DNS-Server und VPN-Zugriff

Mitglied: nixwissender
Moin!

Ich bräuchte als Profi-NixWissender erneut Eure Hilfe. :) face-smile

Wir haben im Unternehmen zwei DC im Einsatz und dank 'Anleitung' von @MysticFoxDE habe ich entsprechend in den TCPv4-Einstellungen die DNS-Server kreuz konfiguriert (siehe in diesem Thread hier: https://administrator.de/forum/server-2019-vcpus-ueberbuchen-754037836.h ... ) und auch den DHCP-Failover eingerichtet.

Die IP-Vergabe der Clients verläuft jetzt ebenfalls automatisch, sodass auch beide DNS-Server aufgeführt werden. Ebenfalls habe ich beide Adressen der DC sowohl bei den virtuellen Servern in den TCPv4-Einstellungen eingetragen als auch bei den Hosts selber.

Allerdings soll aber nach dieser Anleitung hier (https://www.backhaus-christoph.de/?post=hinzufugen-eines-weiteren-domain ...) der primäre DC stets als bevorzugter DNS-Server eingetragen werden, was mich jetzt etwas stutzig macht.

Des Weiteren habe ich im laufenden Betrieb (gegen Feierabend) einfach den primären DC runtergefahren und abgewartet, was passiert. Und siehe das, das Telefon stand still, ergo lief alles wohl wie gehabt weiter.

Ich habe mich an einen Client gesetzt und persönlich getestet, ob alles weiterhin funktioniert. Alles lief, selbst der Zugriff auf das Internet. Was ich aber gemerkt habe, ist, dass die Anmeldung an der Domäne länger gedauert hat als normal und danach kein Internetzugriff möglich war. Da ich aber zwischenzeitlich den primären DC wieder hochgefahren habe, war unmittelbar danach der Internetzugriff wieder möglich. Ich weiß halt nicht, ob ich noch etwas länger hätte warten müssen, um zu sehen, ob der Internetzugriff wieder möglich gewesen wäre.

Für mein Verständnis: Der zweite DC soll doch alles übernehmen, sobald der erste DC down ist (wieso auch immer). Richtig?



Dann habe ich noch eine weitere Frage, die ich bisher nicht beantwortet bekommen habe: Ein VPN-Zugriff per RDP von zuhause auf die Hosts (und den virtuellen Servern) ist problemlos möglich, solange der primäre DC am Laufen ist. Schalte ich diesen aber (aus welchen Gründen auch immer) ab, während ich aufgeschaltet bin, besteht weiterhin der Zugriff. Sobald ich aber die Verbindung wieder trenne und erneut über RDP aufschalten will, wird keine Verbindung mehr aufgebaut. Alles steht und fällt mit dem primären DC.

Soll das so sein? - Für mein Verständnis hat doch ein VPN-Zugriff per RDP an sich nichts mit der Domäne zu tun, sondern soll doch nur den Zugriff auf die Hosts ermöglichen.

Vielleicht könnt Ihr mich erleuchten? - THX im Voraus!

Content-Key: 859760635

Url: https://administrator.de/contentid/859760635

Ausgedruckt am: 23.07.2021 um 14:07 Uhr

Mitglied: Vision2015
Vision2015 30.06.2021 um 08:59:12 Uhr
Goto Top
Moin....

Dann habe ich noch eine weitere Frage, die ich bisher nicht beantwortet bekommen habe: Ein VPN-Zugriff per RDP von zuhause auf die Hosts (und den virtuellen Servern) ist problemlos möglich, solange der primäre DC am Laufen ist. Schalte ich diesen aber (aus welchen Gründen auch immer) ab, während ich aufgeschaltet bin, besteht weiterhin der Zugriff. Sobald ich aber die Verbindung wieder trenne und erneut über RDP aufschalten will, wird keine Verbindung mehr aufgebaut. Alles steht und fällt mit dem primären DC.

die frage ist ja, wie wird dein VPN aufgebaut, besser wer baut das auf.
in der regel sollte das dein Gateway / Firewall / Router sein- und dort wird im VPN setup dein DNS Server hinterlegt!
hast du 2 DNS Server werden dort auch beide eingetragen, und dein Problem sollte erledigt sein!

Frank
Mitglied: lcer00
lcer00 30.06.2021 um 10:10:27 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:
Die IP-Vergabe der Clients verläuft jetzt ebenfalls automatisch, sodass auch beide DNS-Server aufgeführt werden. Ebenfalls habe ich beide Adressen der DC sowohl bei den virtuellen Servern in den TCPv4-Einstellungen eingetragen als auch bei den Hosts selber.

Allerdings soll aber nach dieser Anleitung hier (https://www.backhaus-christoph.de/?post=hinzufugen-eines-weiteren-domain ...) der primäre DC stets als bevorzugter DNS-Server eingetragen werden, was mich jetzt etwas stutzig macht.
Was genau macht Dich stutzig? Ziel des kreuzweisen setzen ist es, dass der DC sich beim Hochfahren mit einem bereits laufenden DC der Domäne verbinden kann und sich dadurch als "zulässiger" und "echter" DC authentifiziert. Das vermeidet Split-Brain-Situationen.
Ich habe mich an einen Client gesetzt und persönlich getestet, ob alles weiterhin funktioniert. Alles lief, selbst der Zugriff auf das Internet. Was ich aber gemerkt habe, ist, dass die Anmeldung an der Domäne länger gedauert hat als normal und danach kein Internetzugriff möglich war. Da ich aber zwischenzeitlich den primären DC wieder hochgefahren habe, war unmittelbar danach der Internetzugriff wieder möglich. Ich weiß halt nicht, ob ich noch etwas länger hätte warten müssen, um zu sehen, ob der Internetzugriff wieder möglich gewesen wäre.

Für mein Verständnis: Der zweite DC soll doch alles übernehmen, sobald der erste DC down ist (wieso auch immer). Richtig?
Der DC übernimmt nicht, er stellt bereit. Genauer gesagt, er stellt dem Client seine Dienste bereit. Dazu muss der Client wissen, dass er da ist? Welchen DNS-Server verteilst Du denn per DHCP auf die Clients? Wenn es nur der alte ist, dann werden die Clients keine DNS-Auflösungen realisiseren können. Wenn es beide sind, wird die Auflösung manchmal klappen, manchmal nicht. hängt von der Reihenfolge und dem Dauer des Vorgangs ab.

Grüße

lcer
Mitglied: nixwissender
nixwissender 30.06.2021 aktualisiert um 10:25:09 Uhr
Goto Top
@Icer00:
Was genau meinst Du mit 'Welchen DNS-Server verteilst Du denn per DHCP auf die Clients?'

Die Clients bekommen automatisch beide DNS-Server zugewiesen und beim DCHP-Server sind unter Eigenschaften von IPv4 im Reiter DNS die Standardeinstellung gesetzt.
Mitglied: Vision2015
Vision2015 30.06.2021 um 10:36:33 Uhr
Goto Top
Zitat von @nixwissender:

@Icer00:
Was genau meinst Du mit 'Welchen DNS-Server verteilst Du denn per DHCP auf die Clients?'

Die Clients bekommen automatisch beide DNS-Server zugewiesen und beim DCHP-Server sind unter Eigenschaften von IPv4 im Reiter DNS die Standardeinstellung gesetzt.

was ja auch richtig ist!

Frank
Mitglied: nixwissender
nixwissender 30.06.2021 aktualisiert um 11:15:17 Uhr
Goto Top
Das heißt, im Grunde ist alles soweit eigentlich richtig konfiguriert? Wieso hat dann die Anmeldung um einiges länger gedauert und der Internetzugriff war nicht möglich?

Bzgl. des VPN-Zugriffs: Dieser erfolgt über den Gateway / Firewall, was ebenfalls vom IT-Systemhaus eingerichtet wurde.

