Laptop - Lan-Wlan-DHCP-DNS-Problematik

pedant
Goto Top
Hallo,

es geht um die Frage wie ich ein Problem lösen oder vermeiden sollte.
Das Problem bezieht sich auf Laptops, die per Kabel und/oder wireless im Lan unterwegs sind.

Die Situation
Ich habe im Büro diverse Server und Clients, die nur per Kabel am Lan angeschlossen sind.
Diesen sind feste IP zugeordnet.
Diese Zuordnung pflege ich in einem lokalen DNS-Server.
Für mobile Geräte und Gast-Rechner habe ich einen DHCP.
Für einige, wenige mobile Geräte habe ich dort Reservierungen eingetragen, für die meisten aber nicht.
Der DHCP ist so konfiguriert, dass er DHCP-Clients dem DNS-Server bekannt macht, also automatisch einen DNS-Eintrag (Name/IP) erzeugt (dynamische DNS-Aktualisierung).
Löscht der DHCP ein Lease, dann löscht er auch den zugehörigen DNS-Eintrag wieder.
Für die Leases ist ein kurze Lebensdauer eingestellt.
DHCP und DNS laufen auf einem Windowsserver.
Die Clients haben unterschiedliche Betriebssysteme.
Client-zu-Client-Zugriffe, beispielsweise Zugriffe auf durch Mitarbeiter freigegebene Ordner sind üblich und erwünscht.
Für's WLan habe ich Accesspoints, also WLan-Router, aber den internen DHCP deaktiviert und den Wan-Port ungenutzt. Der Uplink zum Lan erfolgt über Kabel an einer der Lan-Buchsen.

Der Laptop-Alltag
Mitarbeiter mit Laptop schließen ihr Laptop am Schreibtisch per Kabel an.
Wenn sie aber im Haus unterwegs sind (Beprechungsräume, Küche usw.) nutzen sie das WLan für Lan- und Internetzugriffe.
Zurück am Schreibtisch wird meist wieder das Kabel eingestöpselt, aber dann oft das Wlan nicht deaktiviert, was aber eigentlich ein anderes Problem ist, als das, um das es mir hier geht.

Das Problem an einem Beispiel
Dem Laptop namens Beate wurde per Kabelverbindung vom DHCP die IP 192.168.0.160 zugeteilt.
Der DHCP hat darauf einen DNS-Eintrag erzeugt: Beate <-> 192.168.0.160
Bei Beate wird das Lan-Kabel herausgezogen und WLan aktiviert und es erhält vom DHCP die IP 192.168.0.161 für die WLan-Verbindung.
Der DHCP erzeugt einen zusätzlichen DNS-Eintrag: Beate <-> 192.168.0.161
Jetzt existieren zwei widersprüchliche Einträge:
Beate <-> 192.168.0.160
Beate <-> 192.168.0.161
wiedersprüchlich insofern, dass der DNS für ping beate oder Zugriffe auf \\beate zwei Antworten kennt von denen die erste (herausgezogenes Lan-Kabel) nicht mehr aktuell ist.
Wird das Lan-Kabel wieder eingestöpselt, so ist der Eintrag wieder gültig, aber der WLan-Eintrag nicht mehr aktuell.

Lösungen?
Muss ich auf dynamische DNS-Aktualisierungen komplett verzichten, also lieber keinen Eintrag als zwei "falsche"?

Für Anregungen konzeptioneller Art wäre ich dankbar.
Konkrete Anleitungen zur Umsetzung sind (zunächst) nicht erforderlich.

Gruß Frank

Content-Key: 289635

Url: https://administrator.de/contentid/289635

Ausgedruckt am: 19.08.2022 um 10:08 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.11.2015 aktualisiert um 16:16:15 Uhr
Goto Top
Zitat von @Pedant:

Lösungen?
Muss ich auf dynamische DNS-Aktualisierungen komplett verzichten, also lieber keinen Eintrag als zwei "falsche"?


