13
Namensauflösung von Domäne A nach Domäne B ohne Vertrauensstellung?
Hallo Leute, ich bin's...
Ich knabbere noch immer an dem Problem der Namensauflösung herum.
Hintergrund: Es sind 2 Domänen mit einem Windows Server verbunden, der 2 Netzwerkkarten hat; eine für jedes Netzwerk.
Die Domänen sind von der Namensgebung völlig verschieden (also keine Subdomäne der anderen) und müssen auch getrennt sein, da es sich um eine produktive und eine Laborumgebung handelt. Trotzdem soll es möglich sein, aus der produktiven Domäne heraus die Rechnernamen der Labordomäne aufzulösen, damit RDP funktioniert.
Wie kann ich das anstellen?
Liebe vorösterliche Grüße
Cleo
Ich knabbere noch immer an dem Problem der Namensauflösung herum.
Hintergrund: Es sind 2 Domänen mit einem Windows Server verbunden, der 2 Netzwerkkarten hat; eine für jedes Netzwerk.
Die Domänen sind von der Namensgebung völlig verschieden (also keine Subdomäne der anderen) und müssen auch getrennt sein, da es sich um eine produktive und eine Laborumgebung handelt. Trotzdem soll es möglich sein, aus der produktiven Domäne heraus die Rechnernamen der Labordomäne aufzulösen, damit RDP funktioniert.
Wie kann ich das anstellen?
Liebe vorösterliche Grüße
Cleo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563478
Url: https://administrator.de/contentid/563478
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
im DNS Server die jeweils andere Domain als Conditional Forwarder eintragen, Fertig,
lg
Slainte
im DNS Server die jeweils andere Domain als Conditional Forwarder eintragen, Fertig,
lg
Slainte
Vielen Dank für deinen Tipp,
den habe ich nun umgesetzt, aber obwohl ich die IP Adresse des Domänenservers in der Labordomäne pingen kann bekomme ich beim NetBIOS Namen und auch beim FQDN die Meldung, dass der Host nicht aufgelöst werden kann.
Was mache ich falsch?
lg
Cleo
Nachtrag: Der Ping klappt wechselseitig jedoch immer nur über die IP Adresse; die Namensauflösung klappt in keine Richtung.
den habe ich nun umgesetzt, aber obwohl ich die IP Adresse des Domänenservers in der Labordomäne pingen kann bekomme ich beim NetBIOS Namen und auch beim FQDN die Meldung, dass der Host nicht aufgelöst werden kann.
Was mache ich falsch?
lg
Cleo
Nachtrag: Der Ping klappt wechselseitig jedoch immer nur über die IP Adresse; die Namensauflösung klappt in keine Richtung.
1. ist Ping kein Tool um DNS Auflösung zu testen. Verwende am besten nslookup
2. Dein Setup sieht nu so aus?
- DNS Server DC A: Domain-B forward an IP-DC/DNS-B
- DNS Client DC A: 127.0.0.1(bzw. 2ter DC in Dom-A)
- DNS Server DC B: Domain-A forward an IP-DC/DNS-A
- DNS Client DC B: 127.0.0.1(bzw. 2ter DC in Dom-B)
- Clients-A: DNS = DC/DNS-A
- Clients-B: DNS = DC/DNS-B
3. Teste bitte:
- Client-A: nslookup DC-B.domain-b.tld
- Client-B: nslookup DC-A.domain-a.tld
2. Dein Setup sieht nu so aus?
- DNS Server DC A: Domain-B forward an IP-DC/DNS-B
- DNS Client DC A: 127.0.0.1(bzw. 2ter DC in Dom-A)
- DNS Server DC B: Domain-A forward an IP-DC/DNS-A
- DNS Client DC B: 127.0.0.1(bzw. 2ter DC in Dom-B)
- Clients-A: DNS = DC/DNS-A
- Clients-B: DNS = DC/DNS-B
3. Teste bitte:
- Client-A: nslookup DC-B.domain-b.tld
- Client-B: nslookup DC-A.domain-a.tld
Es reicht nicht den Rechnernamen anzupingen (bzw versuchen aufzulösen). Du muss auch mit angeben in welcher Domäne er ist, also:
statt
gibst Du ein
statt
ping pcnamegibst Du ein
ping pcname.inderanderendomäne.de
Also ich habe jetzt mal folgende Einstellungen vorgenommen:
Domäne A (produktiv) mit 3 DNS Servern hat eine replizierte bedingte Weiterleitung zu Domäne B (Labornetz).
Auf allen DNS Servern der produktiven Domäne ist die Bedingte Weiterleitung abgebildet.