Soweit ich das aber jetzt richtig verstehe, kann kein Zugriff ohne einen laufenden DC erfolgen. Das ist doch meines Erachtens bescheiden, da mir der VPN-Zugriff einen Zugriff auf die Hosts erlauben soll. Liegt es daran, dass die DC ebenfalls virtueller Natur sind und auf dem Host an sich kein 'echter' DC eingerichtet ist?
Mitglied: lcer00
lcer00 30.06.2021 um 11:37:24 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Das heißt, im Grunde ist alles soweit eigentlich richtig konfiguriert? Wieso hat dann die Anmeldung um einiges länger gedauert und der Internetzugriff war nicht möglich?

Hier steht ein wenig dazu drin: https://support.microsoft.com/en-us/topic/microsoft-tcp-ip-host-name-res ...
Bei der Anmeldung versucht Windows natürlich den DC zu erreichen. Die Adresse des DCs ermittelt er über DNS. (Versuch mal: nslookup <Domänname>) Dazu fragt der den ersten DNS-Server. Der meldet sich nicht, da er offline ist. Erst nach einem Timeout fragt der den nächsten DNS-Server. Bei der Anmeldung muss nicht nur der DC ermittelt werden, sondern auch die Adressen anderer Dienste des Active Directorys. Wieder Timeouts. Deshalb dauert es etwas.

Grüße

lcer
Mitglied: Vision2015
Vision2015 30.06.2021 um 12:42:27 Uhr
Goto Top
Moin...
Zitat von @nixwissender:

Das heißt, im Grunde ist alles soweit eigentlich richtig konfiguriert? Wieso hat dann die Anmeldung um einiges länger gedauert und der Internetzugriff war nicht möglich?
hm... das läst sich ohne es zu sehen schlecht sagen....sollte aber nicht so sein!

Bzgl. des VPN-Zugriffs: Dieser erfolgt über den Gateway / Firewall, was ebenfalls vom IT-Systemhaus eingerichtet wurde.
oha...

Soweit ich das aber jetzt richtig verstehe, kann kein Zugriff ohne einen laufenden DC erfolgen. Das ist doch meines Erachtens bescheiden, da mir der VPN-Zugriff einen Zugriff auf die Hosts erlauben soll. Liegt es daran, dass die DC ebenfalls virtueller Natur sind und auf dem Host an sich kein 'echter' DC eingerichtet ist?
nööö ob blech oder VM ist völlig latte....
allerdings wenn die Systemhaus das VPN auf dem ersten DC insatalliert hat, geht es natürlich nicht mehr, wenn der aus ist.....
da würde ich allerdings das systemhaus zum teufel jagen, sowas macht man(n) nicht ( Frau aber auch nicht)
also, wer ist für das VPN zuständig, hatte ich weiter oben gefragt! ist es eine Firewall / Router etc... trage dort bitte beide DNS adressen in die VPN config ein, dann wird alles gut!
ist der DC für dein VPN zuständig.... ändere das mal, und nutze einen VPN raouter /Firewall!
ich hoffe nur nicht, das jetzt FritzBox kommt....

Frank
Mitglied: nixwissender
nixwissender 30.06.2021 aktualisiert um 13:58:03 Uhr
Goto Top
Da wir den LANCOM Advanced VPN Client nutzen und als Gateway ein LANCOM 1781 VAW fungiert, gehe ich stark davon aus, dass darüber das VPN läuft. Ich kann zwar auf die Oberfläche zugreifen, weiß aber ehrlich gesagt nicht, wo ich die beiden DNS-Server eintragen kann/soll.

Bisher haben wir mit dem IT-Systemhaus eigentlich gute Erfahrungen gemacht und fühl(t)en uns gut aufgehoben. OK, wir sind auch keine NW-Profis, wie viele von Euch hier. :) face-smile

Und nein, es sind keine Fritzboxen im Einsatz!
Mitglied: Vision2015
Lösung Vision2015 30.06.2021 um 14:04:24 Uhr
Goto Top
Zitat von @nixwissender:

Da wir den LANCOM Advanced VPN Client nutzen und als Gateway ein LANCOM 1781 VAW fungiert, gehe ich stark davon aus, dass darüber das VPN läuft. Ich kann zwar auf die Oberfläche zugreifen, weiß aber ehrlich gesagt nicht, wo ich die beiden DNS-Server eintragen kann/soll.

Bisher haben wir mit dem IT-Systemhaus eigentlich gute Erfahrungen gemacht und fühl(t)en uns gut aufgehoben. OK, wir sind auch keine NW-Profis, wie viele von Euch hier. :) face-smile

Und nein, es sind keine Fritzboxen im Einsatz!

na dann trage doch den 2ten DNS im Client ein....
lancom
Mitglied: nixwissender
nixwissender 30.06.2021 aktualisiert um 14:17:37 Uhr
Goto Top
Das müsste ich dann zuhause nachsehen bzw. eintragen. Theoretisch müsste ich dann zumindest einen DNS-Server vorfinden (primärer DC).

Im GW selber muss ich nichts eintragen?

Und zum Testen muss ich von zuhause per VPN zugreifen, den primären DC runterfahren und hoffen, dass bei der erneuten Anmeldung per RPD die VPN-Verbindung aufgebaut wird. Ansonsten müsste ich erneut in die Firma fahren und den DC manuell starten.
Mitglied: Vision2015
Vision2015 30.06.2021 um 14:29:12 Uhr
Goto Top
Zitat von @nixwissender:

Das müsste ich dann zuhause nachsehen bzw. eintragen. Theoretisch müsste ich dann zumindest einen DNS-Server vorfinden (primärer DC).
wenn es so eingerichtet wurde ja!

Im GW selber muss ich nichts eintragen?
nicht zwingend, ich kenne jetzt nicht deine config- aber so sollte es gehen!

Und zum Testen muss ich von zuhause per VPN zugreifen, den primären DC runterfahren und hoffen, dass bei der erneuten Anmeldung per RPD die VPN-Verbindung aufgebaut wird. Ansonsten müsste ich erneut in die Firma fahren und den DC manuell starten.
irgendwas ist ja immer... :-) face-smile

sind das keine VMs, kommst du nicht per IP auf den Host?

Frank
Mitglied: nixwissender
nixwissender 30.06.2021 um 14:32:34 Uhr
Goto Top
Sorry, aber Deine letzte Frage verstehe ich jetzt nicht so ganz?
Mitglied: Vision2015
Vision2015 30.06.2021 um 15:16:40 Uhr
Goto Top
Moin...

den DC kannst du doch sicher auch remote starten... oder?

Frank
Mitglied: nixwissender
nixwissender 30.06.2021 aktualisiert um 15:34:16 Uhr
Goto Top
Falls mit remote der direkte Zugriff gemeint ist, nein, dass geht nicht. Ohne VPN-Zugriff komme ich nicht an den DC bzw. Host.

Ich habe die virtuelle Maschine so eingerichtet, dass der DC beim Reboot des Hosts automatisch mitstartet (was auch wunderbar funktioniert).
Mitglied: Vision2015
Vision2015 30.06.2021 um 15:40:15 Uhr
Goto Top
moin..

Zitat von @nixwissender:

Falls mit remote der direkte Zugriff gemeint ist, nein, dass geht nicht. Ohne VPN-Zugriff komme ich nicht an den DC bzw. Host.
natürlich mit VPN

Ich habe die virtuelle Maschine so eingerichtet, dass der DC beim Reboot des Hosts automatisch mitstartet (was auch wunderbar funktioniert).
ja das ist schon klar... aber kannst du den host nicht über die ip adresse erreichen?
also aus der ferne bedienen?