Einfach die TTL und die Lease-Dauer kurz genug wählen oder die User besser disziplinieren. face-smile

lks

PS: Oder Du verzichtest auf Kabel bei den WLAN-fähigen Geräten.
Mitglied: Pedant
Pedant 29.11.2015 um 17:43:32 Uhr
Goto Top
Hallo Lochkartenstanzer,

danke für Deine Antwort.
Einen konzeptionellen Fehler auf meiner Seite siehst Du also nicht - einerseits beruhigend, andererseits schade.

Das Auftreten des beschriebenen Problems ließe sich durch diziplinierte User nicht verhindern, da der DNS-Eintrag vom DHCP erzeugt wird und clientseitiges Deaktivieren des WLans den Eintrag nicht entfernt.
Möglicherweise würde ein clientseitiges ipconfig /release das Lease im DHCP löschen und damit auch indirekt den zugehörigen Eintrag im DNS.
Das werde ich mal ausprobieren, obwohl es keine Lösung wäre, die ich den Usern zumuten würde.
Die Lease-Dauer habe ich schon auf nur 10 Minuten gesetzt. Ich könnte natürlich auch auf 1 Minute reduzieren, um die Dauer des Vorhandenseins zweier Einträge zum selben Client weiter zu minimieren.
Was ist in dem Zusammenhang die von Dir erwähnte TTL?

Auf Kabel möchte ich bei den Laptops nicht generell verzichten, da es für Lan-Zugriffe eine deutlich bessere Bandbreite bietet, wenn man von aktuellen WLan-Kanalbündelungs-Monster-Geräten absieht, die ich nicht habe und deren Nutzen ich auch für fragwürdig halte.

Gruß Frank
Mitglied: chiefteddy
chiefteddy 29.11.2015 aktualisiert um 18:36:01 Uhr
Goto Top

Was ist in dem Zusammenhang die von Dir erwähnte TTL?

Hallo,

schau mal hier: https://de.wikipedia.org/wiki/Time_to_Live

Es ist hier die Beschreibung für TTL im DNS für Dich interessant.

Jürgen
Mitglied: Pedant
Pedant 29.11.2015 um 18:48:48 Uhr
Goto Top
Hallo Jürgen,

danke für den Link.
TTL bezieht sich in dem Zusammenhang also auf den DNS-Eintrag und nicht auf das DHCP-Lease.
Die automatischen DNS-Einträge haben im Moment 15 Min. als TTL.
Ich denk mal drüber nach, ob ich das ändere.

Gruß Frank
Mitglied: kontext
kontext 30.11.2015 um 08:18:39 Uhr
Goto Top
Hallo @Pedant,

Zitat von @Pedant:
Zurück am Schreibtisch wird meist wieder das Kabel eingestöpselt, aber dann oft das Wlan nicht deaktiviert, was aber eigentlich ein anderes Problem ist, als das, um das es mir hier geht.

Darf ich fragen was du denn für Geräte verwendest?
Bei diversen Herstellern gibt es BIOS den sogenannten LAN / WLAN Switch ...

Da übernimmt dir das Gerät die Arbeit mit dem WLAN zu deaktivieren.
Sobald ein LAN Kabel angeschlossen ist, wird das WLAN deaktiviert und umgekehrt das gleiche ...
... sprich LAN Kabel wird gezogen - WLAN wird wieder aktiviert

Evtl. hilft dir das ein Wenig auf dem Weg zu deiner Lösung?
In der alten Firma hatten wir eine ähnliche Konstellation und konnten somit einen Großteil der Probleme lösen.

Gruß
@kontext
Mitglied: Pedant
Pedant 30.11.2015 um 10:31:12 Uhr
Goto Top
Hallo kontext,

ja, fragen darfst Du natürlich, aber eine umfassende Antwort kann ich Dir nicht geben.
Bei den Problemgeräten handelt es sich ausschließlich um Laptops, da alle anderen Geräte nur entweder Lan oder WLan nutzen.
Es handelt sich aber um ein Büro mit diversen Mitarbeitern und dazu kommen freie Mitarbeiter, Kunden und Gäste.

