ak-47.2
Goto Top

DNS-Server verrichtet Dienst nicht vernünftig

Liebes Forum,

im Zuge einer Windows Server 2019 Installation habe ich heute den ersten Server als DC hochgestuft und im Zuge dessen den für das AD notwendige DNS-Dienst installiert.

Bei der Installation und Konfiguration ging soweit, wie fast üblich, durch Weiterklicken und einigen Reboots alles seinen gewohnten Gang.

Der Name der AD wurde nach dem Schema ad.firmenname.de gewählt, die Domain wurde bei United Domains registriert und der Netbios Name ist der Firmenname.

Der Server verfügt über mehrere Netzwerkkarten von denen jedoch alle deaktiviert wurden, außer dem Port mit dem er ins lokale Netzwerk per statischer IP geht und eben auch ins Internet. Der DNS Server unter IPv4 ist mit seiner eigenen IP versorgt. Soweit das Vorgeplänkel,ich meine ich hätte alle seriösen Vorgaben beachtet.

Wenn ich über die Powershell einen Test per nslookup mache, bekomme ich eine Meldung, dass die Antwort nicht autorisiert ist und die IP, die mir angezeigt wird, ist die IP von United Domains, statt die eigene IP des DC's.

Der Standardserver hat auch nicht den von mir vergebenen Namen und die IP kann er ebensfalls nicht auflösen.

Ich habe mir schon einige Literatur angesehen und versucht alle Tipps und Empfehlungen zu beachten, kann den Fehler jedoch leider nicht nachvollziehen.

Hat jemand einen Tipp für des Rätsels Lösung. Gerne auch einen Forumsthread, falls ich zu unfähig war eben einen schon vorhandenen zu finden.

Vielen Dank im Voraus!

Content-ID: 467999

Url: https://administrator.de/forum/dns-server-verrichtet-dienst-nicht-vernuenftig-467999.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

NixVerstehen
NixVerstehen 02.07.2019 um 07:01:16 Uhr
Goto Top
Guten Morgen,

poste doch mal das Ergebnis für einen nslookup auf "firmenname.de" und "ad.firmenname.de" hier.

Gruß NV
AK-47.2
AK-47.2 07.07.2019 aktualisiert um 14:30:40 Uhr
Goto Top
Hey,

sry für die späte Rückmeldungface-sad
Nach einiges Stunden googeln habe ich jemanden mit einem ähnlichen Problem gefunden...
Das Problem liegt bei United Domains, die ihren DNS-Server so konfiguriert haben, dass er bei unbekannten Hostnamen immer die IP-Adresse des eigenen Webservers zurückgibt.
Daher bekomme ich ebenjene IP-Adresse zurück bei unbekanntem Hostnamen, so jedenfalls die Erklärung...

Habe wohl keine andere Wahl als eine neue Domain bei einem anderen Domänenregistrar zu registrieren.
NixVerstehen
NixVerstehen 08.07.2019 um 15:27:01 Uhr
Goto Top
Habe wohl keine andere Wahl als eine neue Domain bei einem anderen Domänenregistrar zu registrieren.

Servus,

da habe ich so meine Zweifel. Ein aus dem Internet zu erreichender Hostname muss von irgendeinem DNS-Server aufgelöst werden können, ansonsten stimmen deine Nameserver-Einträge beim Provider nicht. Aber leider geht aus deinem Betrag nicht wirklich hervor, wie dein Netzwerk im Einzelnen aufgebaut ist, bzw. was du überhaupt erreichen möchtest.

Gruß NV
AK-47.2
AK-47.2 10.07.2019 um 09:46:49 Uhr
Goto Top
Hallo NV,

Ich habe jetzt zwecks der Domäne für das AD eine neue Domain bei einem anderen Domänenregistrar bezogen, der DNS-Server arbeitet nun wie erwartet.
Aber ich bin natürlich gewollt dazu zu lernen und zu verstehen woran es gescheitert ist bei der Domain von dem Hoster United Domains.