Der Gateway Server (in keiner Domäne) hat ein aktiviertes Routing/Ras und ebenfalls einen DNS Server, auf dem die Forward Zone Domäne B (Labornetz) und eine Bedingte Weiterleitung zu Domäne A (produktiv).
Der Domänencontroller der Domäne B (Labornetz) hat eine Forward Zone von Domäne B (Labornetz). In der Forward Zone von Domäne B (Labornetz) sind der Gateway Server mit seiner 172.x IP und auch der DomänenController als A Record eingetragen und der DC auch als SOA.
Folgendes habe ich dann ausgeführt:
nslookup von jedem DNS Server (DC) der Domäne A auf den DC der Domäne B: (...) nicht gefunden: Non-existent domain.
nslookup vom DNS Server des Gateways auf die DCs der Domäne A funktioniert.
nslookup vom DNS Server (DC) der Domäne B auf den DNS Server des Gateways: funktioniert.
nslookup vom DNS Server (DC) der Domäne B auf jeden DC der Domäne A: (...) nicht gefunden: Non-existent domain.
Alle Firewalls der beteiligten Server sind deaktiviert - es ist zum Mäusemelken!
@NordicMike: ja das hatte ich auch gemacht, aber das Ergebnis war dennoch negativ.
Noch'n Hinweis:
Ich bekomme beim nslookup von einem der DNS Server der produktiven Domäne auf den DNS Server des Gatewayservers (ohne Domäne) diese Antwort:
Nicht autorisierende Antwort:
Name: vs-lab-gate.labor.test
Address: 172.20.0.252
Zumindest den DNS Server kann ich mit seinem FQDN auflösen, aber wenn ich versuche den DC der labor.test-Domäne aufzulösen, geht's wieder schief.
Domäne A (produktiv) mit 3 DNS Servern hat eine replizierte bedingte Weiterleitung zu Domäne B (Labornetz).
Auf allen DNS Servern der produktiven Domäne ist die Bedingte Weiterleitung abgebildet.
Der Gateway Server (in keiner Domäne) hat ein aktiviertes Routing/Ras und ebenfalls einen DNS Server, auf dem die Forward Zone Domäne B (Labornetz) und eine Bedingte Weiterleitung zu Domäne A (produktiv).
Der Domänencontroller der Domäne B (Labornetz) hat eine Forward Zone von Domäne B (Labornetz). In der Forward Zone von Domäne B (Labornetz) sind der Gateway Server mit seiner 172.x IP und auch der DomänenController als A Record eingetragen und der DC auch als SOA.
Folgendes habe ich dann ausgeführt:
nslookup von jedem DNS Server (DC) der Domäne A auf den DC der Domäne B: (...) nicht gefunden: Non-existent domain.
nslookup vom DNS Server des Gateways auf die DCs der Domäne A funktioniert.
nslookup vom DNS Server (DC) der Domäne B auf den DNS Server des Gateways: funktioniert.
nslookup vom DNS Server (DC) der Domäne B auf jeden DC der Domäne A: (...) nicht gefunden: Non-existent domain.
Alle Firewalls der beteiligten Server sind deaktiviert - es ist zum Mäusemelken!
@NordicMike: ja das hatte ich auch gemacht, aber das Ergebnis war dennoch negativ.
Noch'n Hinweis:
Ich bekomme beim nslookup von einem der DNS Server der produktiven Domäne auf den DNS Server des Gatewayservers (ohne Domäne) diese Antwort:
Nicht autorisierende Antwort:
Name: vs-lab-gate.labor.test
Address: 172.20.0.252
Zumindest den DNS Server kann ich mit seinem FQDN auflösen, aber wenn ich versuche den DC der labor.test-Domäne aufzulösen, geht's wieder schief.
Ich denke dein Problem liegt hieran:
Warum das mit den Forwardzonen? Und warum auf dem Gateway-Server nochmal ein DNS? Wie beschrieben: Es ist ausreichen die Cond. Forwarders im AD-DNS in beiden Domänen zu konfigurieren
Der Domänencontroller der Domäne B (Labornetz) hat eine Forward Zone von Domäne B (Labornetz). In der Forward
Zone von Domäne B (Labornetz) sind der Gateway Server mit seiner 172.x IP und auch der DomänenController als A
Record eingetragen und der DC auch als SOA.
Zone von Domäne B (Labornetz) sind der Gateway Server mit seiner 172.x IP und auch der DomänenController als A
Record eingetragen und der DC auch als SOA.