Okay, Kunden und Gäste können wir mal ignorieren, die müssen ohnehin nur ins Internet.
Was freie Mitarbeiter so an Werkzeug mitbringen ist gänzlich undefiniert.
Die festen Mitarbeiter nutzen vornehmlich, aber nicht ausschließlich, Thinkpads oder Macbooks.

Ein BIOS-LAN-WLAN-Switch ist eine hübsche Idee, es gibt allerdings auch Situationen in denen bewusst beides geleichzeitig genutzt werden soll, um sich mit zwei getrennten Netzen zu verbinden. Dafür wäre so eine Automatikumschaltung hinderlich.
Zum Thema "Userdisziplin" gäbe es natürlich auch Softwarelösungen, die mit eingerichteten Netzwerkzugangsprofilen die Umschaltung erledigen.
Beim Thinkpad wäre das beispielsweise "Access Connections".

"Userdisziplin" ist aber eigentlich ein anderes Thema, als das, um das es mir hier geht, denn das Problem mit zwei unterschiedlichen DNS-Einträgen für einen Client, wäre damit nicht konzeptionell gelöst.

Dennoch danke für den Hinweis. Den genannten Bios-Switch kannte ich noch nicht.

Gruß Frank
Mitglied: ashnod
Lösung ashnod 30.11.2015, aktualisiert am 02.12.2015 um 18:15:47 Uhr
Goto Top
Zitat von @Pedant:

es gibt allerdings auch Situationen in denen bewusst beides geleichzeitig genutzt werden soll, um sich mit zwei getrennten Netzen zu verbinden.

Spätestens an der Stelle sollte klar sein das die gewünschte Aufräumaktion im DNS ein Ding der Unmöglichkeit wird!

denn das Problem mit zwei unterschiedlichen DNS-Einträgen für einen Client, wäre damit nicht konzeptionell gelöst.

Moin

Es geht aber offensichtlich nur um die Schönheit der Arbeit, funktionelle Einschränkungen scheinen ja nicht das Problem zu sein.

Praktisch kannst du das wirklich mir einer sehr kurzen TTL lösen, in wie weit das Sinn macht und ob dabei evtl. ein (zu) hoher Traffic im Netz entsteht kannst nur du beurteilen.

Faktisch müsste sich jede Schnittstelle abmelden, was aber kaum funktionieren kann wenn ein Mitarbeiter einfach das Kabel zieht face-wink

Um es kurz zu fassen: Aus meiner Sicht: "No way"

VG
Mitglied: holli.zimmi
holli.zimmi 30.11.2015 um 16:43:03 Uhr
Goto Top
Hi,

eigentlich müßtest Du seperate FQDn erstellen z.B.:
nur über LAN : lan.Firma.de (VLAN1)
und bei wlan: wlan.Firma.de (VLAN2 )
usw.

Gruß

Holli
Mitglied: ashnod
ashnod 30.11.2015 um 16:50:38 Uhr
Goto Top
Zitat von @holli.zimmi:

eigentlich müßtest Du seperate FQDn erstellen z.B.:

Ahoi

Das verschiebt das Problem aber nur an eine andere Stelle, im DNS (wo auch immer) wird der Rechner trotzdem eingetragen bleiben.
Ergo 2 IP's für den gleichen Rechner und genau das soll ja offensichtlich vermieden werden, wenn ich den TO richtig verstehe.

VG
Mitglied: Pedant
Pedant 30.11.2015 aktualisiert um 21:33:33 Uhr
Goto Top
Hallo ashnod,

Zitat von @Pedant:
es gibt allerdings auch Situationen in denen bewusst beides gleichzeitig genutzt werden soll, um sich mit zwei getrennten Netzen zu verbinden.
Zitat von @ashnod:
Spätestens an der Stelle sollte klar sein das die gewünschte Aufräumaktion im DNS ein Ding der Unmöglichkeit wird!
Das wären nur Situationen in denen sich mit dem Firmen-Lan (das mit dem DNS) und z.B. mit einem kleinen, simplen, separaten Lan eines Testaufbaues verbunden wird.
In dem Fall würde der DNS des Firmen-Lan nur einen Eintrag für diesen Client haben und der wäre auch korrekt und das zweite Lan hat zumeinst keinen DNS.

