Microsoft Forefront macht DNS Fehler
Hallo,
ich habe ein DNS-Problem, welches ausschließlich auf meiner Firewall auftritt, dort aber bitter.
Deswegen weis ich nun nicht, soll ich unter Firewall oder DNS fragen.
Ich habe ein kleines Netzwerk mit einer Domäne, deren interner Name mit dem Externen identisch ist. Das ist historisch gewachsen, als es insbesondere wegen Email Adressen keine bessere Lösungen gab. (irgendwann in den 90er)
Die Domäne begann als NT4.0 Domäne und ist via Server 2000, 2003 derzeit auf Server 2008R2 angekommen. Die Domäne hat einen Microsoft Forefront Server (Domänenmitglied) auf Server 2008r2 als Firewall/Proxy.
Seit einigen Jahren läuft fast alles auf einem einzigen dicken Server in vielen VMWares, aber mit eigenen Netzkarten und Netzkabeln und grossem Switch und WLAN Routern.
Der DC hat die IP 192.168.100.1, die Firewall hat 192.168.100.16
Der Forefront wählt direkt mittels Modem in das DSL ein (das mache ich seit es ISA-Server gibt so), ich habe eine statische IP-Adresse bei der Telekom.
Wenn ich den DNS-Fluss auf dem Proxy protokollieren lasse, dann stimmt auch alles:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
auf dem Proxy ist kein Gateway eingetragen, alle anderen Server haben den DC als Nameserver und den Proxy (192.168.100.16) als Gateway, die Workstations bekommen das via DHCP.
Alle Rechner im internen Netz, auch die, die kein Domänenmitglied sind lösen Ping DC zu 192.168.100.1 auf. NSlookup Rechner liefert den DC mit der richtigen IP als Server und Rechner mit seiner IP als Name.
Ausser dem Proxy mit dem Forefront:
Auf diesem liefert PING DC die externe IP 88.xxxx meiner externen Domänenverwaltung für die externe Domäne.
NSLookup DC liefert den Namen des Telekom-Einwahlknotens und meine externe (statische) IP 217.xxxx als Server zurück und als nicht autorisierende Antwort den DC-Namen und die IP-Adresse meiner externen Domäneverwaltung 88.xxx
Ich habe übrigens mittels nicht großer Stichprobe festgestellt, dass der Proxy ALLE internen Rechner falsch auflöst, und zwar immer gleich, so wie oben beschrieben. Egal ob den Exchange Server, die SQL-Server, den Webserver, die Clients...
Und ein PING "nicht bekannter Rechnername" liefert ebenfalls obiges Ergebnis
Folgerichtig gehen manche Sachen nicht richtig:
Ich kann keine Zertifikate für HTTPS usw. installieren
WSUS geht nicht
Firewalllogging auf internen SQL-Server geht nicht (Server nicht vorhanden)
sonst...?
Die Tücke: nach einen Reboot des Proxy, bzw. bereits nach Neustart des Firewalldienstes, macht der Proxy alles richtig, so nach einer Stunde oder so beginnt der schleichende Verlust der Fähigkeiten für korrekte Namensauflösung (Proxy kann wegen angeblichen Zeitunterschieden nicht mehr per RemoteDesktop mit Domänen Accounts angesprochen werden)
Ich habe nun mehrfach im DNS des DCs nachgeschaut, in der Forward Lookup Zone ist die externe IP 217.xxx von der Telekom nirgends aufgelistet, die externe IP 88.xxx meiner externen Domäne mit zwei Aliasen ("mail" und "Providername") als statischer Host(A) Eintrag.
Die Probleme begannen vor einigen Monaten, ohne dass Sie mir wirklich aufgefallen wären, ich kann also nicht mehr sagen, ob ich eine weitere Firewallregel eingeführt habe, die das verbiegt (und wenn, wieso erst einige Zeit nach Systemstart). Da durch, dass das Netz intern läuft, und man nicht so auf mit der Firewall beschäftigt ist, wenn sie mal steht sucht man an dieser als letztes bei Fehlern.
hat jemand ähnliche Erfahrungen oder Tips?
Mit freundlichen Grüssen
Alex. Bierig
ich habe ein DNS-Problem, welches ausschließlich auf meiner Firewall auftritt, dort aber bitter.
Deswegen weis ich nun nicht, soll ich unter Firewall oder DNS fragen.
Ich habe ein kleines Netzwerk mit einer Domäne, deren interner Name mit dem Externen identisch ist. Das ist historisch gewachsen, als es insbesondere wegen Email Adressen keine bessere Lösungen gab. (irgendwann in den 90er)
Die Domäne begann als NT4.0 Domäne und ist via Server 2000, 2003 derzeit auf Server 2008R2 angekommen. Die Domäne hat einen Microsoft Forefront Server (Domänenmitglied) auf Server 2008r2 als Firewall/Proxy.