Warum das mit den Forwardzonen? Und warum auf dem Gateway-Server nochmal ein DNS? Wie beschrieben: Es ist ausreichen die Cond. Forwarders im AD-DNS in beiden Domänen zu konfigurieren
@SlainteMhath
Also erst einmal möchte ich mich ganz herzlich bei Dir für Deine tatkräftige Unterstützung bedanken! Das ist wirklich toll, dass du hier hilfst!!
Die von Dir angesprochene Einstellung hatte ich zu allererst:
Domäne A hat eine bedingte Weiterleitung zu Domäne B und umgekehrt.
Leider hat das nicht geklappt - nslookup meinte immer nur "Non-existent domain", egal von wo aus (Domäne A oder B) ich den Befehl ausführte..
Deshalb habe ich den DNS Server mal auf das Gateway installiert um vielleicht damit eine Auflösung zu erreichen, bislang jedoch auch ohne Erfolg.
Der Hintergrund für die Trennung der beiden Domänen ist die Sicherheit der produktiven Domäne. Es muss verhindert werden, dass z.B. ein Virus oder Wurm der über die Testumgebung reinkommen könnte, Zugriff auf die produktive Domäne erhält.
Ich könnte für den Remotezugriff zwar die IP-Adressen der Testrechner der Laborumgebung verwenden, aber bei rund 180 virtuellen Maschinen macht das echt keinen Spass und die Produkttester würden das auch nicht besonders lustig finden: "welcher Server hat nochmal die aktuelle Testumgebung, war's 172.20.0.185 oder 172.20.0.169.. und mit welchem Client bin ich da nochmal verbunden?" Das ist die Herausforderung...
Deshalb kommt leider keine Sub-Domäne oder Vertrauensstellung der beiden Domänen in Frage.
lg
Cleo
Also erst einmal möchte ich mich ganz herzlich bei Dir für Deine tatkräftige Unterstützung bedanken! Das ist wirklich toll, dass du hier hilfst!!
Die von Dir angesprochene Einstellung hatte ich zu allererst:
Domäne A hat eine bedingte Weiterleitung zu Domäne B und umgekehrt.
Leider hat das nicht geklappt - nslookup meinte immer nur "Non-existent domain", egal von wo aus (Domäne A oder B) ich den Befehl ausführte..
Deshalb habe ich den DNS Server mal auf das Gateway installiert um vielleicht damit eine Auflösung zu erreichen, bislang jedoch auch ohne Erfolg.
Der Hintergrund für die Trennung der beiden Domänen ist die Sicherheit der produktiven Domäne. Es muss verhindert werden, dass z.B. ein Virus oder Wurm der über die Testumgebung reinkommen könnte, Zugriff auf die produktive Domäne erhält.
Ich könnte für den Remotezugriff zwar die IP-Adressen der Testrechner der Laborumgebung verwenden, aber bei rund 180 virtuellen Maschinen macht das echt keinen Spass und die Produkttester würden das auch nicht besonders lustig finden: "welcher Server hat nochmal die aktuelle Testumgebung, war's 172.20.0.185 oder 172.20.0.169.. und mit welchem Client bin ich da nochmal verbunden?" Das ist die Herausforderung...
Deshalb kommt leider keine Sub-Domäne oder Vertrauensstellung der beiden Domänen in Frage.
lg
Cleo
Konzentrieren wir uns mal auf eine Richtung:
Im DNS Server der produktiven Domain hast/machst Du eine bedingte Weiterleitung mit dem Namen "labor.test" auf die IP Nummer des DNS Servers im Labornetzwerk - nicht auf das Gateway.
Der Gateway Rechner muss dafür DNS technisch nicht gefüttert werden, er muss nur dafür sorgen, dass die IP Pakete durch gehen und dass er selbst seine Server findet, da reichen aber IP Adressen.
Nun sollte der DNS Server des produktiven Netzes ein nslookup bereits schaffen:
nslookup labor.test
Wenn nicht: geht ein Ping durch bis zum DNS Servers der labor Umgebung?
Im DNS Server der produktiven Domain hast/machst Du eine bedingte Weiterleitung mit dem Namen "labor.test" auf die IP Nummer des DNS Servers im Labornetzwerk - nicht auf das Gateway.
Der Gateway Rechner muss dafür DNS technisch nicht gefüttert werden, er muss nur dafür sorgen, dass die IP Pakete durch gehen und dass er selbst seine Server findet, da reichen aber IP Adressen.
Nun sollte der DNS Server des produktiven Netzes ein nslookup bereits schaffen:
nslookup labor.test
Wenn nicht: geht ein Ping durch bis zum DNS Servers der labor Umgebung?
