bei den Einträgen wo es Problem gibt?
Grüße
Hi lenny4me,
pro Standort einen DHCP Server. Bedeuet auch das die DHCP Rolle auf den Domänencontrollern installiert ist. Außer in der Hauptzentrale.
Hier ist ein separate Server
Kein Split Scope
Kein Cluster
Kein DHCP Relay Agent
Zitat: hast du dem DHCP Credentials mitgegeben womit er DNS Records erstellen kann? Ist dieser Nutzer auch Besitzer der erstellten Records? ist er auch Besitzer bei den Einträgen wo es Problem gibt?
Wie meinst Du das?
Beste Grüße
pro Standort einen DHCP Server. Bedeuet auch das die DHCP Rolle auf den Domänencontrollern installiert ist. Außer in der Hauptzentrale.
Hier ist ein separate Server
Kein Split Scope
Kein Cluster
Kein DHCP Relay Agent
Zitat: hast du dem DHCP Credentials mitgegeben womit er DNS Records erstellen kann? Ist dieser Nutzer auch Besitzer der erstellten Records? ist er auch Besitzer bei den Einträgen wo es Problem gibt?
Wie meinst Du das?
Beste Grüße
Hallo,
wenn sich aber 2 Rechner eine ip adresse teilen sind irgendwo 2 DHCPs im Einsatz der DHCP vergibt keine Adressen doppelt... du kannst irgendwo im DHCP credentials angeben womit der DHCP DNS einträge registriert... (Tut ja nicht not das das ein Domänenadmin macht...)
Grüße
wenn sich aber 2 Rechner eine ip adresse teilen sind irgendwo 2 DHCPs im Einsatz der DHCP vergibt keine Adressen doppelt... du kannst irgendwo im DHCP credentials angeben womit der DHCP DNS einträge registriert... (Tut ja nicht not das das ein Domänenadmin macht...)
Grüße
..."nur über den Name zugewiesen werden und nicht über den IP Adresse.."
Das zeugt de facto nicht von einem DNS Problem sondern einem Routing oder IP Adress Problem !
..."NAS Gerät an einem anderen Standort kann von Berlin nicht angepingt werden.."
Spricht für die obige Fehlertheorie und verstärkt erheblich die Anhame eines Routing oder IP Adress Problems !
Wenn Pingen einer nackten Ziel IP ohne jegliche DNS Beteiligung schon fehlschlägt ist das obige doch Fakt !
Die Vergabe von doppelten IP Adressen an Clients spricht ja schon Bände das da irgendwas total vermurkst ist in deinem Netz in Bezug auf DHCP.
Entweder spielt da ein wilder unauthorisierter DHCP Server verrückt oder es ist eine Fehlkonfiguration.
Bedenke das DHCP Server auch in kleinen Routern, Accesspoint, Print Servern usw. ihr Unwesen treiben. Auch Dinge die Mitarbeiter ggf. von zuhause mitbringen !
Normalerweise aktiviert man immer DHCP Snooping auf den Netzwerk Switches um sowas wie wilde und falsche DHCPs sicher zu unterbinden !
Vermutlich bei euch nicht geschehen
Das zeugt de facto nicht von einem DNS Problem sondern einem Routing oder IP Adress Problem !
..."NAS Gerät an einem anderen Standort kann von Berlin nicht angepingt werden.."
Spricht für die obige Fehlertheorie und verstärkt erheblich die Anhame eines Routing oder IP Adress Problems !
Wenn Pingen einer nackten Ziel IP ohne jegliche DNS Beteiligung schon fehlschlägt ist das obige doch Fakt !
Die Vergabe von doppelten IP Adressen an Clients spricht ja schon Bände das da irgendwas total vermurkst ist in deinem Netz in Bezug auf DHCP.
Entweder spielt da ein wilder unauthorisierter DHCP Server verrückt oder es ist eine Fehlkonfiguration.
Bedenke das DHCP Server auch in kleinen Routern, Accesspoint, Print Servern usw. ihr Unwesen treiben. Auch Dinge die Mitarbeiter ggf. von zuhause mitbringen !
Normalerweise aktiviert man immer DHCP Snooping auf den Netzwerk Switches um sowas wie wilde und falsche DHCPs sicher zu unterbinden !
Vermutlich bei euch nicht geschehen
Hallo aqui,
erstmal Danke für eure Hilfe.
Ich bin gerade dabei mir die ganzen Konfigurationen anzuschauen.
Wird sicherlich etwas dauern da der normale EDV Wahnsinn hier auch noch sichergestellt werden muss.
beste Grüße
erstmal Danke für eure Hilfe.
Ich bin gerade dabei mir die ganzen Konfigurationen anzuschauen.
Wird sicherlich etwas dauern da der normale EDV Wahnsinn hier auch noch sichergestellt werden muss.
beste Grüße