Zitat von @ashnod:
Es geht aber offensichtlich nur um die Schönheit der Arbeit, funktionelle Einschränkungen scheinen ja nicht das Problem zu sein.
Ja, im Wesentlichen ist es wohl Pedanterie. Es führt aber tatsächlich auch zu Problemen bei Client-zu-Client-Verbindungen, die sich auf den lokalen DNS "verlassen".
Ein ping beate kann da durchaus zur falschen IP und damit zu keiner Antwort führen, obwohl Beate im Netz ist.

Zitat von @ashnod:
Um es kurz zu fassen: Aus meiner Sicht: "No way"
Danke für Deine Einschätzung.
Ich werde also mit kurzer Lease- und TTL-Zeit agieren und dabei einen Kompromiss suchen zwischen Traffic und Aktualität.
Mein Topic sollte ich dann als gelöst markieren, auch wenn es die Lösung nicht zu geben scheint.

Gruß Frank
Mitglied: Pedant
Pedant 30.11.2015 um 21:32:32 Uhr
Goto Top
Hallo Holli,

leider muss ich ashnod zustimmen, dass das keine Lösung wäre, aber trotzdem danke für Deine Anregung.

Gruß Frank
Mitglied: holli.zimmi
holli.zimmi 01.12.2015 aktualisiert um 13:09:19 Uhr
Goto Top
Hi,

leider muss ich ashnod zustimmen, dass das keine Lösung wäre, aber trotzdem danke für Deine Anregung.

wäre es dann nicht sinnvoll ein Script zu schreiben, was ständig läuft.

Vorbedingung: - umbennen der Netzwerkschnittstellen

Lan-karte = LAN ( statt Lan-Verbindung usw. )
WLAN-Karte = WLAN ( statt Lan-Verbindun2)

Sobald ein Notebook User, das Kabel vom Netz trennt und er dann eine WLAN-Verbindung bekommt:

Mindestens diese Befehle werden abgearbeitet:
(da fehlt bestimmt noch was)


Problematik nur wenn alles beide benutzt werden soll, da fällt mir gerade nichts ein:


Gruß

Holli
Mitglied: Pedant
Pedant 01.12.2015 um 20:28:07 Uhr
Goto Top
Hallo Holli,

Zitat von @holli.zimmi:
Problematik nur wenn alles beide benutzt werden soll, da fällt mir gerade nichts ein
Das ist völlig unproblematisch, da die beiden Verbindungen dann zu zwei unterschiedliche Netze bestehen und nur eine davon betrifft den DNS um den es geht und der hat dann nur eine IP für einen Client und zwar eine die auch stimmt.
Falls sich aber jemand mit beiden "Netzwerkkarten" ins Büro-Lan hängt, dann wäre es problematisch, aber das ist es in anderer Weise ohnehin, denn zwei Füße haben im selben Subnet nichts verloren.
Letzteres sollte durch Aufklärung und Erziehung lösbar sein und wenn nicht, dann nicht.

Zitat von @holli.zimmi:
wäre es dann nicht sinnvoll ein Script zu schreiben, was ständig läuft.
Wahrscheinlich wird beim Verbinden oder Trennen ein Event ausgelöst, das man im Taskplaner als Trigger heranziehen kann, dann müsste das Script nicht in kurzen Intervallen permanent laufen, sondern würde zur rechten Zeit gestartet werden.

Zitat von @holli.zimmi:
Danke, dass Du Dich damit beschäftigst.
Angeregt davon habe ich auch weiter rumprobiert.
Ich wäre aber unbedingt an einer serverseitigen Lösung interessiert, da ich die Clients nicht immer alle im Zugriff habe und weil es sich bei denen auch um welche mit unterschiedlichen Betriebssystemen handelt, für die dann jeweils eine andere Script-Lösung gefunden werden müsste.
Abgesehen davon, dass ich von z.B. Apple keine Ahnung habe, wäre mir der clientseitige Aufwand in Relation zum Nutzen zu hoch.

