6
Domänenclients kommen ausserhalb Domäne nicht mehr ins Internet
Clients erhalten extern falsche DNS Server (die der Domäne)
Hallo,
folgendes Problem seit kurzem:
Domänen-Clients, die extern (=ausserhalb unserer Domäne) ins Internet wollen können die DNS Server der Domäne nicht mehr ersetzen. Sie erhalten immer im Hintergrund die DNS Server unserer Domäne.
beispielhaftes Ipconfig /all-Ergebnis IN der Domäne:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : Notebook-XY
Primäres DNS-Suffix . . . . . . . : unsere_domain.local
Knotentyp . . . . . . . . . . . . : Broadcast
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsere_domain
unsere_domain
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsere_domain
Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physikalische Adresse . . . . . . : 33-33-33-33-33-33
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.8.88
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.8.2
DHCP-Server . . . . . . . . . . . : 192.168.8.99
DNS-Server. . . . . . . . . . . . : 192.168.8.93
192.168.8.99
Lease erhalten. . . . . . . . . . : Freitag, 7. September 2007 11:26:43
Lease läuft ab. . . . . . . . . . : Freitag, 21. September 2007 11:26:43
Ausserhalb:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : Notebook-XY
Primäres DNS-Suffix . . . . . . . : unsere_domain.local
Knotentyp . . . . . . . . . . . . : Broadcast
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsere_domain
unsere_domain
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsere_domain
Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physikalische Adresse . . . . . . : 33-33-33-33-33-33
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.2.111
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.2
DNS-Server. . . . . . . . . . . . : 192.168.2.2
192.168.2.3
Lease erhalten. . . . . . . . . . : Donnerstag, 6. September 2007 11:26:43
Lease läuft ab. . . . . . . . . . : Donnerstag, 20. September 2007 11:26:43
Die internen wie externen Daten von Ipconfig sind gültig und müssten funktionieren, tun dies aber nur in der Domäne.
Extern ergibt aber ein nslookup, das die DNS Server der Domäne verwendet werden.
Die Default Domain Policy hatte einen Eintrag DNS Server (die der Domäne) - wurde aber als vermutete Ursache dieses Fehlverhaltens wieder rekonfiguriert - momentan ergibt eine Auswertung der Domain Policies "keine vorkonfigurierten DNS Server" mehr.
Die GPs sind auf allen Domänenerechnern aktuell.
Die lokale Gruppenrichtlinie der Clients ergibt keine vorkonfigurierten DNS oder DHCP Server.
Was mir auffällt ist die doppelte Eintragung von unsere_domain in die DNS-Suffixsuchliste.
Ansonsten könnte ich mir nur vorstellen, dass noch irgendwo Reste der vormals vordefinierten DNS Server (Domain Policy) herumdümpeln.
Aber wo, wenn nicht in der lokalen Policy, soll ich das prüfen?
Wäre für jeden Tipp dankbar!!
Hallo,
folgendes Problem seit kurzem:
Domänen-Clients, die extern (=ausserhalb unserer Domäne) ins Internet wollen können die DNS Server der Domäne nicht mehr ersetzen. Sie erhalten immer im Hintergrund die DNS Server unserer Domäne.
beispielhaftes Ipconfig /all-Ergebnis IN der Domäne:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : Notebook-XY
Primäres DNS-Suffix . . . . . . . : unsere_domain.local
Knotentyp . . . . . . . . . . . . : Broadcast
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsere_domain
unsere_domain
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsere_domain
Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physikalische Adresse . . . . . . : 33-33-33-33-33-33
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.8.88
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.8.2
DHCP-Server . . . . . . . . . . . : 192.168.8.99
DNS-Server. . . . . . . . . . . . : 192.168.8.93
192.168.8.99
Lease erhalten. . . . . . . . . . : Freitag, 7. September 2007 11:26:43
Lease läuft ab. . . . . . . . . . : Freitag, 21. September 2007 11:26:43
Ausserhalb:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : Notebook-XY
Primäres DNS-Suffix . . . . . . . : unsere_domain.local
Knotentyp . . . . . . . . . . . . : Broadcast
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsere_domain
unsere_domain
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsere_domain
Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Controller
Physikalische Adresse . . . . . . : 33-33-33-33-33-33
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.2.111
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.2
DNS-Server. . . . . . . . . . . . : 192.168.2.2
192.168.2.3
Lease erhalten. . . . . . . . . . : Donnerstag, 6. September 2007 11:26:43
Lease läuft ab. . . . . . . . . . : Donnerstag, 20. September 2007 11:26:43
Die internen wie externen Daten von Ipconfig sind gültig und müssten funktionieren, tun dies aber nur in der Domäne.
