7
Pfsense FW mit Windows DNS, DHCP und AD funktioniert nicht (NSLOOKUP)
Hallo zusammen,
ich bin nun seit mehreren Tagen an einem Problem drann.
Ich bekomme wenn ich nslookup ausführe und einen Client angebe z.B.
Test01 (gbit es) immer die Meldung:
*** test01 wurde von DC01.HSH.intern nicht gefunden: Non-existent domain.
Vorab, ich habe einen Server auf dem ich nun Pfsense eingerichtet habe. Ins
Internet komme ich sauber. Pfsense geht auf die IP von meiner Fritzbox, in der
FritzBox ist DHCP und DNS deaktiviert.
Über Pfsense habe ich nun ein Adapter mit einer IP Range 200.150.100.1 - 200.150.100.255.
Nun installiere ich den Domaincontroller:
- Server Name geändert: DC01
- Präfix eingetragen: hsh.intern
- IP Einstellungen am Netzwerkadapter durchgeführt: Server IP 200.150.100.2, GW
zeigt auf Pfsense 200.150.100.1, Sub Mask: 255.255.255.0
- Neustart
- Installation DNS, DHCP, AD
- Domaincontroller heraufstufen (neue Gesamt Struktur)
- Neustart
- Ändern der IP im Netzwerkadapter von Localhost (127.0.0.1) auf 200.150.100.2
- DNS Reverse Lookup Zone eingerichtet mit IP Range 200.150.100
- PTR Eintrag des DC01 in der Reverse Lookup Zone eingetragen
- DNS Einstellungen überprüft (eingestellt: nicht sichere und sichere Verbindungen)
- DHCP Zone eingerichtet und Autorisiert
Folgende Rechner im Netz:
- PC01
- TEST01
- DC01
- VM01
Alles funktioniert, ich komme ins Internet, jeder Rechner erhält eine IP, unter
IP-Konfig auf den Rechnern ist alles korrekt eingetragen (DNS, DHCP, IP etc.).
Ich denke mal hier sollte alles richtig sein?!
Jetzt das Problem mit NSLOOKUP, DC01 kann ich von einem Client nicht auflösen (z.B.
TEST01). DC01.hsh.intern kann ich von überall auflösen. Ping von TEST01 auf VM01
funktioniert z.B. nicht, NSLOOKUP zwischen den clients auch nicht.
Im DNS sind keine PRT einträge für die Clients vorhanden, in der Reverse Lookupzone
nur der Eintrag für PC01, keine anderen. Host A Einträge gibts nur für den DC01.
Warum legt er die Einträge also nicht automatisch an?
Ich habe die Möglichkeit auch alles neu zu installieren, allerdings habe ich das jetzt
schon 3x hinter mir, ohne Erfolg.
Vielleicht hat hier jemand ja eine Idee, vielleicht gerade im Bezug auf Pfsense, das
hier eventuell konfigurationen fehlen? DNS Resolver und DNS Server in PfSense deaktiviert.
Vielen Dank vorab!
ich bin nun seit mehreren Tagen an einem Problem drann.
Ich bekomme wenn ich nslookup ausführe und einen Client angebe z.B.
Test01 (gbit es) immer die Meldung:
*** test01 wurde von DC01.HSH.intern nicht gefunden: Non-existent domain.
Vorab, ich habe einen Server auf dem ich nun Pfsense eingerichtet habe. Ins
Internet komme ich sauber. Pfsense geht auf die IP von meiner Fritzbox, in der
FritzBox ist DHCP und DNS deaktiviert.
Über Pfsense habe ich nun ein Adapter mit einer IP Range 200.150.100.1 - 200.150.100.255.