OK, ich habe es nochmal so eingestellt:
Produktivnetz:
Labornetz:
Ping auf IP geht in beide Richtungen, auf NetBIOS oder FQDN nicht.
nslookup auf FQDN in beide Richtungen geht nicht.
lg
Cleo
Hier noch das Ergebnis ausgeführt von meinem Clientrechner der produktiven Domäne:
C:\Users\cleo>ping cleo-w10.labor.test
Ping wird ausgeführt für cleo-w10.labor.test [172.20.0.11] mit 32 Bytes Daten:
Antwort von 172.20.0.11: Bytes=32 Zeit=3ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=3ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=1ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=2ms TTL=127
Ping-Statistik für 172.20.0.11:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms
C:\Users\cleo>nslookup
Standardserver: SRV-DNS2.Produktivnetz.de
Address: 10.0.0.243
Address: 10.0.0.243
*** cleo-w10.labor.test wurde von SRV-DNS2.Produktivnetz.de nicht gefunden: Non-existent domain.
Produktivnetz:
Labornetz:
Ping auf IP geht in beide Richtungen, auf NetBIOS oder FQDN nicht.
nslookup auf FQDN in beide Richtungen geht nicht.
lg
Cleo
Hier noch das Ergebnis ausgeführt von meinem Clientrechner der produktiven Domäne:
C:\Users\cleo>ping cleo-w10.labor.test
Ping wird ausgeführt für cleo-w10.labor.test [172.20.0.11] mit 32 Bytes Daten:
Antwort von 172.20.0.11: Bytes=32 Zeit=3ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=3ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=1ms TTL=127
Antwort von 172.20.0.11: Bytes=32 Zeit=2ms TTL=127
Ping-Statistik für 172.20.0.11:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms
C:\Users\cleo>nslookup
Standardserver: SRV-DNS2.Produktivnetz.de
Address: 10.0.0.243
cleo-w10.labor.test
Server: SRV-DNS2.Produktivnetz.deAddress: 10.0.0.243
*** cleo-w10.labor.test wurde von SRV-DNS2.Produktivnetz.de nicht gefunden: Non-existent domain.
Die Einstellungen sollten so reichen, wenn der 172.20.0.10 der DC und DNS server im Labor ist und wenn 10.0.0.233 der DC und DNS Server im Produktivnetz ist.
Aber du hast jetzt vom client angefragt, nicht vom DNS server selbst. Hast den auch mal vom DNS Server angefragt?
Aber du hast jetzt vom client angefragt, nicht vom DNS server selbst. Hast den auch mal vom DNS Server angefragt?
Der Screenshot zeigt SRV-DNS1, der nslookup geht an SRV-DNS2 ....hast du eingestellt, das die Forwardung Rules auf alle AD Server repliziert werden? Und dann auch den Replikationszyklus abgewartet?
Ansonsten bin ich bei @NordicMike - die Konfig sieht richtig aus.
/EDIT: da hat ein Leerzeichen gefehlt
Ansonsten bin ich bei @NordicMike - die Konfig sieht richtig aus.
/EDIT: da hat ein Leerzeichen gefehlt
Ich teste morgen nochmal und werde berichten; vielleicht müssen die Server ja auch nur mal " 'ne Nacht drüber schlafen..."
lg
cleo
lg
cleo
Hi Leute
Also erst mal DANKE! Ihr habt mir geholfen das Problem zu lösen!
Um es mit Sherlock Holmes auszudrücken: "Wenn man alles Unmögliche ausschließt, so muss das was übrig bleibt die Lösung sein!"
Und genau so war's: Die Konfiguration der bedingten Weiterleitung war in Ordnung, aber einer unserer DNS Server hatte eine fehlerhafte Weiterleitung, als ich diese behob, funktionierte auch die Auflösung der Testumgebung wie erwartet!
Nochmal Danke an Euch alle, die ihr geholfen habt, diesen gordischen Knoten zu knacken!
LG und schöne Ostern!
Cleo
Also erst mal DANKE! Ihr habt mir geholfen das Problem zu lösen!
Um es mit Sherlock Holmes auszudrücken: "Wenn man alles Unmögliche ausschließt, so muss das was übrig bleibt die Lösung sein!"
Und genau so war's: Die Konfiguration der bedingten Weiterleitung war in Ordnung, aber einer unserer DNS Server hatte eine fehlerhafte Weiterleitung, als ich diese behob, funktionierte auch die Auflösung der Testumgebung wie erwartet!
Nochmal Danke an Euch alle, die ihr geholfen habt, diesen gordischen Knoten zu knacken!
LG und schöne Ostern!
Cleo
