5
Microsoft Forefront macht DNS Fehler
Hallo,
ich habe ein DNS-Problem, welches ausschließlich auf meiner Firewall auftritt, dort aber bitter.
Deswegen weis ich nun nicht, soll ich unter Firewall oder DNS fragen.
Ich habe ein kleines Netzwerk mit einer Domäne, deren interner Name mit dem Externen identisch ist. Das ist historisch gewachsen, als es insbesondere wegen Email Adressen keine bessere Lösungen gab. (irgendwann in den 90er)
Die Domäne begann als NT4.0 Domäne und ist via Server 2000, 2003 derzeit auf Server 2008R2 angekommen. Die Domäne hat einen Microsoft Forefront Server (Domänenmitglied) auf Server 2008r2 als Firewall/Proxy.
Seit einigen Jahren läuft fast alles auf einem einzigen dicken Server in vielen VMWares, aber mit eigenen Netzkarten und Netzkabeln und grossem Switch und WLAN Routern.
Der DC hat die IP 192.168.100.1, die Firewall hat 192.168.100.16
Der Forefront wählt direkt mittels Modem in das DSL ein (das mache ich seit es ISA-Server gibt so), ich habe eine statische IP-Adresse bei der Telekom.
Wenn ich den DNS-Fluss auf dem Proxy protokollieren lasse, dann stimmt auch alles:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
auf dem Proxy ist kein Gateway eingetragen, alle anderen Server haben den DC als Nameserver und den Proxy (192.168.100.16) als Gateway, die Workstations bekommen das via DHCP.
Alle Rechner im internen Netz, auch die, die kein Domänenmitglied sind lösen Ping DC zu 192.168.100.1 auf. NSlookup Rechner liefert den DC mit der richtigen IP als Server und Rechner mit seiner IP als Name.
Ausser dem Proxy mit dem Forefront:
Auf diesem liefert PING DC die externe IP 88.xxxx meiner externen Domänenverwaltung für die externe Domäne.
NSLookup DC liefert den Namen des Telekom-Einwahlknotens und meine externe (statische) IP 217.xxxx als Server zurück und als nicht autorisierende Antwort den DC-Namen und die IP-Adresse meiner externen Domäneverwaltung 88.xxx
Ich habe übrigens mittels nicht großer Stichprobe festgestellt, dass der Proxy ALLE internen Rechner falsch auflöst, und zwar immer gleich, so wie oben beschrieben. Egal ob den Exchange Server, die SQL-Server, den Webserver, die Clients...
Und ein PING "nicht bekannter Rechnername" liefert ebenfalls obiges Ergebnis
Folgerichtig gehen manche Sachen nicht richtig:
Ich kann keine Zertifikate für HTTPS usw. installieren
WSUS geht nicht
Firewalllogging auf internen SQL-Server geht nicht (Server nicht vorhanden)
sonst...?
Die Tücke: nach einen Reboot des Proxy, bzw. bereits nach Neustart des Firewalldienstes, macht der Proxy alles richtig, so nach einer Stunde oder so beginnt der schleichende Verlust der Fähigkeiten für korrekte Namensauflösung (Proxy kann wegen angeblichen Zeitunterschieden nicht mehr per RemoteDesktop mit Domänen Accounts angesprochen werden)
Ich habe nun mehrfach im DNS des DCs nachgeschaut, in der Forward Lookup Zone ist die externe IP 217.xxx von der Telekom nirgends aufgelistet, die externe IP 88.xxx meiner externen Domäne mit zwei Aliasen ("mail" und "Providername") als statischer Host(A) Eintrag.
Die Probleme begannen vor einigen Monaten, ohne dass Sie mir wirklich aufgefallen wären, ich kann also nicht mehr sagen, ob ich eine weitere Firewallregel eingeführt habe, die das verbiegt (und wenn, wieso erst einige Zeit nach Systemstart). Da durch, dass das Netz intern läuft, und man nicht so auf mit der Firewall beschäftigt ist, wenn sie mal steht sucht man an dieser als letztes bei Fehlern.
hat jemand ähnliche Erfahrungen oder Tips?
Mit freundlichen Grüssen
Alex. Bierig
ich habe ein DNS-Problem, welches ausschließlich auf meiner Firewall auftritt, dort aber bitter.