Nun installiere ich den Domaincontroller:
- Server Name geändert: DC01
- Präfix eingetragen: hsh.intern
- IP Einstellungen am Netzwerkadapter durchgeführt: Server IP 200.150.100.2, GW
zeigt auf Pfsense 200.150.100.1, Sub Mask: 255.255.255.0
- Neustart
- Installation DNS, DHCP, AD
- Domaincontroller heraufstufen (neue Gesamt Struktur)
- Neustart
- Ändern der IP im Netzwerkadapter von Localhost (127.0.0.1) auf 200.150.100.2
- DNS Reverse Lookup Zone eingerichtet mit IP Range 200.150.100
- PTR Eintrag des DC01 in der Reverse Lookup Zone eingetragen
- DNS Einstellungen überprüft (eingestellt: nicht sichere und sichere Verbindungen)
- DHCP Zone eingerichtet und Autorisiert
Folgende Rechner im Netz:
- PC01
- TEST01
- DC01
- VM01
Alles funktioniert, ich komme ins Internet, jeder Rechner erhält eine IP, unter
IP-Konfig auf den Rechnern ist alles korrekt eingetragen (DNS, DHCP, IP etc.).
Ich denke mal hier sollte alles richtig sein?!
Jetzt das Problem mit NSLOOKUP, DC01 kann ich von einem Client nicht auflösen (z.B.
TEST01). DC01.hsh.intern kann ich von überall auflösen. Ping von TEST01 auf VM01
funktioniert z.B. nicht, NSLOOKUP zwischen den clients auch nicht.
Im DNS sind keine PRT einträge für die Clients vorhanden, in der Reverse Lookupzone
nur der Eintrag für PC01, keine anderen. Host A Einträge gibts nur für den DC01.
Warum legt er die Einträge also nicht automatisch an?
Ich habe die Möglichkeit auch alles neu zu installieren, allerdings habe ich das jetzt
schon 3x hinter mir, ohne Erfolg.
Vielleicht hat hier jemand ja eine Idee, vielleicht gerade im Bezug auf Pfsense, das
hier eventuell konfigurationen fehlen? DNS Resolver und DNS Server in PfSense deaktiviert.
Vielen Dank vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 396917
Url: https://administrator.de/contentid/396917
Printed on: April 19, 2024 at 19:04 o'clock
7 Comments
Latest comment
Moin,
Fehler Nummer 1:
Falsches IP-Netz gewählt:
Dein 200.150.100.0/24 ist ein Public-Netz und gehört einem brasilianischen ISP:
https://iplocation.info/blocks/200.150.100.0/
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
<korrektur>
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
</korrektur>
Nächste Fragen:
Hast du die Clients in die Domain aufgenommen?
wer darf alles DNS-Einträge auktualisieren? Nur am AD-registrierte Geräte (das ist ein Punkt in den DNS-Einstellungen, deren genaue Bezeichnung mit aber gerade entfallen ist)
Gruß
em-pie
Fehler Nummer 1:
Falsches IP-Netz gewählt:
Dein 200.150.100.0/24 ist ein Public-Netz und gehört einem brasilianischen ISP:
https://iplocation.info/blocks/200.150.100.0/
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
<korrektur>
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
</korrektur>
Nächste Fragen:
Hast du die Clients in die Domain aufgenommen?
wer darf alles DNS-Einträge auktualisieren? Nur am AD-registrierte Geräte (das ist ein Punkt in den DNS-Einstellungen, deren genaue Bezeichnung mit aber gerade entfallen ist)
Gruß
em-pie
1
200.150.100.1 - 200.150.100.255
Soll das dein internes Netzwerk (LAN) sein?https://www.lifewire.com/what-is-a-private-ip-address-2625970
1
Zitat von @em-pie:
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
10.0.0.0/8
172.16.0.0/16
192.168.x.0/24
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
10.0.0.0/8
172.16.0.0/16
192.168.x.0/24
Wenn du schon auf RFC verweist, dann bitte korrekt
Genutzt werden können die folgenden Bereiche vollständig oder Teilnetze daraus, jenachdem was man so braucht:
10.0.0.0/8
172.16.16.0/12
192.168.0.0/16
Der RFC1918 wurde 1996 eingeführt, also drei Jahre nach der Einführung von CIDR und ist demzufolge nicht klassenbasiert.