Frank
Mitglied: nixwissender
nixwissender 30.06.2021 um 15:49:00 Uhr
Goto Top
Ganz ehrlich: Das habe ich bisher noch nicht getestet. Das müsste/werde ich aber mal an diesem WE austesten, da ich sowieso am Host ein sterbendes RAM-Modul austauschen muss und somit vor Ort sein werde.
Mitglied: nixwissender
nixwissender 30.06.2021, aktualisiert am 05.07.2021 um 09:20:25 Uhr
Goto Top
Ich habe testweise eben den primären DC erneut runtergefahren und mich an einem anderen Client neu angemeldet. Leider ist es so, dass der Client, auch nach einer Minute, noch keine IP erhält und auch kein Internetzugriff möglich ist. Das wird angezeigt:

pic

Sobald aber der primäre DC wieder online ist, erhält der Client gleich eine IP und auch der Internetzugriff funktioniert wieder. Alles ohne mein Zutun!

Solange der Client angemeldet bleibt, also nicht neu angemeldet wird, ist alles im grünen Bereich.

Irgendwas scheint noch nicht zu passen!
Mitglied: Vision2015
Vision2015 30.06.2021 um 16:31:39 Uhr
Goto Top
Moin...

dein DHCP-Failover geht nicht, das würde ich prüfen!
Frank
Mitglied: nEmEsIs
nEmEsIs 30.06.2021 um 18:03:14 Uhr
Goto Top
Hi

Und wenn du dein DHCP Failover in den Griff bekommen hast prüfe mal auf deinem zweiten DNS ob dort auch eine DNS Weiterleitung analog zu deinem ersten DNS Server eingetragen ist. Dann klappt das auch mit dem Internet.
a44bf2c4-ab51-464c-95ca-27b1e4d96938.

Mit freundlichen Grüßen Nemesis
Mitglied: nixwissender
nixwissender 01.07.2021 aktualisiert um 08:30:02 Uhr
Goto Top
@Vision2015:
Der nachträgliche Eintrag der zweiten DNS-Adresse in der Config-Datei meines Profils im LANCOM Advanced VPN Client war die Lösung. Big THX again!

Ich konnte mich wieder problemlos verbinden, obwohl der primäre DC offline war und ich zwischenzeitlich auch die VPN-Verbindung getrennt hatte.

Zudem habe ich getestet, ob ich mich mittels der IP des Servers direkt über den Browser via BMC verbinden kann und siehe da, auch dass ist möglich. Somit habe ich direkten Zugriff auf den Server.

Eine Frage habe ich aber noch dazu: Das Passwort habe ich selbstverständlich gleich geändert, aber wie sieht's mit der IP aus? Sollte ich diese auf statisch einstellen? Aktuell erfolgt die Vergabe mittels DHCP.

Bzgl. DHCP-Failover: Ich richte es jetzt mal erneut ein, aber ich wüsste nicht, was ich falsch gemacht haben sollte, da alles problemlos durchgelaufen ist und alles soweit passen müsste. Hatte als Modus 'Lastenausgleich' genommen.


@nEmEsIs:
Die Weiterleitungen im zweiten DNS-Server sind identisch zum ersten.
Mitglied: Vision2015
Vision2015 01.07.2021 um 08:16:24 Uhr
Goto Top
Moin,

Zudem habe ich getestet, ob ich mich mittels der IP des Servers direkt über den Browser via BMC verbinden kann und siehe da, auch dass ist möglich. Somit habe ich direkten Zugriff auf den Server.

also dein host für die VMs sollte schon eine feste ip haben..... ist klar warum, nee :-) face-smile

Frank
Mitglied: nixwissender
nixwissender 01.07.2021 aktualisiert um 09:35:05 Uhr
Goto Top
Die Hosts für die VMs haben natürlich alle statische IP's. Es geht mir nur um die IPMI-Schnittstelle, die die IP dynamisch bekommt. Aber ich habe es jetzt auf statisch umgestellt.
Mitglied: nixwissender
nixwissender 01.07.2021 aktualisiert um 09:36:56 Uhr
Goto Top
Den DHCP-Failover habe ich jetzt erneut eingerichtet und wieder lief alles problemlos durch.
(Nicht wundern, ist nicht 2x dasselbe Bild)

dc01
dc02
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 09:18:30 Uhr
Goto Top
Trotz erneutem Einrichten des DHCP-Failovers funktioniert dieser immer noch nicht. Auf dem zweiten DHCP-Server erscheint ein roter Pfeil, sobald der erste DC offline ist.

Any advice?

dhcp_failover_fehler
Mitglied: lcer00
lcer00 05.07.2021 aktualisiert um 09:42:28 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Trotz erneutem Einrichten des DHCP-Failovers funktioniert dieser immer noch nicht. Auf dem zweiten DHCP-Server erscheint ein roter Pfeil, sobald der erste DC offline ist.

Any advice?

dhcp_failover_fehler

Überprüf mal die Firewallregeln. "DHCP-Server-Failover (TCP-Eingehend)" muss aktiviert sein.

Hast Du die beiden DHCP_Server im AD registriert? siehe auch https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Ansonsten überprüf mal dein DNS. Sagt zum beispiel nslookup <domänenname> auf beiden Servern das selbe?

Übrigends: Deine .local Domäne ist nicht RFC-Konform. .local ist für mDNS reserviert: https://datatracker.ietf.org/doc/html/rfc6762
Benutze besser .lokal oder irgend was anderes.

Grüße

lcer

PS: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

roter Pfeil dürfte bedeuten, dass der Server nicht im AD authorisiert ist.
Mitglied: nixwissender
nixwissender 05.07.2021 um 11:07:35 Uhr
Goto Top
Der DHCP-Server ist im AD authorisiert:

dc02_authorisierte server

Auch ist in der FW der DHCP-Server-Failover (TCP-Eingehend) zugelassen:

dc02_fw

So sieht das Ergebnis des nslookup-Befehls (DC 01 und DC 02) aus:

dc01_cmd
dc02_cmd
Mitglied: lcer00
lcer00 05.07.2021 um 11:39:12 Uhr
Goto Top
Zitat von @nixwissender:

Der DHCP-Server ist im AD authorisiert:

dc02_authorisierte server

Auch ist in der FW der DHCP-Server-Failover (TCP-Eingehend) zugelassen:

dc02_fw

So sieht das Ergebnis des nslookup-Befehls (DC 01 und DC 02) aus:

dc01_cmd
dc02_cmd

Warum steht da Server: UnKnown ????
Dort müsste bei richtig konfiguriertem DNS der FQDN des DCs stehen!

Grüße

lcer
Mitglied: Dani
Dani 05.07.2021 um 11:48:00 Uhr
Goto Top
@Icer00
Warum steht da Server: UnKnown ????
Dort müsste bei richtig konfiguriertem DNS der FQDN des DCs stehen!
Wird wohl daran liegen, dass der Server selbst als 1. DNS hinterlegt ist und somit IPv6 bevorzugt wird (::1 => localhost).


Gruß,
Dani
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 12:03:05 Uhr
Goto Top
Laut diesem Blogeintrag hier ( https://kosilov.de/nslookup-bringt-unknown-als-server ) ist es wohl eine fehlende Einstellung im DNS-Manager, genauer gesagt in der Reverse-Lookupzone.

So sehen die Einträge aus (DC 01 und DC 02):

dc_01_dns_rlz_1
dc_01_dns_rlz_2

Wieso beim ersten DC allerdings 'unkown' steht, weiß ich nicht.

Die DNS-Serveradressen in den TCPv4-Einstellungen sind kreuz und als sekundäre Adresse ist der localhost eingetragen.
Mitglied: lcer00
lcer00 05.07.2021 um 12:04:26 Uhr
Goto Top
Zitat von @nixwissender:

Laut diesem Blogeintrag hier ( https://kosilov.de/nslookup-bringt-unknown-als-server ) ist es wohl eine fehlende Einstellung im DNS-Manager, genauer gesagt in der Reverse-Lookupzone.