Deswegen weis ich nun nicht, soll ich unter Firewall oder DNS fragen.
Ich habe ein kleines Netzwerk mit einer Domäne, deren interner Name mit dem Externen identisch ist. Das ist historisch gewachsen, als es insbesondere wegen Email Adressen keine bessere Lösungen gab. (irgendwann in den 90er)
Die Domäne begann als NT4.0 Domäne und ist via Server 2000, 2003 derzeit auf Server 2008R2 angekommen. Die Domäne hat einen Microsoft Forefront Server (Domänenmitglied) auf Server 2008r2 als Firewall/Proxy.
Seit einigen Jahren läuft fast alles auf einem einzigen dicken Server in vielen VMWares, aber mit eigenen Netzkarten und Netzkabeln und grossem Switch und WLAN Routern.
Der DC hat die IP 192.168.100.1, die Firewall hat 192.168.100.16
Der Forefront wählt direkt mittels Modem in das DSL ein (das mache ich seit es ISA-Server gibt so), ich habe eine statische IP-Adresse bei der Telekom.
Wenn ich den DNS-Fluss auf dem Proxy protokollieren lasse, dann stimmt auch alles:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
auf dem Proxy ist kein Gateway eingetragen, alle anderen Server haben den DC als Nameserver und den Proxy (192.168.100.16) als Gateway, die Workstations bekommen das via DHCP.
Alle Rechner im internen Netz, auch die, die kein Domänenmitglied sind lösen Ping DC zu 192.168.100.1 auf. NSlookup Rechner liefert den DC mit der richtigen IP als Server und Rechner mit seiner IP als Name.
Ausser dem Proxy mit dem Forefront:
Auf diesem liefert PING DC die externe IP 88.xxxx meiner externen Domänenverwaltung für die externe Domäne.
NSLookup DC liefert den Namen des Telekom-Einwahlknotens und meine externe (statische) IP 217.xxxx als Server zurück und als nicht autorisierende Antwort den DC-Namen und die IP-Adresse meiner externen Domäneverwaltung 88.xxx
Ich habe übrigens mittels nicht großer Stichprobe festgestellt, dass der Proxy ALLE internen Rechner falsch auflöst, und zwar immer gleich, so wie oben beschrieben. Egal ob den Exchange Server, die SQL-Server, den Webserver, die Clients...
Und ein PING "nicht bekannter Rechnername" liefert ebenfalls obiges Ergebnis
Folgerichtig gehen manche Sachen nicht richtig:
Ich kann keine Zertifikate für HTTPS usw. installieren
WSUS geht nicht
Firewalllogging auf internen SQL-Server geht nicht (Server nicht vorhanden)
sonst...?
Die Tücke: nach einen Reboot des Proxy, bzw. bereits nach Neustart des Firewalldienstes, macht der Proxy alles richtig, so nach einer Stunde oder so beginnt der schleichende Verlust der Fähigkeiten für korrekte Namensauflösung (Proxy kann wegen angeblichen Zeitunterschieden nicht mehr per RemoteDesktop mit Domänen Accounts angesprochen werden)
Ich habe nun mehrfach im DNS des DCs nachgeschaut, in der Forward Lookup Zone ist die externe IP 217.xxx von der Telekom nirgends aufgelistet, die externe IP 88.xxx meiner externen Domäne mit zwei Aliasen ("mail" und "Providername") als statischer Host(A) Eintrag.
Die Probleme begannen vor einigen Monaten, ohne dass Sie mir wirklich aufgefallen wären, ich kann also nicht mehr sagen, ob ich eine weitere Firewallregel eingeführt habe, die das verbiegt (und wenn, wieso erst einige Zeit nach Systemstart). Da durch, dass das Netz intern läuft, und man nicht so auf mit der Firewall beschäftigt ist, wenn sie mal steht sucht man an dieser als letztes bei Fehlern.
hat jemand ähnliche Erfahrungen oder Tips?
Mit freundlichen Grüssen
Alex. Bierig
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280531
Url: https://administrator.de/contentid/280531
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
trage den DC auf dem TMG als DNS Server ein und konfiguriere dort die Weiterleitung richtig.
FIrewallregeln natuerlich entsprechend anpassen.
VG,
Thomas
trage den DC auf dem TMG als DNS Server ein und konfiguriere dort die Weiterleitung richtig.