Zum Problem des TO:
Wenn deine Clients zur DNS-Auflösung die pfSense verwenden, dann muss die auch wissen, wen sie für deine internen Zonen fragen muss (nämlich deinen DC).
Das heißt, du muss entweder konfigurieren, dass die Forward-Lookupzone "hsh.intern." an deinen DC weitergeleitet wird, gleiches musst du natürlich auch für die Reverse-Lookupzone konfigurieren. Oder (einsteigerfreundlich) du konfigurierst deine pfSense so dass sie per DHCP die IP-Adresse deines DC als DNS-Server verteilt.
Der muss dann allerdings auch so konfiguriert sein, dass er alle Anfragen die er nicht lokal beantworten kann an deine pfSense weiterleitet (DNS-Forwarding).
Alles aber erst, nachdem du dein IP-Netz in Ordnung gebracht hast.
2
Vermutlich ist der TO Brasilianer...aber egal. Unverständlich warum man das RFC 1918 Prinzip heute immer noch nicht auf die Rille bekommt...ohne Worte ! 
Geraten kann man also vermuten das das eher ein Windows Server denn eine Firewall ist.
Geraten also setzt der TO vermutlich eine klassische Router Kaskade ein mit Firewall und FritzBox wobei (vermutlich) ein internen Windows Server der eigentliche DNS ist....auch geraten.
DNS dann auf der pfSense wäre Unsinn, da reicht der klassische normale Proxy DNS der eh Standard ist. Der interne DNS muss dann eine Weiterleitung haben auf die lokale pfSense IP.
Irgendwo in dieser Kette ist das Problem. Wo kann man aber nur raten weil die Details fehlen...
Wenn deine Clients zur DNS-Auflösung die pfSense verwenden
Mmmhhh.... der DNS Hostname DC01.hsh.intern hört sich ja erstmal nicht so an als ob die pfSense DNS Server ist, denn warum sollte man das DC=Domain Controller (geraten) nennen ?? Macht man ja eigentlich irgendwie nur bei Winblows Büchsen so.Geraten kann man also vermuten das das eher ein Windows Server denn eine Firewall ist.
Geraten also setzt der TO vermutlich eine klassische Router Kaskade ein mit Firewall und FritzBox wobei (vermutlich) ein internen Windows Server der eigentliche DNS ist....auch geraten.
DNS dann auf der pfSense wäre Unsinn, da reicht der klassische normale Proxy DNS der eh Standard ist. Der interne DNS muss dann eine Weiterleitung haben auf die lokale pfSense IP.
Irgendwo in dieser Kette ist das Problem. Wo kann man aber nur raten weil die Details fehlen...
Alles aber erst, nachdem du dein IP-Netz in Ordnung gebracht hast.
Sehr richtig !1
Hallo zusammen!
Vielen Dank für die Rückmeldung.
Ich habe soeben das netz 192.168.1.1 - 192.168.1.255 genommen und den LAN Adapter auf der PFsense umkonfiguriert.
Den DC nochmals komplett neu aufgesetzt. Es gibt schon ein wenig Besserung.
Die PTR-Einträge in der Reverse Lookupzone im DNS (Windows Seitig) werden entlich angelegt.
Kurz nochmal für das Verständnis, ich nutze die PFSense nur für FW / NAT / VPN etc. nicht für DNS oder DHCP (Ausgeschaltet).
Jetzt kann ich NSLOOKUP etwas besser verwenden, ich muss zwar den FQDN angeben, der Rechnername reicht leider nicht.
In der Forward Lookup Zone werden allerdings noch keine Host A Einträge automatisch angelegt, insofern ein Rechner nicht der
Domäne angehört. Angehörige erhalten einen Host A Eintrag...
Ein Ping ist aber auch noch nicht bei allen Maschinen funktionsfähig. Was mir noch aufgefallen ist das im Netz wohl IPV6 Priorisiert ist,
der Ping löst nach IPV6 auf?
In beiden Zonen Forward und Reverse, sind Dynamische Updates auf "Nicht sichere und sichere" eingestellt...