Du hast aber schon (mindestens) 2 revers-Lookup-Zonen?
100.168.192.in-addr.arpa und 110.168.192.in-addr.arpa

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 13:35:27 Uhr
Goto Top
Nur in der 110.168.192.in-addr.arpa sind die zwei DC als Zeiger (PTR) hinterlegt. Sowohl auf dem DC01 als auch auf dem DC02. Allerdings sind drei Reverse-Lookupzonen vorhanden.

dc
Mitglied: lcer00
lcer00 05.07.2021 um 13:59:25 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Nur in der 110.168.192.in-addr.arpa sind die zwei DC als Zeiger (PTR) hinterlegt. Sowohl auf dem DC01 als auch auf dem DC02. Allerdings sind drei Reverse-Lookupzonen vorhanden.

dc
hast Du nun 2 oder 3 DNS-Server? Alle Zonen sollten auf allen Servern existieren, idealerweise als AD-integrierte Zonen.

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 14:30:26 Uhr
Goto Top
Es sind nur zwei DNS-Server und auf beiden sind alle Reverse-Lookupzonen (korrekt) als AD-integrierte Zonen vorhanden.

pic
pic_2
Mitglied: lcer00
lcer00 05.07.2021 um 14:52:07 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Es sind nur zwei DNS-Server
Dein nslookup zeigt aber 3 DCs an!

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 15:09:08 Uhr
Goto Top
Was ich eben im DNS-Manager auf beiden Servern korrigiert habe, ist folgendes:

dns_1
dns_2

Anfangs stand jeweils bei dem localen DC immer 'unbekannt' (siehe Posts bzw. Bilder weiter oben). Allerdings ist im ersten Bild beim DC02 ein Sternchen vorhanden, was vorher auf beiden vorhanden war. Leider hat es am nslookup-Befehl nichts geändert.

EDIT: Das Sternchen ist plötzlich verschwunden.

Es gibt definitiv keinen dritten DNS-Server mit der angegebenen IP! Diese lässt sich nicht einmal anpingen.
Mitglied: lcer00
lcer00 05.07.2021 um 15:11:58 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Es gibt definitiv keinen dritten DNS-Server mit der angegebenen IP! Diese lässt sich nicht einmal anpingen.
Dein Active Directory behauptet das aber! Vielleicht hast Du ja mal früher einen falsch installiert und dann wieder entfernt. Falls der anders hieß als Deine aktuellen DCs, kannst Du das AD so bereinigen: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad ...

Ansonsten musst Du die Fehlerhaften Daten im DNS in AD manuell löschen. Durchforste als erstes mal alle DNS Einträge des AD nach der fehlerhaften Ip

Insbesondere die Einträge „ganz oben“ in den Zonen.

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 15:24:27 Uhr
Goto Top
Die Server wurden zwar neu installiert bzw. migriert, allerdings hat das ein IT-Systemhaus gemacht.
Es gab mal früher Server mit den IP's 192.168.100.3, 192.168.100.4 und 192.168.100.120.

Der alte Server mit der IP 192.168.100.3 war auch der DC.

Und auf beiden DNS-Servern wurde ich auch fündig, bin mir aber nicht sicher, ob ich das einfach so löschen sollte/kann.

dns_1
Mitglied: lcer00
lcer00 05.07.2021 um 15:34:56 Uhr
Goto Top
Oh je,
Zitat von @nixwissender:

Die Server wurden zwar neu installiert bzw. migriert, allerdings hat das ein IT-Systemhaus gemacht.
Es gab mal früher Server mit den IP's 192.168.100.3, 192.168.100.4 und 192.168.100.120.

Der alte Server mit der IP 192.168.100.3 war auch der DC.

Und auf beiden DNS-Servern wurde ich auch fündig, bin mir aber nicht sicher, ob ich das einfach so löschen sollte/kann.
Du musst das löschen. Irgend ein Client wird immer wieder versuchen, auf den verschwundenen DC zu erreichen. Das erklärt dann auch einiges an Problemen.

Bei Active Directory integrierten Zonen musst Du allerdings die Einträge teilweise mit ADSI-Edit löschen. Da kann auch was schiefgehen, wenn Du das falsche löschst.

Als erstes schaust Du in die Registrierkarten der Zonen und löschst alle falschen Einträge. Dann die falschen Einträge in den Zonen selbst. Für alles, was hartnäckig wieder auftaucht, brauchst Du dann ADSI-Edit.

Falls Du noch die alten Namen der DCs kennst, und diese nicht identisch mit den neuen Namen sind, würde ich es aber zuerst mit ntdsutil cleanupmetadata versuchen.

Jedenfalls hat der, der die alten DCs abgeschaltet hat, Mist gebaut.

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 16:19:08 Uhr
Goto Top
Erklärt das das Problem, dass der DHCP-Failover nicht funktioniert bzw. der DNS-Server ein rotes Pfeil anzeigt oder ist das nur letztendlich nur eine 'kosmetische' Sache?

Es war nur ein DC und ja, den Namen weiß ich noch, weil ich mir vor der ganzen Umstellung die Mühe gemacht hatte, mir die IP's mit den dazugehörigen Namen zu notieren.

Bevor ich aber da etwas verpfusche, werde ich das vom IT-Systemhaus machen lassen.

Und noch zwei weitere Einträge:

dns_2
pic_4
Mitglied: lcer00
lcer00 05.07.2021 um 15:50:51 Uhr
Goto Top
Zitat von @nixwissender:

Erklärt das das Problem, dass der DHCP-Failover nicht funktioniert bzw. der DNS-Server ein rotes Pfeil anzeigt oder ist das nur letztendlich nur eine 'kosmetische' Sache?
Na das siehst Du doch an dem Nslookup. Der Client erhält einen falschen DC als „Kontaktadresse“. Wenn es dumm läuft, schaltet z.B. die Firewall des DCs auf „privat“. Hast Du das mal überprüft?
Es war nur ein DC und ja, den Namen weiß ich noch, weil ich mir vor dem ganzen Umstellung die Mühe gemacht hatte, mir die IP's mit den dazugehörigen Namen zu notieren.

Bevor ich aber da etwas verpfusche, werde ich das vom IT-Systemhaus machen lassen.
so würde ich das an Deiner Stelle auch machen.

Grüße

lcer
Mitglied: nixwissender
nixwissender 05.07.2021 aktualisiert um 16:02:44 Uhr
Goto Top
Was ich aber jetzt gesehen habe ist, dass wenn ich den nslookup-Befehl von meinem Client aus aufrufe, folgendes erscheint:

cmd

Die Aufrufe davor waren alle per RDP auf dem DC selber.
Mitglied: lcer00
lcer00 05.07.2021 um 17:06:38 Uhr
Goto Top
Zitat von @nixwissender:

Was ich aber jetzt gesehen habe ist, dass wenn ich den nslookup-Befehl von meinem Client aus aufrufe, folgendes erscheint:

cmd

Die Aufrufe davor waren alle per RDP auf dem DC selber.
Die 3 IPs unten stellen die 3 DCs Deiner Domäne dar. Einen davon gibt es nicht. Das musst Du beheben, sonst schlägt immer mal irgendeine Abfrage fehl.

Stehen die alten DCs eigentlich noch bei „Active Directory Standorte und Dienste“ drin?

Grüße

lcer
Mitglied: nixwissender
nixwissender 06.07.2021 aktualisiert um 08:07:50 Uhr
Goto Top
Zitat von @lcer00:

Stehen die alten DCs eigentlich noch bei „Active Directory Standorte und Dienste“ drin?

Ja, stehen sie!

pic

Kann ich diese denn einfach so löschen?
Mitglied: lcer00
lcer00 06.07.2021 um 08:29:01 Uhr
Goto Top
Hallo,
Zitat von @nixwissender:

Zitat von @lcer00:

Stehen die alten DCs eigentlich noch bei „Active Directory Standorte und Dienste“ drin?