Extern ergibt aber ein nslookup, das die DNS Server der Domäne verwendet werden.
Die Default Domain Policy hatte einen Eintrag DNS Server (die der Domäne) - wurde aber als vermutete Ursache dieses Fehlverhaltens wieder rekonfiguriert - momentan ergibt eine Auswertung der Domain Policies "keine vorkonfigurierten DNS Server" mehr.
Die GPs sind auf allen Domänenerechnern aktuell.
Die lokale Gruppenrichtlinie der Clients ergibt keine vorkonfigurierten DNS oder DHCP Server.
Was mir auffällt ist die doppelte Eintragung von unsere_domain in die DNS-Suffixsuchliste.
Ansonsten könnte ich mir nur vorstellen, dass noch irgendwo Reste der vormals vordefinierten DNS Server (Domain Policy) herumdümpeln.
Aber wo, wenn nicht in der lokalen Policy, soll ich das prüfen?
Wäre für jeden Tipp dankbar!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68140
Url: https://administrator.de/contentid/68140
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
ich schätze mal dass die dns-konfiguration von deinem dhcp-server (192.168.2.2) an die clients übertragen wird.
schaut mal dort nach ob diese option konfiguriert ist.
schaut mal dort nach ob diese option konfiguriert ist.
Hallo,
interner DHCP Server ist 192.168.8.99.
Natürlich übergibt der lokale DHCP Server die lokalen DNS Server (192.168.8.99 und .93).
Dies ist ja auch so gewollt und funktioniert seit Jahren problemlos auch insoweit dass seither externe Clients in einer anderen Domäne oder zuhause über dort vorhandenen DHCP Server gültige DNS Serveradressen erhalten haben.
Die obige Konfiguration ist in der Domäne gültig, wird ein Rechner extern benutzt holt er sich automatisch die Servereinstellungen des externen Netzwerkes.
Auch momentan erhalten diese Clients extern gültige Serverdaten und IP-Daten, nur werden die ja bei der Verbindungsherstellung offensichtlich nicht angewendet.
interner DHCP Server ist 192.168.8.99.
Natürlich übergibt der lokale DHCP Server die lokalen DNS Server (192.168.8.99 und .93).
Dies ist ja auch so gewollt und funktioniert seit Jahren problemlos auch insoweit dass seither externe Clients in einer anderen Domäne oder zuhause über dort vorhandenen DHCP Server gültige DNS Serveradressen erhalten haben.
Die obige Konfiguration ist in der Domäne gültig, wird ein Rechner extern benutzt holt er sich automatisch die Servereinstellungen des externen Netzwerkes.
Auch momentan erhalten diese Clients extern gültige Serverdaten und IP-Daten, nur werden die ja bei der Verbindungsherstellung offensichtlich nicht angewendet.
Hallo,
Ergebnis eines externen Clients:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : notebook-gk
Primäres DNS-Suffix . . . . . . . : unsrere_domäne.local
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsrere_domäne.local
unsrere_domäne.local
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsrere_domäne.local
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
Physikalische Adresse . . . . . . : 00-0D-56-DF-B4-4F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.9.122
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.9.2
DHCP-Server . . . . . . . . . . . : 192.168.9.2
DNS-Server. . . . . . . . . . . . : 192.168.9.2
Lease erhalten. . . . . . . . . . : Montag, 10. September 2007 13:54:40
Lease läuft ab. . . . . . . . . . : Montag, 17. September 2007 13:54:40
C:\Dokumente und Einstellungen\Administrator>ping www.google.de
Ping-Anforderung konnte Host "www.google.de" nicht finden. Überprüfen Sie den Na
men, und versuchen Sie es erneut.
C:\Dokumente und Einstellungen\Administrator>ipconfig /renew
Windows-IP-Konfiguration
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.9.122
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.9.2
C:\Dokumente und Einstellungen\Administrator>nslookup google.de
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse 192.168.9.93 konnte nicht gefunden werden:
Timed out
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse 192.168.9.99 konnte nicht gefunden werden:
Timed out
* Die Standardserver sind nicht verfügbar.
Server: UnKnown
Address: 192.168.9.93
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
* Zeitüberschreitung bei Anforderung an UnKnown
C:\Dokumente und Einstellungen\Administrator>ping 192.168.9.2
Ping wird ausgeführt für 192.168.9.2 mit 32 Bytes Daten:
Antwort von 192.168.9.2: Bytes=32 Zeit<1ms TTL=127
Antwort von 192.168.9.2: Bytes=32 Zeit<1ms TTL=127
...