Hat noch einer eine Idee??
Vielen Dank an alle!!!
Vielen Dank für die Rückmeldung.
Ich habe soeben das netz 192.168.1.1 - 192.168.1.255 genommen und den LAN Adapter auf der PFsense umkonfiguriert.
Den DC nochmals komplett neu aufgesetzt. Es gibt schon ein wenig Besserung.
Die PTR-Einträge in der Reverse Lookupzone im DNS (Windows Seitig) werden entlich angelegt.
Kurz nochmal für das Verständnis, ich nutze die PFSense nur für FW / NAT / VPN etc. nicht für DNS oder DHCP (Ausgeschaltet).
Jetzt kann ich NSLOOKUP etwas besser verwenden, ich muss zwar den FQDN angeben, der Rechnername reicht leider nicht.
In der Forward Lookup Zone werden allerdings noch keine Host A Einträge automatisch angelegt, insofern ein Rechner nicht der
Domäne angehört. Angehörige erhalten einen Host A Eintrag...
Ein Ping ist aber auch noch nicht bei allen Maschinen funktionsfähig. Was mir noch aufgefallen ist das im Netz wohl IPV6 Priorisiert ist,
der Ping löst nach IPV6 auf?
In beiden Zonen Forward und Reverse, sind Dynamische Updates auf "Nicht sichere und sichere" eingestellt...
Hat noch einer eine Idee??
Vielen Dank an alle!!!
Hallo,
afaik trägt der Client sich der Client mit dem Hostnamen in die Forward Zone ein. Der Eintrag in die Reverse Zone erfolgt vom DHCP-Server. Es sei denn, Du sagst den Clients per GPO, dass sie sich revers eintragen sollen.
Ich würde DNS und DHCP komplett über den DC laufen lassen und die pfSense im DNS vom DC als übergeordneten DNS-Server eintragen.
Alles Andere bekommt man zwar auch irgendwie hingefrickelt, einen guten Grund für so eine Bastelei gibt es aber IMO nicht.
Gruß,
Jörg
afaik trägt der Client sich der Client mit dem Hostnamen in die Forward Zone ein. Der Eintrag in die Reverse Zone erfolgt vom DHCP-Server. Es sei denn, Du sagst den Clients per GPO, dass sie sich revers eintragen sollen.
Ich würde DNS und DHCP komplett über den DC laufen lassen und die pfSense im DNS vom DC als übergeordneten DNS-Server eintragen.
Alles Andere bekommt man zwar auch irgendwie hingefrickelt, einen guten Grund für so eine Bastelei gibt es aber IMO nicht.
Gruß,
Jörg
Zitat von @LordGurke:
Wenn du schon auf RFC verweist, dann bitte korrekt
Genutzt werden können die folgenden Bereiche vollständig oder Teilnetze daraus, jenachdem was man so braucht:
10.0.0.0/8
172.16.16.0/12
192.168.0.0/16
Der RFC1918 wurde 1996 eingeführt, also drei Jahre nach der Einführung von CIDR und ist demzufolge nicht klassenbasiert.
Zitat von @em-pie:
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
10.0.0.0/8
172.16.0.0/16
192.168.x.0/24
Halte dich bitte also an die RFC1918, bei der du alle (Subnetze) der folgenden Bereiche nutzen kannst:
10.0.0.0/8
172.16.0.0/16
192.168.x.0/24
Wenn du schon auf RFC verweist, dann bitte korrekt
Genutzt werden können die folgenden Bereiche vollständig oder Teilnetze daraus, jenachdem was man so braucht:
10.0.0.0/8
172.16.16.0/12
192.168.0.0/16
Der RFC1918 wurde 1996 eingeführt, also drei Jahre nach der Einführung von CIDR und ist demzufolge nicht klassenbasiert.
Danke für den Hinweis. Du hast natürlich recht. Flüchtigkeitsfehler meinerseits.
Habe es oben nochmal korrigiert, nicht dass es später mal zur Verwirrung führt