Ja, stehen sie!

pic

Kann ich diese denn einfach so löschen?
siehe z.B. https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...

Normalerweise entfernt man von einem DC die Active-Directory Rolle ("Herunterstufen" zum Member-Server), wartet die Active-Directory-Replication ab, entfernt ihn aus der Domäne ("mit Arbeitsgruppe verbinden") und schaltet ihn erst dann ab. Bei Dir sind die DCs aber einfach ohne die genannten Schritte abzuarbeiten einfach abgeschaltet worden. Da muss man dann wie beschrieben manuell nacharbeiten.

Prinzipiell kannst Du das alles "einfach" löschen, da die Server ja sowieso nicht mehr existieren. Lediglich das Bereinigen des DNS und ggf. der Zertifizierungsstelle oder alter DHCP-Server (bei Dir nicht) muss man ggf. manuell im Active Directory editieren.

Grüße

lcer
Mitglied: nixwissender
nixwissender 06.07.2021 um 10:28:35 Uhr
Goto Top
Ich habe sie jetzt manuell entfernt und bis jetzt läuft noch alles rund. :) face-smile

Nun will ich die alten Server auch im DNS (habe noch einige Einträge gefunden bspw. Host (A-Einträge) manuell löschen mit der Hoffnung, dass ich nichts lahmlege. Theoretisch sollte es zu keinem Problem kommen, da die Server sowieso offline sind und somit seit Monaten ohne jegliche Funktion sind. Zudem ist die IP auch nicht vorhanden.

Big THX @Iceer00

pic
pic2
Mitglied: Dani
Dani 06.07.2021 um 10:44:37 Uhr
Goto Top
Moin,
Ich habe sie jetzt manuell entfernt und bis jetzt läuft noch alles rund. :) face-smile face-smile
Der Zaubersatz heißt: Clean up Active Directory Domain Controller server metadata


Gruß,
Dani
Mitglied: lcer00
lcer00 06.07.2021 aktualisiert um 10:48:49 Uhr
Goto Top
Zitat von @nixwissender:

Ich habe sie jetzt manuell entfernt und bis jetzt läuft noch alles rund. :) face-smile

Nun will ich die alten Server auch im DNS (habe noch einige Einträge gefunden bspw. Host (A-Einträge) manuell löschen mit der Hoffnung, dass ich nichts lahmlege. Theoretisch sollte es zu keinem Problem kommen, da die Server sowieso offline sind und somit seit Monaten ohne jegliche Funktion sind. Zudem ist die IP auch nicht vorhanden.

Big THX @Iceer00

pic
pic2

  • sind das Active-Directory-Integirerte Zonen? DNS-Manager rechtsklick auf Zonen -> Eigenschaften -> Allgemein: Typ
  • hast Du wie oben schon geschrieben ntdsutil cleanupmetadata gemacht?

Grüße

lcer

PS: @Dani der Link stand oben schon ... :) face-smile , ober der TO den gelesen hat?
Mitglied: nixwissender
nixwissender 06.07.2021 aktualisiert um 11:13:49 Uhr
Goto Top
Zitat von @lcer00:


  • sind das Active-Directory-Integirerte Zonen? DNS-Manager rechtsklick auf Zonen -> Eigenschaften -> Allgemein: Typ
  • hast Du wie oben schon geschrieben ntdsutil cleanupmetadata gemacht?


Ja, die Befehle habe ich angewandt, konnte es aber nicht zu Ende bringen, da kein alter Server gefunden wurden.

Wo soll das mit den Zonen sein?
Mitglied: lcer00
lcer00 06.07.2021 um 11:15:44 Uhr
Goto Top
Zitat von @nixwissender:

Zitat von @lcer00:


  • sind das Active-Directory-Integirerte Zonen? DNS-Manager rechtsklick auf Zonen -> Eigenschaften -> Allgemein: Typ
  • hast Du wie oben schon geschrieben ntdsutil cleanupmetadata gemacht?


Ja, die Befehle habe ich angewandt, konnte es aber nicht zu Ende bringen, da kein alter Server gefunden wurden.

Wo soll das mit den Zonen sein?

DNS-Manager -> Forward-Lookup-Zonen -> <DNS-Zone> -> Eigenschaften: Reiter Allgemein: im Textsteht irgendwo Typ: XXXXXXXX

Grüße

lcer
Mitglied: nixwissender
nixwissender 06.07.2021 um 11:40:29 Uhr
Goto Top
Wie war das mit dem Wald vor lauter Bäumen.......?

pic_1
pic_2
Mitglied: lcer00
lcer00 06.07.2021 um 13:15:15 Uhr
Goto Top
OK, Active-Directory integriert.

Wenn ntdsutil fehlschlägt, musst Du das manuell machen. Zuerst alles im DNS-Manager löschen was Du findest - in jedem Unterknoten. Dann warten (Active-Directory-Replikationsintervall + Zeit DNS-Zonen Reload). Die DNS-Zonen werden regelmäßig vom DNS-Server aus dem AD geladen. Wenn dann alles "weg" bleibt, ist es gut.

Alternativ, mit Powershell: https://devblogs.microsoft.com/scripting/clean-up-domain-controller-dns- ...

Grüße

lcer
Mitglied: nixwissender
nixwissender 06.07.2021 um 13:40:58 Uhr
Goto Top
Zitat von @lcer00:

OK, Active-Directory integriert.

Wenn ntdsutil fehlschlägt, musst Du das manuell machen. Zuerst alles im DNS-Manager löschen was Du findest - in jedem Unterknoten.

So hatte ich es mir auch gedacht, dass ich alle nicht mehr vorhandenen Server lösche, die ich finde. In den Reverse-Lookupzonen ist ja soweit alles clean und bei den Forward-Lookupzonen hangel ich mich jetzt einfach durch.

Wenn soweit alles gecleant ist und nslookup keinen alten DNS-Server mehr anzeigt, sollte endlich der DHCP-Failover funktionieren, oder? - Das war eigentlich mein ursprüngliches Problem. :) face-smile
Mitglied: lcer00
lcer00 06.07.2021 um 13:50:41 Uhr
Goto Top
Wollen wir hoffen, das Jungs vom Systemhaus nicht noch andere Eier gelegt haben.

Grüße

lcer
Mitglied: nixwissender
nixwissender 06.07.2021 aktualisiert um 13:58:12 Uhr
Goto Top
Diese lösche ich auch, außer DC01 und DC02.

pic
Mitglied: nixwissender
nixwissender 06.07.2021 um 15:52:39 Uhr
Goto Top
Das zeigt der nslookup-Befehl nun, nachdem ich alle Einträge im DNS-Server gelöscht habe, die ich gefunden habe.

pic

Jetzt muss ich nochmals den DHCP-Failover testen.
Mitglied: nixwissender
nixwissender 06.07.2021 um 16:20:10 Uhr
Goto Top
Leider besteht das Problem weiterhin...... :( face-sad
Mitglied: Vision2015
Vision2015 06.07.2021 um 16:45:50 Uhr
Goto Top
Zitat von @nixwissender:

Leider besteht das Problem weiterhin...... :( face-sad

sach mal, du bist ja schon einige tage mit deinem Problem beschäftigt, denkst du nicht, das es an der zeit währe, dein Problem von einer Fachfirma lösen zu lassen?

Frank
Mitglied: lcer00
lcer00 06.07.2021 um 19:31:08 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @nixwissender:

Leider besteht das Problem weiterhin...... :( face-sad

sach mal, du bist ja schon einige tage mit deinem Problem beschäftigt, denkst du nicht, das es an der zeit währe, dein Problem von einer Fachfirma lösen zu lassen?
Na ja, da war ja eine „Fachfirma“ dran. Das Ergebnis ja gut nachzulesen. So was ähnliches war auch mein Problem, als ich hier vor Jahren die ersten Fragen stellte. Welcher Fachfirma soll der TO denn vertrauen?