Hat jemand `ne Idee?
Ergebnis eines externen Clients:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : notebook-gk
Primäres DNS-Suffix . . . . . . . : unsrere_domäne.local
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Ja
WINS-Proxy aktiviert. . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : unsrere_domäne.local
unsrere_domäne.local
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix: unsrere_domäne.local
Beschreibung. . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
Physikalische Adresse . . . . . . : 00-0D-56-DF-B4-4F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.9.122
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.9.2
DHCP-Server . . . . . . . . . . . : 192.168.9.2
DNS-Server. . . . . . . . . . . . : 192.168.9.2
Lease erhalten. . . . . . . . . . : Montag, 10. September 2007 13:54:40
Lease läuft ab. . . . . . . . . . : Montag, 17. September 2007 13:54:40
C:\Dokumente und Einstellungen\Administrator>ping www.google.de
Ping-Anforderung konnte Host "www.google.de" nicht finden. Überprüfen Sie den Na
men, und versuchen Sie es erneut.
C:\Dokumente und Einstellungen\Administrator>ipconfig /renew
Windows-IP-Konfiguration
Ethernetadapter LAN:
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.9.122
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.9.2
C:\Dokumente und Einstellungen\Administrator>nslookup google.de
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse 192.168.9.93 konnte nicht gefunden werden:
Timed out
DNS request timed out.
timeout was 2 seconds.
* Der Servername für die Adresse 192.168.9.99 konnte nicht gefunden werden:
Timed out
* Die Standardserver sind nicht verfügbar.
Server: UnKnown
Address: 192.168.9.93
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
* Zeitüberschreitung bei Anforderung an UnKnown
C:\Dokumente und Einstellungen\Administrator>ping 192.168.9.2
Ping wird ausgeführt für 192.168.9.2 mit 32 Bytes Daten:
Antwort von 192.168.9.2: Bytes=32 Zeit<1ms TTL=127
Antwort von 192.168.9.2: Bytes=32 Zeit<1ms TTL=127
...
Hat jemand `ne Idee?
langsam steig ich hier nicht mehr durch.
lt deinen angaben habt ihr 3 dhcp server laufen?
"extern":
192.168.9.2
192.168.2.2
"intern":
192.168.8.99
der interne ist im AD autorisiert, die beiden anderen nicht.
die dhcp-server haben keine überschneidungen in ihren bereichen.
als dns-server laufen:
"extern":
192.168.2.2
192.168.2.3
192.168.9.2
"intern":
192.168.8.93
192.168.8.99
alle dns-server haben weiterleitungen auf externe dns-server.
bin ich soweit mal richtig?
lt deinen angaben habt ihr 3 dhcp server laufen?
"extern":
192.168.9.2
192.168.2.2
"intern":
192.168.8.99
der interne ist im AD autorisiert, die beiden anderen nicht.
die dhcp-server haben keine überschneidungen in ihren bereichen.
als dns-server laufen:
"extern":
192.168.2.2
192.168.2.3
192.168.9.2
"intern":
192.168.8.93
192.168.8.99
alle dns-server haben weiterleitungen auf externe dns-server.
bin ich soweit mal richtig?
Hallo,
Sorry für die unleserliche Formatierungen oben, ergeben sich wohl automatisch bei Einfügung von CMD-Inhalten
Zitat<<<Domänen-Clients, die extern (=ausserhalb unserer Domäne) ins Internet wollen können die DNS Server der Domäne nicht mehr ersetzen. Sie erhalten immer im Hintergrund die DNS Server unserer Domäne. <<<<
EXTERN bedeutet, dass ein Notebook aus unsrerer Domäne, mit dessen Besitzer in
a) eine ANDERE = EXTERNE Domäne einwählt und die dortigen DHCP, DNS etc. whatever Server automatisch beziehen sollen
b) eine ANDERE = EXTERNE Domäne einwählt und die dortigen DNS etc. whatever Server manuell erhalten sollen
c) ihr privates Netz (zuhause = extern) einwählen wollen/können/sollen
d) INTERN ist UNSERE_DOMÄNE (192.168.8.0/24 NETZ)
INTERN funktionert alles.
EXTERN kommen die Notebooks nicht ins Internet.
Grund: Verwendung der internen Domänen-DNS-Server bei a, b, c und d.