In meinem lokalen Netzwerk befindet sich aktuell noch nicht wirklich viel, verbaut ist ein DSL-Modem(Vigor 165), ein selbst gebastelter Router auf dem die PfSense läuft, die per PPPoE die Einwahl ins Internet übernimmt, einige Switche, sowie eine Telefonanlage, mit einem VDSL Deutschland LAN Mehrgeraete Anschluss der Telekom.

Es gibt aktuell noch keinen DC, der jetzt kommt wird der erste und zwecks Redundanz wird auch in Kürze ein zweiter kommen.

Weiterhin wird in Kürze eine Netzwerksegmentierung von mir vorgenommen, um eine saubere Trennung von LAN, WLAN, Druckern und einem Gast WLAN.

Das Problem hatte ich in einem Blog gefunden, den ich dir gerne gleich verlinke.

Auf United Domains wurden 2 Domains gehostet, die Hauptdomain auf die die Website läuft und eine weitere, die eine Weiterleitung auf die Hauptdomain darstellt.

Die Weiterleitung also schematisch firmenname.de wurde mit einer subdomain als ad.firmenname.de im AD eingetragen und brachte wie oben erläutert die Probleme, dass alle DNS Abfragen auf den Webserver von United Domains liefen.

Bei weiteren Informationen oder Unklarheiten kannst du mich gerne fragen.

Beste Grüße
NixVerstehen
NixVerstehen 10.07.2019 aktualisiert um 14:59:23 Uhr
Goto Top
Hallo AK-47.2,

so langsam verstehen ich worauf du hinaus willst. Verwirrend war ein wenig, das du von einem AD (Active Directory), aber noch keinen DC (Domänencontroller) im Einsatz hast. Hier hast du bei United Domains die Nameserver-Einträge verändert. Das hat mit AD erstmal noch gar nichts zu tun.

Um die Subdomäne "ad.firmenname.de" aus dem Internet auflösen zu können, mußt du bei deinem Domainhoster die Nameserver-Einstellung modifizieren. Du kannst dort einen A-Record anlegen für die Subdomäne "ad.firmenname.de" und zeigst mit diesem A-Record auf die öffentliche (hoffentlich feste) IP-Adresse deines VDSL-Anschlusses. Im Kundenmenü des VDSL-Anschlusses solltest du aber dann auch einen Zeiger anlegen, der die IP-Adresse in die Subdomäne "ad.firmenname.de" auflöst, also genau anders herum. Die Forward- und Reverseauflösung müssen also zusammenpassen und ein nslookup auf IP oder Subdomain jeweils das zu dieser Paarung gehörende Ergebnis liefern.

Wenn alles richtig angelegt ist, dann wird bei nslookup auf "firmenname.de" die IP z.B. deiner Website bei United Domains angezeigt während
ein nslookup auf "ad.firmenname.de" deine IP des VDSL-Anschlusses liefert.

Bevor du einen Domänencontroller (DC) installierst, solltest du dich in das Thema intensiv einarbeiten. Der DC braucht dann auch zwingend ein fehlerfrei funktionierendes lokales DNS. Ohne das geht Active Directory nicht. Speziell das Zusammenspiel von AD, DNS und DHCP in Verbindung mit VLANs sollte gründlich geplant werden, da Designfehler hier oft nur schwer zu beheben sind.

Und fang klein an. Erst mal eine Baustelle (z.B. DC) erledigen und dann das nächste Thema anfangen.

Gruß NV

Edit: Du weißt, das du für ein AD nicht zwingend eine "öffentliche" Domain benötigst? Du kannst für das AD auch z.B. "firmenname.int" oder "firmenname.lokal" verwenden.
AK-47.2
AK-47.2 10.07.2019 um 15:30:05 Uhr
Goto Top
Hey NV,

vielen Dank für deine ausführlichen Erläuterungen.

Da dies mein erster DC ist, den ich einrichte, dachte ich mir durchaus, dass ein paar Probleme auftreten werden, dennoch möchte ich ein paar Missverständnisse aus dem Weg räumen.
Ich habe mich zuvor gut informiert und in vieles eingelesen und habe ebenfalls versucht alle "Best Practice"-Strategien und Empfehlungen zu beherzigen.