Seit einigen Jahren läuft fast alles auf einem einzigen dicken Server in vielen VMWares, aber mit eigenen Netzkarten und Netzkabeln und grossem Switch und WLAN Routern.
Der DC hat die IP 192.168.100.1, die Firewall hat 192.168.100.16
Der Forefront wählt direkt mittels Modem in das DSL ein (das mache ich seit es ISA-Server gibt so), ich habe eine statische IP-Adresse bei der Telekom.
Wenn ich den DNS-Fluss auf dem Proxy protokollieren lasse, dann stimmt auch alles:
DNS: 192.168.100.16(Proxy) -> 192.168.100.1 (DC)
DNS: 192.168.100.1(DC) -> alle möglichen externen DNS-Server
auf dem Proxy ist kein Gateway eingetragen, alle anderen Server haben den DC als Nameserver und den Proxy (192.168.100.16) als Gateway, die Workstations bekommen das via DHCP.
Alle Rechner im internen Netz, auch die, die kein Domänenmitglied sind lösen Ping DC zu 192.168.100.1 auf. NSlookup Rechner liefert den DC mit der richtigen IP als Server und Rechner mit seiner IP als Name.
Ausser dem Proxy mit dem Forefront:
Auf diesem liefert PING DC die externe IP 88.xxxx meiner externen Domänenverwaltung für die externe Domäne.
NSLookup DC liefert den Namen des Telekom-Einwahlknotens und meine externe (statische) IP 217.xxxx als Server zurück und als nicht autorisierende Antwort den DC-Namen und die IP-Adresse meiner externen Domäneverwaltung 88.xxx
Ich habe übrigens mittels nicht großer Stichprobe festgestellt, dass der Proxy ALLE internen Rechner falsch auflöst, und zwar immer gleich, so wie oben beschrieben. Egal ob den Exchange Server, die SQL-Server, den Webserver, die Clients...
Und ein PING "nicht bekannter Rechnername" liefert ebenfalls obiges Ergebnis
Folgerichtig gehen manche Sachen nicht richtig:
Ich kann keine Zertifikate für HTTPS usw. installieren
WSUS geht nicht
Firewalllogging auf internen SQL-Server geht nicht (Server nicht vorhanden)
sonst...?
Die Tücke: nach einen Reboot des Proxy, bzw. bereits nach Neustart des Firewalldienstes, macht der Proxy alles richtig, so nach einer Stunde oder so beginnt der schleichende Verlust der Fähigkeiten für korrekte Namensauflösung (Proxy kann wegen angeblichen Zeitunterschieden nicht mehr per RemoteDesktop mit Domänen Accounts angesprochen werden)
Ich habe nun mehrfach im DNS des DCs nachgeschaut, in der Forward Lookup Zone ist die externe IP 217.xxx von der Telekom nirgends aufgelistet, die externe IP 88.xxx meiner externen Domäne mit zwei Aliasen ("mail" und "Providername") als statischer Host(A) Eintrag.
Die Probleme begannen vor einigen Monaten, ohne dass Sie mir wirklich aufgefallen wären, ich kann also nicht mehr sagen, ob ich eine weitere Firewallregel eingeführt habe, die das verbiegt (und wenn, wieso erst einige Zeit nach Systemstart). Da durch, dass das Netz intern läuft, und man nicht so auf mit der Firewall beschäftigt ist, wenn sie mal steht sucht man an dieser als letztes bei Fehlern.
hat jemand ähnliche Erfahrungen oder Tips?
Mit freundlichen Grüssen
Alex. Bierig
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280531
Url: https://administrator.de/forum/microsoft-forefront-macht-dns-fehler-280531.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
ich nehme an du hast auf beiden Interfaces des Forefront DNS Server eingetragen? Da intern und extern die gleiche Domain verwenden und die Telekom DNS Server je nach Einstellung für jeden Blödsinn eine Antwort liefern (Suchseite!) solltest du auf dem externen Interface die DNS Server deaktivieren, dann wird nur der DC als DNS Server verwendet. Weitere Details z.B. hier :
https://technet.microsoft.com/en-us/library/cc995245.aspx
Gruß
Andi
ich nehme an du hast auf beiden Interfaces des Forefront DNS Server eingetragen? Da intern und extern die gleiche Domain verwenden und die Telekom DNS Server je nach Einstellung für jeden Blödsinn eine Antwort liefern (Suchseite!) solltest du auf dem externen Interface die DNS Server deaktivieren, dann wird nur der DC als DNS Server verwendet. Weitere Details z.B. hier :
https://technet.microsoft.com/en-us/library/cc995245.aspx
Gruß
Andi