@nixwissender Jetzt solltest Du die Protokolle des DHCP Servers durchsehen.

Grüße

lcer
Mitglied: lcer00
lcer00 06.07.2021 um 19:45:16 Uhr
Goto Top
Ach Ja, der Wald und die Bäume. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Roter Pfeil: Failover ist Konfiguriert.

War das nicht der Plan?

Grüße

lcer
Mitglied: Vision2015
Vision2015 06.07.2021 um 20:42:01 Uhr
Goto Top
Zitat von @lcer00:

Zitat von @Vision2015:

Zitat von @nixwissender:

Leider besteht das Problem weiterhin...... :( face-sad

Moin...
sach mal, du bist ja schon einige tage mit deinem Problem beschäftigt, denkst du nicht, das es an der zeit währe, dein Problem von einer Fachfirma lösen zu lassen?
Na ja, da war ja eine „Fachfirma“ dran.
das ist ja das schlimme... :-( face-sad
Das Ergebnis ja gut nachzulesen. So was ähnliches war auch mein Problem, als ich hier vor Jahren die ersten Fragen stellte. Welcher Fachfirma soll der TO denn vertrauen?
was soll ich jetzt sagen... nimm mich, oder was 😹
jetzt mal im ernst, die Zeit vom TO will ja auch Bezahlt werden- wäre es nicht besser jemand zu Beauftragen- zumal da ja eine Firma dranhängt.
eigentlich ist das ein 30 minuten Job... gut mit entkernen etc.. aus dem Bauch ne Stunde, dann ist aber gut :-) face-smile

@nixwissender Jetzt solltest Du die Protokolle des DHCP Servers durchsehen.
jupp... soll er.

Grüße

lcer
Frank
Mitglied: nixwissender
nixwissender 07.07.2021 um 08:14:48 Uhr
Goto Top
Zitat von @Vision2015:

sach mal, du bist ja schon einige tage mit deinem Problem beschäftigt, denkst du nicht, das es an der zeit währe, dein Problem von einer Fachfirma lösen zu lassen?


Nein! :) face-smile

Ich habe die Sache mit dem DHCP-Failover in die Wege geleitet und dabei sind einige 'Bugs' aufgefallen, die ich nun mit Hilfe von @Icer00 zu lösen versuche. Big THX again!

Ist dasselbe wie mit dem DNS-Server-Problem, was auch mit Eurer Hilfe gelöst werden konnte. Big THX again @Vision2015

Des Weiteren betrachte ich das alles unter dem Aspekt Learning-by-doing. Es kam ja schließlich nicht jeder gleich als Voll-Domänenprofi auf die Welt, und ich habe das Glück, dass ich die Zeit dafür aufopfern/bringen kann. Selbstverständlich alles nebenbei! :) face-smile

Und schlussendlich kann das alles evtl. mal jemand Anderem in ähnlicher/gleicher Situation nur durch das Lesen dieses Threads weiterhelfen. :) face-smile

So, nun aber back2topic:

dhcp_3
dhcp_1

Das kommt bei der nslookup-Abfrage raus:

dhcp_2

Weder die Protokolle des DHCP- noch des DNS-Servers zeigen irgendwelche Fehler auf, sondern nur einige Warnungen, die aber nichts mit dem Problem an sich zu tun haben.
Mitglied: lcer00
lcer00 07.07.2021 um 08:58:38 Uhr
Goto Top
Hallo
Zitat von @nixwissender:

So, nun aber back2topic:

dhcp_3
dhcp_1
Das dürfte doch so OK sein? Hast Du mal probiert, ob Clients DHCP-Adressen erhalten wenn einer der DCs aus ist? (ipconfig /renew)

Das kommt bei der nslookup-Abfrage raus:

dhcp_2

Weder die Protokolle des DHCP- noch des DNS-Servers zeigen irgendwelche Fehler auf, sondern nur einige Warnungen, die aber nichts mit dem Problem an sich zu tun haben.

Ist das nslookup nach dem abschalten des einen DCs entstanden? Wenn ja, hast Du nicht lange genug gewartet und der DNC-Client hat noch nicht mitbekommen, dass der DC offline ist (vorausgesetzt, der Client weiss um beide DNS-Server)

Grüße

lcer
Mitglied: nixwissender
nixwissender 07.07.2021 aktualisiert um 09:29:03 Uhr
Goto Top
Zitat von @lcer00:

Das dürfte doch so OK sein? Hast Du mal probiert, ob Clients DHCP-Adressen erhalten wenn einer der DCs aus ist? (ipconfig /renew)

Ist das nslookup nach dem abschalten des einen DCs entstanden? Wenn ja, hast Du nicht lange genug gewartet und der DNC-Client hat noch nicht mitbekommen, dass der DC offline ist (vorausgesetzt, der Client weiss um beide DNS-Server)

Der primäre DC war aus und der nslookup-Befehl wurde an meinem laufenden Client abgesetzt.

Danach habe ich einen anderen Client eingeschaltet, der vorher aus war. Und die Clients wissen von beiden DNS-Servern. Wie bereits mehrfach geschrieben, dauert die Anmeldung der Clients auch um einiges länger.

Unter einem DHCP-Failover verstehe ich, dass dieser beim Ausfall gleich greift und der User nichts mitbekommt, oder?
Mitglied: Vision2015
Vision2015 07.07.2021 aktualisiert um 09:43:32 Uhr
Goto Top
Moin....
Zitat von @nixwissender:

Zitat von @lcer00:

Das dürfte doch so OK sein? Hast Du mal probiert, ob Clients DHCP-Adressen erhalten wenn einer der DCs aus ist? (ipconfig /renew)

Ist das nslookup nach dem abschalten des einen DCs entstanden? Wenn ja, hast Du nicht lange genug gewartet und der DNC-Client hat noch nicht mitbekommen, dass der DC offline ist (vorausgesetzt, der Client weiss um beide DNS-Server)

Der primäre DC war aus und der nslookup-Befehl wurde an meinem laufenden Client abgesetzt.
das kann schon mal etwas dauern...
verteilt dein DHCP den auch beide DNS Server?

Danach habe ich einen anderen Client eingeschaltet, der vorher aus war. Und die Clients wissen von beiden DNS-Servern. Wie bereits mehrfach geschrieben, dauert die Anmeldung der Clients auch um einiges länger.
haben beide DNS Server die AD Rolle, sind also DCs?
hast du auf allen DCs auch eine sysvoll freigabe?

Unter einem DHCP-Failover verstehe ich, dass dieser beim Ausfall gleich greift und der User nichts mitbekommt, oder?
nun, wenn der User eine DHCP Lease hat, wird die sich auch nicht bis zum release, also üblicherweise 8 Stunden ändern...
der 2 DC/DNS ist ja noch da, und kann auflösen!

ein Neuer User, also ein PC der frisch eingeschaltet wird, bekommt dann ein IP vom DHCP2... und die auflösung kommt von DNS2...
wenn die anmeldung länger dauert, stimmt etwas nicht mit deinem AD gebilde, bei einer anmeldung länger als 30 Sekunden kommen die daten aus dem cache! (zieh mal den Netzwerk Stecker, und melde dich an... geht ja auch)

Frank
Mitglied: lcer00
lcer00 07.07.2021 um 09:51:59 Uhr
Goto Top
Als Erklärung zum DHCP-Protokoll: siehe https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-R ...

  • Der Client hat eine IP per DHCP erhalten und sich gemerkt, von welchem DHCP-Server die IP kam.
  • Der Client fordert (normalerweise nach der Hälfte der Leasezeit) eine neue IP an
  • Dazu sendet der Client wieder DHCPREQUESTs per Unicast an den Server, der die IP-Konfiguration vergeben hat.
  • Ist der Server weg, schickt der anschließend ein DHCPREQUESTs per Broadcast ins LAN
  • Jetzt erst kann der "Failover-DHCP-Server" antworten, vorher wusste er noch nichts vom bedürftigen Client.