Dass ich für eine AD nicht zwingend eine öffentliche Domain benötige ist mir durchaus bewusst, dem allgemeinen Tenor entsprechend wurde dies jedoch empfohlen um vorzubeugen, dass diese Domain später mal gehostet wird und Probleme im DNS der AD verursacht, es ist also eine reine Vorsichtsmaßnahme. Ebenfalls wurde geraten entweder eine öffentliche Domain zu registrieren oder sich eben mit einer Subdomain eine Stufe unter der Hauptdomain zu platzieren.

Dies habe ich dann auch gemacht, allerdings ohne jegliche Einstellungen beim ISP oder Domainhoster vorzunehmen, hierzu hatte ich keine Hinweisen in meinen Fachbüchern entnehmen können und auch im Internet keine Hinweise gefunden.
Hier habe ich entweder schlechte Quellen benutzt oder eben nur besonders viel Pech gehabt.

Als ich dann auf dem Server testweise das erste AD angelegt habe, eben mit der Subdomain ad."firmenname".de und den DNS Server konfiguriert habe, ist bei jeglichen Namensauflösungsanforderungen, die ich in der Powershell per nslookup angefragt habe, beispielsweise google.de, jedes Mal die selbe IP-Adresse angegeben worden und das war genau die IP-Adresse des Webservers von United-Domains.

Nach einigen Stunden googeln fand ich in diesem Artikel 1 eine Erklärung für mein Problem.

Daher entschied ich mich eine andere Domain extra für das AD zu hosten, geschehen bei Strato.de schematisch als firmenname.org.
Hier habe ich ohne jegliche Änderungen und nach genau der selben Konfigurationsroutine einen funktionierenden DNS Server bauen können, nachdem ich den Server platt gemacht habe und neu aufsetzte.

Da mir durchaus bewusst ist, dass ohne funktionierendes DNS ein AD nicht funktionieren kann, habe ich mich zu dieser sicheren Variante entschieden ohne es besser zu wissen, sobald wir den zweiten Server anschaffen werde ich auf jeden Fall unter Berücksichtigung deiner Tipps es nochmal testweise mit ad.firmenname.de versuchen. Sollte dies dann klappen, habe ich einiges dazugelernt und werde den Server dann wieder neu aufsetzen und in das bestehende AD integrieren. Welche Domain man ja nun für das AD verwendet ist ja uninteressant, hauptsache die Domain ist nicht öffentlich von jemand anderem in Benutzung.

Ich hoffe ich konnte damit alles verständlich machen und danke dir für deine Ausführungen.

Gestern habe ich den DC installiert und werde ihn Freitag mit den ersten GPO's an einem Gerät testen.

Beste Grüße
NixVerstehen
Lösung NixVerstehen 10.07.2019 um 15:54:34 Uhr
Goto Top
Hey AK-47-2,

alles gut. Ich hatte auch so angefangen...lesen, versuchen, verwerfen. Hauptsache, man informiert sich richtig und bastelt nicht bloß wild drauf los. Deshalb steht bei mir im Profil auch "Enduser" und nicht "Administrator". Das bin ich vom Wissensstand einfach nicht.

Prinzipiell ist das richtig so. Die ICANN warnt sogar davor, bisher im öffentlichen Raum nicht genutzte TLDs wie .int, .local oder .firma zur Adressierung zu verwenden. Funktioniert als Domäne hätte auch "firmenname.keks" oder "firmenname.furz" face-smile

Bevor du mit den GPOs anfängst, schau dir mal ein paar Tage die Ereignisanzeige des Servers an und bügle die Fehler aus, die erfahrungsgemäß bei einer Neuinstallation mehr oder weniger auflaufen. Immer Step bei Step.

Mach doch von dem frisch aufgesetzten Server (ohne installierte AD-Rolle) ein Backup auf USB. Dann brauchst nicht immer alles komplett aufsetzen und hast schon mal das OS als Installationsbasis.

Gutes Gelingen und viel Spaß.
Gruß NV