Ohne Erfolg jeweils a, b, c:
IPCONFIG /release und danach IPCONFIG /renew
arp -d *
Deaktivieren NIC - Aktiviren-NIC
Externe Weiterleitungen
1. Ausserhalb meines Einflussbereiches
2. Sollten bei a, b und c aber funktionieren solange man ausdiesen EXTERNEN Netzen seither ins Internet gekommen ist. -> In meinem Fall ist das so, alle externen Netze können mit deren Rechnern ins Internet.
Userunabhängig:
weder Domänenadmin noch lokaler Admin kann Verhalten ändernd beeinflussen.
Verstanden, oder noch Fragen?
Sorry für die unleserliche Formatierungen oben, ergeben sich wohl automatisch bei Einfügung von CMD-Inhalten
Zitat<<<Domänen-Clients, die extern (=ausserhalb unserer Domäne) ins Internet wollen können die DNS Server der Domäne nicht mehr ersetzen. Sie erhalten immer im Hintergrund die DNS Server unserer Domäne. <<<<
EXTERN bedeutet, dass ein Notebook aus unsrerer Domäne, mit dessen Besitzer in
a) eine ANDERE = EXTERNE Domäne einwählt und die dortigen DHCP, DNS etc. whatever Server automatisch beziehen sollen
b) eine ANDERE = EXTERNE Domäne einwählt und die dortigen DNS etc. whatever Server manuell erhalten sollen
c) ihr privates Netz (zuhause = extern) einwählen wollen/können/sollen
d) INTERN ist UNSERE_DOMÄNE (192.168.8.0/24 NETZ)
INTERN funktionert alles.
EXTERN kommen die Notebooks nicht ins Internet.
Grund: Verwendung der internen Domänen-DNS-Server bei a, b, c und d.
Ohne Erfolg jeweils a, b, c:
IPCONFIG /release und danach IPCONFIG /renew
arp -d *
Deaktivieren NIC - Aktiviren-NIC
Externe Weiterleitungen
1. Ausserhalb meines Einflussbereiches
2. Sollten bei a, b und c aber funktionieren solange man ausdiesen EXTERNEN Netzen seither ins Internet gekommen ist. -> In meinem Fall ist das so, alle externen Netze können mit deren Rechnern ins Internet.
Userunabhängig:
weder Domänenadmin noch lokaler Admin kann Verhalten ändernd beeinflussen.
Verstanden, oder noch Fragen?
Selbsthilfe ist auch was wert:
In der Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNS Client
-> Ordner "DNS Client" löschen
Grund:
Bei Anlage der Gruppenrichtlinie der Domäne wurde obiger Ordner mit den INTERNEN DNS Servern angelegt.
Bei der Deaktivierung wurde der Ordner aber nicht wieder gelöscht - lustigerweise, wurde der Ordner nur auf einigen Notebooks nicht gelöscht, die Desktops der Domäne haben diesen Ordner nicht (mehr?).
Nachtrag:
Hatte den zweiten DC die Rolle DNS Server genommen, dachte der braucht den nicht.
Somit hat aber die Namensauflösung in der Domäne nur noch partiell funktioniert. Damit auch der Abgleich der Gruppenrichtlinien. Der daraus inkonsistente Zustand war für die zufällige Verteilung der "alten" Gruppenrichtlinie verantwortlich.
Dauerhafte Lösung:
2. DC ist wieder AD integrierter DNS Server.
Gruppenrichtlinien reinitialisiert bzw. neu erstellt.
Beide DCs arbeiten wieder mit den (identischen) und aktuellen Gruppenrichtlinien.
mfg
Tom12
In der Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNS Client
-> Ordner "DNS Client" löschen
Grund:
Bei Anlage der Gruppenrichtlinie der Domäne wurde obiger Ordner mit den INTERNEN DNS Servern angelegt.
Bei der Deaktivierung wurde der Ordner aber nicht wieder gelöscht - lustigerweise, wurde der Ordner nur auf einigen Notebooks nicht gelöscht, die Desktops der Domäne haben diesen Ordner nicht (mehr?).
Nachtrag:
Hatte den zweiten DC die Rolle DNS Server genommen, dachte der braucht den nicht.
Somit hat aber die Namensauflösung in der Domäne nur noch partiell funktioniert. Damit auch der Abgleich der Gruppenrichtlinien. Der daraus inkonsistente Zustand war für die zufällige Verteilung der "alten" Gruppenrichtlinie verantwortlich.
Dauerhafte Lösung:
2. DC ist wieder AD integrierter DNS Server.
Gruppenrichtlinien reinitialisiert bzw. neu erstellt.
Beide DCs arbeiten wieder mit den (identischen) und aktuellen Gruppenrichtlinien.
mfg
Tom12
