knoppers
Goto Top

Netzwerkstandort unter Windows Server 2016 ändern

Moin,

ich habe derzeit ein seltsames Verhalten mit dem Netzwerkstandort festgestellt und bin mir nicht sicher, ob dies so sein soll oder ein Konfigurationsfehler von mir vorliegt.

Ich habe derzeit 2 Windows Server (2012 & 2016) die jeweils als Domaincontroller konfiguriert sind. Beide sind in der gleichen Domain.
Nach Domain Beitritt des 2. Servers ohne die Rolle als AD-Server wurden die Standorte korrekt erkannt, nämlich als Domänen Netzwerk und der 2 Adapter als Öffentliches Netz. Nach Heraufstufung als AD werden jetzt beide Adapter als Domänennetzwerke aufgeführt. Dies lässt sich weder per Powershell ändern (Set-NetConnectionProfile), noch über die Gruppenrichtlinie.

Nun habe ich auf beiden Server 2 Netzwerkadapter mit folgender Konfiguration:

1 Adapter (Server 1):
Lokales Netzwerk
IP: 192.168.0.2
Mask: 255.255.255.0
DNS: 192.168.0.2 / 192.168.0.3 / 127.0.0.1

2 Adapter (Server 1):
Public Netzwerk
IP: 136.243.11*.1
Mask: 255.255.255.255
DNS: 8.8.4.4 / 8.8.8.8

1 Adapter (Server 2):
Lokales Netzwerk
IP: 192.168.0.3
Mask: 255.255.255.0
DNS: 192.168.0.3 / 192.168.0.2 / 127.0.0.1

2 Adapter (Server 2):
Public Netzwerk
IP: 136.243.11*.
2
Mask: 255.255.255.255
DNS: 8.8.4.4 / 8.8.8.8


Dieses Thema wurde auch mehrfach bereits besprochen, allerdings ohne das eine Lösung genannt wurde.
Server 2008 R2 Netzwerkstandort permanent falsch erkannt
https://social.technet.microsoft.com/Forums/en-US/ba92eede-e0a4-4fa0-8b4 ...

Ist dies verhalten so korrekt kann dies ja eventuell jemand kurz bestätigen.
Und ja, ich weiß das Multihome auf einem DC nicht zu empfehlen ist - es hängt aber auch eine Firewall vor.

Viele Grüße

Content-ID: 357371

Url: https://administrator.de/contentid/357371

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

Looser27
Looser27 07.12.2017 um 10:34:28 Uhr
Goto Top
Zwar o.T. aber Du solltest den Google-DNS durch den DNS Deines ISP ersetzen. Die Telekom z.B. blockiert den Google-DNS bei starker Frequentierung durch eine IP-Adresse (selber schon gehabt).

Gruß

Looser
emeriks
emeriks 07.12.2017 um 10:37:44 Uhr
Goto Top
Hi,
das "multihomed" hat nichts damit zu tun, ob da irgendwo noch ne Firewall zwischen ist oder nicht. Hierbei geht es rein um das Routing zwischen AD-Member und DC's sowie der DC's unter sich. Es muss sichergestellt sein, dass ein DC von allen AD-Member oder anderen DC's über alle IP-Adressen erreichbar ist, mit welchen er im DNS steht.
Und daraus folgt implizit: Wenn ein DC über beide Netzkarten jeweils einen anderen DC erreichen kann, dann wird er beide Netze als Domänennetze erkennen.
Also entweder dafür sorgen, dass sich die DC's nur mit der internen Adresse im DNS registrieren, die vorhandenen, falschen Records löschen, oder - viiiiiel besser - die DC's nur mit einer NIC im internen Netz betreiben.

E.
KnoPPerS
KnoPPerS 07.12.2017 aktualisiert um 10:52:37 Uhr
Goto Top
Hi Ihr beiden,

zu Looser:
Danke für den Tipp! Werde ich beherzigen und gleich mal umsetzen.

Zu ermeriks:
Alles klar habe ich soweit verstanden. Danke!
Fraglich ist es dennoch, wie die Server über den Public DNS sich erreichen können? Eingehende DNS Anfragen sind jedenfalls durch die FW gesperrt. Lediglich ausgehende DNS Anfragen zu (derzeit noch Google DNS) sind erlaubt.
Dann werde ich die DNS Einträge und Einstellungen noch einmal überprüfen und bereinigen. Bin gespannt ob dies Abhilfe schaffen wird.

Gruß
emeriks
emeriks 07.12.2017 aktualisiert um 11:06:45 Uhr
Goto Top
Fraglich ist es dennoch, wie die Server über den Public DNS sich erreichen können?
Über den internen DNS ! Dort werden sich beide DC bestimmt mit jeweils beiden IP-Adressen registriert haben. Und das musst unterbinden.
Round Robin sorgt dafür, dass abwechselnd mal die eine und mal die andere geliefert werden.
emeriks
emeriks 07.12.2017 um 11:09:59 Uhr
Goto Top
Und noch was:
Der Computer mag zwar mehrere NIC und mehrere IP-Adressen haben, aber er hat nur eine Liste an DNS-Servern. Er wird immer nur jene DNS-Server verwenden, welche an jener NIC gebunden sind, welche an erster Stelle gebunden ist.