Grüße

lcer
Mitglied: Vision2015
Vision2015 07.07.2021 um 09:55:44 Uhr
Goto Top
Moin... Nachtrag...

Beim DHCP Modus Lastenausgleich verteilen beide DHCP server in der regel 50% / 50% die ip adressen, machte das dein DHCP gebilde?
sind alle deine Netze im Reverse-Lookup eingetragen?

Frank
Mitglied: nixwissender
nixwissender 07.07.2021 aktualisiert um 11:44:52 Uhr
Goto Top
Das sind die Rollen, die vom IT-Systemhaus installiert und eingerichtet worden sind (DC01 und DC02).

server_1
server_2

Folgendes (von heute Morgen) zeigt die Ereignisanzeige bei beiden DHCP-Servern an:

server_1_dhcp
server_2_dhcp

Folgendes bei beiden DNS-Servern:

server_1_dns
server_2_dns

Zitat von @Vision2015:

Beim DHCP Modus Lastenausgleich verteilen beide DHCP server in der regel 50% / 50% die ip adressen, machte das dein DHCP gebilde?
sind alle deine Netze im Reverse-Lookup eingetragen?

Ja und ja! :) face-smile

failover
rlz_1
rlz_2
Mitglied: Vision2015
Vision2015 07.07.2021 um 11:49:53 Uhr
Goto Top
Zitat von @nixwissender:

Das sind die Rollen, die vom IT-Systemhaus installiert und eingerichtet worden sind (DC01 und DC02).

server_1
server_2

Folgendes (von heute Morgen) zeigt die Ereignisanzeige bei beiden DHCP-Servern an:

server_1_dhcp
server_2_dhcp

Folgendes bei beiden DNS-Servern:

server_1_dns
server_2_dns

Zitat von @Vision2015:

Beim DHCP Modus Lastenausgleich verteilen beide DHCP server in der regel 50% / 50% die ip adressen, machte das dein DHCP gebilde?
sind alle deine Netze im Reverse-Lookup eingetragen?

Ja und ja! :) face-smile

failover
rlz_1
rlz_2

nun... ich sehe keine 2 DHCP Server wo abwechselnd ips verteilt werden...
hast du 10 PCs würde ich auf jeden DHCP Server 5 pcs sehen die eine ip bekommen haben...
Mitglied: lcer00
lcer00 07.07.2021 um 11:56:35 Uhr
Goto Top
Zitat von @nixwissender:

Das sind die Rollen, die vom IT-Systemhaus installiert und eingerichtet worden sind (DC01 und DC02).

server_1
server_2

Folgendes (von heute Morgen) zeigt die Ereignisanzeige bei beiden DHCP-Servern an:

server_1_dhcp
server_2_dhcp
Ist egal...
Folgendes bei beiden DNS-Servern:

server_1_dns
.. auch egal!
server_2_dns

Das ist ein Problem. schau mal hier: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/ ...

Du hast die beiden DCs aber nicht als RODC installiert, oder? Wenn nicht, stimmt immer noch etwas mit Deinem AD oder DNS nicht.

Grüße

lcer
Mitglied: nixwissender
nixwissender 07.07.2021 aktualisiert um 12:01:28 Uhr
Goto Top
Wenn ich im DCHP-Server den zweiten autorisierten Server einbinde, ist dieser beim nächsten Aufruf wieder verschwunden.

[Ich habe bald echt keine Lust mehr]
Mitglied: Vision2015
Vision2015 07.07.2021 um 12:08:57 Uhr
Goto Top
Zitat von @nixwissender:

Wenn ich im DCHP-Server den zweiten autorisierten Server einbinde, ist dieser beim nächsten Aufruf wieder verschwunden.wie wie verschwunden?

[Ich habe bald echt keine Lust mehr]
verstehe ich... deswegen sach ich ja Fachfirma :-) face-smile

du hast meine frage weiter oben nicht beantwortet:

haben beide DNS Server die AD Rolle, sind also DCs?
hast du auf allen DCs auch eine sysvoll freigabe?
ist dcdiag ohne fehler?
Mitglied: nixwissender
nixwissender 07.07.2021 um 12:28:10 Uhr
Goto Top
Alle Tests bis auf einen auf dem DC02 wurden bestanden.

cmd_1
cmd_2
Mitglied: Vision2015
Vision2015 07.07.2021 um 13:06:27 Uhr
Goto Top
Zitat von @nixwissender:

Alle Tests bis auf einen auf dem DC02 wurden bestanden.

cmd_1
cmd_2

hat dc02 eine sysvol freigabe ?

dc02 schein nicht richtig zu fuktionieren
Mitglied: nixwissender
nixwissender 07.07.2021 aktualisiert um 15:51:04 Uhr
Goto Top
Ja, ich komme auch problemlos (bei beiden DCs) drauf.

dc01
dc02
Mitglied: nixwissender
nixwissender 07.07.2021 aktualisiert um 16:00:16 Uhr
Goto Top
Folgendes erscheint in der Ereignisanzeige (DC01 und DC02):

dfs_1
dfs_2

Zu dieser Zeit hatte ich den DC01 testweise runtergefahren.
Mitglied: lcer00
lcer00 07.07.2021 um 16:01:08 Uhr
Goto Top
Zitat von @nixwissender:

Folgendes erscheint in der Ereignisanzeige (DC01 und DC02):

dfs_1
dfs_2
Der Fehler tritt auch auf, wenn eine Replikation geplant ist, und Du einen DC zu Testzwecken abgeschaltet hast.

Grüße

lcer
Mitglied: nixwissender
nixwissender 08.07.2021 aktualisiert um 08:51:00 Uhr
Goto Top
Ich habe den gestrigen Test wiederholt und jetzt habe beide DC diesen bestanden.

cmd_1
cmd_2

Allerdings habe ich einen anderen Fehler auf dem DC01. Ich habe aber keine Einstellungen verändert.

cmd_1a
Mitglied: nixwissender
nixwissender 09.07.2021 aktualisiert um 08:26:27 Uhr
Goto Top
Ich peil's einfach nicht! :( face-sad

Wenn ich den DHCP-Server Dienst auf dem ersten DC abschalte, müsste der zweite DHCP-Server übernehmen (jedenfalls suggeriert der rote Pfeil dies), aber so ist es leider nicht.

Könnte es evtl. daran liegen, dass ich beim Erstellen des DHCP-Failover nicht jeden Bereich separat eingerichtet habe, sondern direkt über 'IPv4' gegangen bin, was aber problemlos funktioniert hat? - Die Bereiche sind alle vorhanden und auch die IP's werden entsprechend angezeigt/entfernt.

dhcp

Oder hat es etwas damit zu tun, dass ich keinen Haken bei 'Nachrichtenauthentifizierung aktivieren' gesetzt habe? Soweit ich das richtig gelesen und verstanden habe, ist das nur vonnöten, wenn die beiden DHCP-Server an unterschiedlichen Standorten stehen.
Mitglied: lcer00
lcer00 09.07.2021 um 08:35:36 Uhr
Goto Top
Zitat von @nixwissender:

Ich peil's einfach nicht! :( face-sad

Wenn ich den DHCP-Server Dienst auf dem ersten DC abschalte, müsste der zweite DHCP-Server übernehmen (jedenfalls suggeriert der rote Pfeil dies), aber so ist es leider nicht.

