4
Probleme bei der DNS Auflösung am zweiten Standort
Hallo zusammen,
ich habe aktuell ein Problem, was mich wahnsinnig macht - Bei einem von 4 Windows DCs (2x Server 2016, 2x Server 2022) funktioniert die externe DNS Auflösung nicht, die interne DNS Auflösung geht dagegen ohne Probleme.
3 der DCs befinden an einem Standort und der 4. DC (Server 2022) ist im Rechenzentrum und genau dieser macht die Probleme. Mir ist es eben aufgefallen, wo ich die Vorbereitungen für den geplanten Windows RAS Server getroffen hab und nur den DC im RZ als DNS eingetragen habe - Externe Webseiten waren nicht mehr erreichbar.
DCDIAG hab ich auf allen Servern ausgeführt und es sieht alles gut aus und die Replizierung der DCs klappt auch untereinander, auf die DNS Replizierung warte ich aktuell noch.
Der Standort ist mit dem RZ via einem IPsec Site2Site Tunnel verbunden, der von zwei Sophos XGs aufgebaut wird und auch funktionsfähig ist.
So sieht es bei dem DC am funktionierenden Standort aus:
Und so bei dem DC im RZ, der nicht extern auflösen möchte:
Hat jemand das Problem vielleicht schonmal gehabt oder kann mir einen Tipp geben, auf was ich achten muss/kann/sollte?
Vielen Dank
Phil
ich habe aktuell ein Problem, was mich wahnsinnig macht - Bei einem von 4 Windows DCs (2x Server 2016, 2x Server 2022) funktioniert die externe DNS Auflösung nicht, die interne DNS Auflösung geht dagegen ohne Probleme.
3 der DCs befinden an einem Standort und der 4. DC (Server 2022) ist im Rechenzentrum und genau dieser macht die Probleme. Mir ist es eben aufgefallen, wo ich die Vorbereitungen für den geplanten Windows RAS Server getroffen hab und nur den DC im RZ als DNS eingetragen habe - Externe Webseiten waren nicht mehr erreichbar.
DCDIAG hab ich auf allen Servern ausgeführt und es sieht alles gut aus und die Replizierung der DCs klappt auch untereinander, auf die DNS Replizierung warte ich aktuell noch.
Der Standort ist mit dem RZ via einem IPsec Site2Site Tunnel verbunden, der von zwei Sophos XGs aufgebaut wird und auch funktionsfähig ist.
So sieht es bei dem DC am funktionierenden Standort aus:
Und so bei dem DC im RZ, der nicht extern auflösen möchte:
Hat jemand das Problem vielleicht schonmal gehabt oder kann mir einen Tipp geben, auf was ich achten muss/kann/sollte?
Vielen Dank
Phil
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7096304855
Url: https://administrator.de/forum/probleme-bei-der-dns-aufloesung-am-zweiten-standort-7096304855.html
Ausgedruckt am: 15.03.2025 um 08:03 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Es sieht im übrigen so aus, dass deine int. DNS-Server direkt gegen einen ext. DNS-Server laufen?
Darüber kann man streiten, wir haben es allerdings so geklöst, dass unsere DCs/ DNS zur Sophos weiterleiten und die dann an den ext. DNS (DTAG/ Vodafone und/ oder Cloudflare) anklopfen.
Der Standort ist mit dem RZ via einem IPsec Site2Site Tunnel verbunden, der von zwei Sophos XGs aufgebaut wird und auch funktionsfähig ist.
Darf der Problem-DC/ DNS-Server denn die Sophos' mit ihren Port 53 Anfragen passieren?Es sieht im übrigen so aus, dass deine int. DNS-Server direkt gegen einen ext. DNS-Server laufen?
Darüber kann man streiten, wir haben es allerdings so geklöst, dass unsere DCs/ DNS zur Sophos weiterleiten und die dann an den ext. DNS (DTAG/ Vodafone und/ oder Cloudflare) anklopfen.
Moin em-pie,
jupp, aktuell sind die FW Regeln noch ausgehend any-any.
Was mich halt stutzig macht wäre, dass bei dem einem Server localhost steht beim nslookup und beim zweiten nur UnKnown.
Wenn ich beim betroffenen Server direkt den Google DNS anfrage bekomme ich folgendes:
Wenn ich den Befehl anpasse und den DC01 onprem nehme, dann bekomme ich folgende Ausgabe:
Und dann wenn ich den DC im RZ nehme:
jupp, aktuell sind die FW Regeln noch ausgehend any-any.
Was mich halt stutzig macht wäre, dass bei dem einem Server localhost steht beim nslookup und beim zweiten nur UnKnown.
Wenn ich beim betroffenen Server direkt den Google DNS anfrage bekomme ich folgendes:
nslookup google.com 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: google.com
Addresses: 2a00:1450:4007:808::200e
216.58.215.46Wenn ich den Befehl anpasse und den DC01 onprem nehme, dann bekomme ich folgende Ausgabe:
nslookup google.com 192.168.170.15
Server: SRVVM-AD01.domain.tld
Address: 192.168.170.15
Nicht autorisierende Antwort:
Name: google.com
Addresses: 2a00:1450:4001:806::200e
172.217.16.206Und dann wenn ich den DC im RZ nehme:
nslookup google.com 192.168.169.15
Server: SRVVM-RZ01-AD01.domain.tld
Address: 192.168.169.15
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
Moin,
Was ist den mit den eingehenden Regeln?
Unabhängig davon kann der Client, welcher nslookup google.com 192.168.169.15 ausführt, den Server 192.168.169.15 per Traceroute erreichen? Nicht das du ein Routing/NAT Problem hast. So genau ist das aus deiner Beschreibung für mich nicht klar
Gruß,
Dani
jupp, aktuell sind die FW Regeln noch ausgehend any-any.
Any Any Regeln lösen jedes Problem. Was ist den mit den eingehenden Regeln?Was mich halt stutzig macht wäre, dass bei dem einem Server localhost steht beim nslookup und beim zweiten nur UnKnown.
Ja bei dem einen Server fragt er sich vermutlich selbst, darum "localhost". Gibt es auf dem anderen Server, bei dem "Unkown" steht auch alle Forward/Reverse DNS-Zonen? Grundsätzlich ist das ein Anzeichen, dass der Reverse DNS Eintrag IP zu Namen nicht gefunden werden kann.Unabhängig davon kann der Client, welcher nslookup google.com 192.168.169.15 ausführt, den Server 192.168.169.15 per Traceroute erreichen? Nicht das du ein Routing/NAT Problem hast. So genau ist das aus deiner Beschreibung für mich nicht klar
Gruß,
Dani
Moin Dani,
danke dir für die Antwort
In der Zwischenzeit habe ich den "Holzhammer" geschwungen und den DC herabgestuft und die komplette VM neu aufgebaut - irgendwas war bei der Installation daneben gegangen.
Jetzt funktioniert die Namensauflösung ohne Probleme
Ich danke @em-pie und dir für die Antworten
Liebe Grüße
Philipp
danke dir für die Antwort
In der Zwischenzeit habe ich den "Holzhammer" geschwungen und den DC herabgestuft und die komplette VM neu aufgebaut - irgendwas war bei der Installation daneben gegangen.
Jetzt funktioniert die Namensauflösung ohne Probleme
Ich danke @em-pie und dir für die Antworten
Liebe Grüße
Philipp