FIrewallregeln natuerlich entsprechend anpassen.
VG,
Thomas
Hallo,
ich nehme an du hast auf beiden Interfaces des Forefront DNS Server eingetragen? Da intern und extern die gleiche Domain verwenden und die Telekom DNS Server je nach Einstellung für jeden Blödsinn eine Antwort liefern (Suchseite!) solltest du auf dem externen Interface die DNS Server deaktivieren, dann wird nur der DC als DNS Server verwendet. Weitere Details z.B. hier :
https://technet.microsoft.com/en-us/library/cc995245.aspx
Gruß
Andi
ich nehme an du hast auf beiden Interfaces des Forefront DNS Server eingetragen? Da intern und extern die gleiche Domain verwenden und die Telekom DNS Server je nach Einstellung für jeden Blödsinn eine Antwort liefern (Suchseite!) solltest du auf dem externen Interface die DNS Server deaktivieren, dann wird nur der DC als DNS Server verwendet. Weitere Details z.B. hier :
https://technet.microsoft.com/en-us/library/cc995245.aspx
Gruß
Andi
Hallo Andi und Thomas
der DC steht auf dem TMG auf der internen Netzkarte als DNS. auf der externen kann ich nichts eintragen, da diese dem Einwählmodem als Träger dient. Wenn ich diese Karte mit IP-Adressen beaufschlage, kann die DFUE nicht mehr einwählen.
Andi
ich habe/hatte die Konstellation, wie sie auf der Technetseite beschrieben ist umgesetzt.
Der Weg der DNS-Pakete wird vom Forefront ja so protokolliert:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
Der DC hat sich selbst als DNS-Server, der Forefront hat den DC als DNS-Server
Es existiert eine Regel, welche DNS-Abfragen von allen geschützten Netzwerk
Ich habe in meiner Verzweiflung auch schon eine Regel erstellt gehabt, die dem Forefront verbot DNS nach Extern zu machen...
Das Ergebnis: (censored)
Ich weiss ehrlich gesagt nicht, wie ich der DFUE-Verbindung die beiden DNS-Server der Telekom wegnehmen kann
Grüsse
Alex.
der DC steht auf dem TMG auf der internen Netzkarte als DNS. auf der externen kann ich nichts eintragen, da diese dem Einwählmodem als Träger dient. Wenn ich diese Karte mit IP-Adressen beaufschlage, kann die DFUE nicht mehr einwählen.
Andi
ich habe/hatte die Konstellation, wie sie auf der Technetseite beschrieben ist umgesetzt.
Der Weg der DNS-Pakete wird vom Forefront ja so protokolliert:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
Der DC hat sich selbst als DNS-Server, der Forefront hat den DC als DNS-Server
Es existiert eine Regel, welche DNS-Abfragen von allen geschützten Netzwerk
Ich habe in meiner Verzweiflung auch schon eine Regel erstellt gehabt, die dem Forefront verbot DNS nach Extern zu machen...
Das Ergebnis: (censored)
Ich weiss ehrlich gesagt nicht, wie ich der DFUE-Verbindung die beiden DNS-Server der Telekom wegnehmen kann
Grüsse
Alex.
Hallo,
ist zwar schon lange her aber eigentlich müsste die PPPoE (Breitband) Verbindung unter den Interfaces aufgeführt sein. Dort müsste man doch die Option DNS Server automatisch beziehen wegnehmen können?
Gruß
Andi
ist zwar schon lange her aber eigentlich müsste die PPPoE (Breitband) Verbindung unter den Interfaces aufgeführt sein. Dort müsste man doch die Option DNS Server automatisch beziehen wegnehmen können?
Gruß
Andi
Hallo Andi,
das wars...
man muss der DFUE-Verbindung sagen, dass sie IP4 benutzt (klar sonst geht nicht) und da kann man dann den DNS-Server manuell setzen
Ich gestehe, ich wäre nicht auf die Idee gekommen, auf der externen Verbindung einen internen DNS-Server aufzusetzen
Gruss Alex.
das wars...
man muss der DFUE-Verbindung sagen, dass sie IP4 benutzt (klar sonst geht nicht) und da kann man dann den DNS-Server manuell setzen
Ich gestehe, ich wäre nicht auf die Idee gekommen, auf der externen Verbindung einen internen DNS-Server aufzusetzen
Gruss Alex.