Ich habe übrigens festgestellt, dass das Löschen eines Leases brav zum Verschwinden des zugehörigen DNS-Eintrags führt, aber das ledigliche Verfallen eines Leases tut das nicht und Einträge in der Reverse-Lookupzone werden in beiden Situationen nicht gelöscht.
Wo ich die TTL für automatische DNS-Einträge einstellen kann, dass sie auch tatsächlich Anwendung findet, hab ich auch noch nicht herausgefunden und noch dazu verschwinden die DNS-Einträge auch nicht, wenn deren jetzige TTL abgelaufen ist, obwohl ich denke, ich hätte alle Haken dafür gefunden und gesetzt.
Wie auch immer - das alles ist in Bezug auf die Ausgangsfrage off topic.
Falls ich das nicht geregelt bekomme, sollte ich dafür einen separaten Frage-Thread eröffnen, falls es nicht ohnehin schon einen oder acht dazu gibt.

Gruß und Dank
Frank
Mitglied: m4squer4de
m4squer4de 31.10.2016 um 20:25:06 Uhr
Goto Top
Hallo Frank

Ich schätze neben Dir bin ich nicht der Einzige der unter diesen Problmen leidet. Hast Du eine passable Lösung für Dein Netz gefunden?

Ich helfe mir derzeit damit die doppelten Einträge aus dem DNS zu löschen - würde mich jedoch sehr gerne über erneute Gedanken freuen.

Lieben Dank
Michael
Mitglied: Pedant
Pedant 01.11.2016 um 10:53:14 Uhr
Goto Top
Hallo Michael,

nein, eine Lösung habe ich nicht gefunden.
Ich ignoriere das Problem und räume gelegentlich im DNS auf.

Ich las den Thread soeben nocheinmal durch, um meine Erinnerung aufzufrischen, welchen Kummer ich hier vortrug.
Eine Anregung war ein clientseitiges Skript zu automatisieren, was ich für mich nicht als Lösung sah.
Jetzt kam mir gerade in den Sinn, dass ein serverseitiges Skript ein Ansatz sein könnte.

Das serverseitige Skript könnte folgende Schritte ausführen:

1. Den DHCP auslesen und sehen welche Leases aktuell vergeben sind.
2. Falls zwei Leases zum selben Rechnernamen vergeben sind, dann das ältere löschen.
3. Anschließend im DNS nach Einträgen (im IP-Bereich des DHCP-Pools) suchen und alle löschen, für die im Moment kein Lease besteht und zwar in der Forward- und der Reverse-Lookupzone.
Wenn man noch hinbekäme, dass das Skript ausgelöst wird, wenn es im DHCP zu einer Änderung kommt, die nicht durch das Skript selbst verursacht wurde, könnte das eine echte Lösung sein.
Zur Not könnte es natürlich auch zeitgesteuert ablaufen, was aber weniger Eleganz hätte.


zu 1.:
netsh dhcp server scope 192.168.0.0 show clients > dhcpliste.txt
(192.168.0.0 = Netzkennung für 192.168.0.x/255.255.255.0)

zu 3.:
nslookup < nsscript.txt

Inhalt von nsscript.txt:
ls -t a abc.local > dnsforwardliste.txt
ls -t a 0.168.192.in-addr.arpa > dnsreverseliste.txt
exit

(abc.local = Name der Forward-Zone)
(0.168.192.in-addr.arpa = Name der Reverse-Zone)

Was noch fehlt sind die Lösch-Befehle für DHCP- und für DNS-Einträge und natürlich noch die zuvor auszuführende Auswertung der drei generierten Textdateien.

Hinweis:
Der Erfolg von nslookup ist hiervon abhängig:
DNS-Server -> Zone -> Eigenschaften -> Zonenübertragung -> [x] Zonenübertragungen zulassen:

Gruß Frank
Mitglied: holli.zimmi
holli.zimmi 01.11.2016 um 11:41:06 Uhr
Goto Top
Hi,

netsh dhcp server scope 192.168.0.0 show clients > dhcpliste.txt

da fehlt der Parameter 1 dahinter, sonst werden die Hostnamen nicht angezeigt:
also so:

Gruß

Holli