Wie hast Du das geprüft?
Mitglied: nixwissender
nixwissender 09.07.2021 um 09:20:45 Uhr
Goto Top
Einmal habe ich den DC komplett runtergefahren, das andere Mal nur den Dienst beendet. Danach habe ich einen ausgeschalteten Client hochgefahren. Dabei hat die Anmeldung wieder länger gedauert, und der Client hat keine IP erhalten. Sobald aber der DC oder der Dienst wieder läuft, bekommt der Client sofort eine IP zugewiesen.
Mitglied: lcer00
lcer00 09.07.2021 um 09:46:06 Uhr
Goto Top
Zitat von @nixwissender:

Einmal habe ich den DC komplett runtergefahren, das andere Mal nur den Dienst beendet. Danach habe ich einen ausgeschalteten Client hochgefahren. Dabei hat die Anmeldung wieder länger gedauert, und der Client hat keine IP erhalten. Sobald aber der DC oder der Dienst wieder läuft, bekommt der Client sofort eine IP zugewiesen.

Hast Du überprüft, ob der Client auch beide DCs erreichen kann?

Zur Fehlersuche wäre es unter Umständen auch hilfreich, auf dem DC mit Wireshark zu schauen, ob dort überhaupt DHCP-Pakete ankommen. Außerdem kann en nicht schaden zu schauen, ob auf dem Switch (welcher?) ggf. ein DHCP-Schutzmechanismus aktiviert ist. Bei besseren Switches kann man DHCP-Server-Pakete für bestimmte Ports einschränken.

Gleiches gilt für eventuelle Drittanbieterfirewalls, die nur vordefinierte DHCP-Server erlauben.

Und, da du ja ein geroutetes Netz hast, gilt das ggf. auch für die Routerfirewall. Vielleicht sind da ja Regeln/Aliase definiert.

Grüße

lcer
Mitglied: nixwissender
nixwissender 09.07.2021 aktualisiert um 10:33:32 Uhr
Goto Top
Mit dem Client kann ich problemlos beide DCs anpingen. Wir haben Switches von Aruba in Nutzung, aber ich denke nicht, dass es an diesen liegt. Sonst würde doch die Einrichtung des DHCP-Failovers bzw. die Kommunikation über die VLANs hinweg nicht funktionieren, oder? Das IT-Systemhaus wird das schon richtig konfiguriert haben und bisher hatten wir mit den VLANs auch keine Probleme. Wir setzen aktuell noch Kaspersky ein.
Mitglied: lcer00
lcer00 09.07.2021 um 10:36:32 Uhr
Goto Top
Zitat von @nixwissender:

Mit dem Client kann ich problemlos beide DCs anpingen. Wir haben Switches von Aruba in Nutzung, aber ich denke nicht, dass es an diesen liegt. Sonst würde doch die Einrichtung des DHCP-Failovers bzw. die Kommunikation über die VLANs hinweg nicht funktionieren, oder?
Das hat damit nix zu tun. Deine Stichwort ist "DHCP snooping".
https://de.wikipedia.org/wiki/DHCP-snooping
Das IT-Systemhaus wird das schon richtig konfiguriert haben
So so ..
und bisher hatten wir mit den VLANs auch keine Probleme. Wir setzen aktuell noch Kaspersky ein.
Und? Ist da eventuell so etwas eingestellt?

Und der Router? - Oder sind die Clients im selben Segment wie der Server?

Grüße

lcer
Mitglied: nixwissender
Lösung nixwissender 09.07.2021 aktualisiert um 11:33:38 Uhr
Goto Top
Im Kaspersky Security Center konnte ich in den Firewall-Richtlinien nichts sehen, was etwas blockieren könnte.

Ich habe mir die running-config des Gateways angesehen und da ist mir folgendes aufgefallen. Bei den VLANs 100, 120 und 130 ist stets die ip helper-address 192.168.110.3 eingetragen, was letzten Endes die IP des primären DCs ist. Die des zweiten DC steht nirgends. Ob das was damit zu tun haben könnte?

cs_01
cs_02
cs_03
cs_04

Evtl. hiermit korrigieren? https://bernhardhoerl.com/2021/02/03/dhcp-relay-auf-aruba-switches-konfi ...
Mitglied: lcer00
Lösung lcer00 09.07.2021 um 12:07:04 Uhr
Goto Top
Zitat von @nixwissender:

Im Kaspersky Security Center konnte ich in den Firewall-Richtlinien nichts sehen, was etwas blockieren könnte.

Ich habe mir die running-config des Gateways angesehen und da ist mir folgendes aufgefallen. Bei den VLANs 100, 120 und 130 ist stets die ip helper-address 192.168.110.3 eingetragen, was letzten Endes die IP des primären DCs ist. Die des zweiten DC steht nirgends. Ob das was damit zu tun haben könnte?
Na klar, Wenn die Clients nicht im selben Netz sind, muss ein DHCP-Relay die zum DHCP-Server schicken. Wenn das Relay dessen Adresse nicht kennt - wie soll das dann gehen? Du musst beim DHCP-Relay / Hepler natürlich alle DHCP-Server eintragen!

Grüße

lcer
Mitglied: nixwissender
nixwissender 09.07.2021 aktualisiert um 13:04:31 Uhr
Goto Top
Es funktioniert! :) face-smile :) face-smile :) face-smile :) face-smile :) face-smile

Genau das war es, was noch gefehlt hat. Letzten Endes war das Problem stets, dass der zweite DC, auf dem alle Dienste laufen, nicht 'bekannt' war. Sowohl beim VPN-Zugriff als auch beim DHCP-Failover.

Jetzt ist er aber definitiv überall 'ein bekannter Hund'. :) face-smile

Und ich habe wieder einiges dazu gelernt. :) face-smile


BIG THX again @Icer00
Mitglied: lcer00
lcer00 09.07.2021 um 12:46:19 Uhr
Goto Top
Hallo
Zitat von @nixwissender:

Und ich habe wieder einiges dazu gelernt. :) face-smile
Das ist schön zu hören. War aber auch eine Schwierige Geburt - DHCP-Server, Active Directory-Probleme und dann noch das Relay....

BIG THX again @Icer00
gerne!

Grüße

lcer
Heiß diskutierte Beiträge
general
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSAStefanKittelVor 1 TagAllgemeinViren und Trojaner17 Kommentare

Hallo, in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss. Warum ist das ein Problem? "Die Umsetzung der ...

question
Exchange direkt in das Internet?leon123Vor 1 TagFrageExchange Server20 Kommentare

Hi zusammen, darf euer Exchange direkt in das Internet? Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ...

question
LAN patchenNxtrexVor 1 TagFrageSwitche und Hubs9 Kommentare

Hallo, ich habe im Serverraum der Firma einen Router, dessen Signal per LAN an einen Serverschrank in der Halle geleitet werden soll. Der Switch in ...

question
ISOs von Microsoft - einheitlich oder nicht?DerWoWussteVor 1 TagFrageMicrosoft9 Kommentare

Ich grüße Euch. Wenn wir ISO-Dateien runterladen, dann nehmen wir sie aus dem VLSC. Da legt man Sprache fest, Architektur, Edition und natürlich auch den ...

question
Unifi VPN soll nicht den ganzen Traffic über das Lokale Netzwerk routen gelöst Dino47Vor 1 TagFrageNetzwerke34 Kommentare

Hallo, ich habe eine Frage bezüglich eines VPN Problems. Es bestehen sogar zwei Probleme, aber als erstes einmal einige Informationen: Wir haben eine VPN umstellung ...

question
PFSense HardwareBosnigelVor 1 TagFrageRouter & Routing29 Kommentare

Moin! Ich will mich in das Thema PFSense einarbeiten. Das Tutorial von aqui hab ich mir natürlich schon angeschaut. Danke aqui dafür. Nur die dort ...

question
PC zusammenbauen PC Zusammenstellung (IT Praktikant)nachgefragtVor 1 TagFrageHardware12 Kommentare

Guten Morgen Zusammen, die Tage bekommen wir einen Praktikanten, damit dieser mal das Innenleben einen PCs kennenlernt würde ich ihn gern mit Hilfe von YouTube ...

info
Ein böser Bube in freier Wildbahn (hier .IMG Datei)wolfbleVor 18 StundenInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...