florian.rhomberg
Goto Top

Probleme mit Windows DNS Server

Hallo liebe Leute,
ich habe seit heute Mittag das Problem, dass bei einem unserer Kunden plötzlich die externe DNS Auflösung des Windows Server nicht mehr funktioniert bzw. auch intern immer wieder die Meldung kommt Timeout, ehe die interne Auflösung der Computer die richtige IP-Adresse zurückgibt.

Kurzer Hintergrund:
Letzte Woche ist bei dem Kunden ein alter virtueller Windows 2012SBS Server mit Exchange eingegangen, für eine genaue Fehleranalyse war bsiher keine Zeit.
Nach Rücksprache mit dem Kunden haben wir beschlossen einen neuen W2019 mit Exchange 2019 aufzusetzen, der vorläufig auch als AD und DNS Server fungieren soll. Wir haben das über das WE gemacht und alles hat gut funktioniert bis heute mittag.

Seitdem haben wir das Problem, dass der neue Server willkürlich das Netzwerk mal als Domänennetzwerk erkennt, dann als privates (Firewall deswegen einmal sicherheishalber ausgeschaltet) und vorallem die extrerne DNS Auflösung nicht mehr funktioniert. Wir haben diese als Weiterleitung auf 8.8.8.8 konfiguriert und hier dauert es teilweise ewig, oder der Name wir erst garnicht aufgelöst. Auch intern quält uns der server mit Verzögerungen bei der NS Auflösung:

DNS request timed out timeout was 2 seconds
Server unknown
Address: 192.168.100.10

Name: srv-file.domain.at
Address: 192.168.100.11

Das alles tritt erst seit Mittag auf und wir haben am Vormittag nur am Exchange Server gearbeitet.

Wir sind dann drauf gekommen, dass der Server trotz einer fixen IP-Adresse eine APIPA bekommt. Das ganze ist eine virtuelle Maschine auf einem ESXI 6.0 Server. Sind dann nach der folgenden Anleitung vorgegangen https://wsuspraxis.de/windows-server-bekommt-apipa-trotz-fester-ip-adres ... und konnten damit den Server wieder per IP-Adresse ereichbar machen. Allerdings die Probleme mit der DNS Auflösung bleiben.
Irgendwie gehen mir langsam die Ideen aus, vielleicht kann mir jemand helfen.

Florian

Content-ID: 507210

Url: https://administrator.de/contentid/507210

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 21.10.2019 um 22:11:05 Uhr
Goto Top
Das ist ein Witz oder?
Das schreit nach handeln ohne über haupt Ahnung davon zu haben.
florian.rhomberg
florian.rhomberg 21.10.2019 um 22:33:46 Uhr
Goto Top
Wir sind genau nach Leitfaden vorgegangen, ein Team untersucht die Ursache wieso der SBS Server ausgefallen ist (wir wissen auch schon die Ursache dafür), während ich das System nach Kundenwunsch wieder in Betrieb nehme. Ich weiß jetzt nicht was Ihnen daran nicht passt.

Florian
lcer00
lcer00 21.10.2019 um 22:45:17 Uhr
Goto Top
Hallo,
W2019 mit Exchange 2019 aufzusetzen, der vorläufig auch als AD und DNS Server fungieren soll
Das ist definitiv keine gute Idee. Und definitiv nicht nach Leitfaden. Das Abschalten der Firewall ist dabei sicher auch nicht hilfreich.

Ansonsten solltest Du prüfen, ob da ein Schelm noch die selbe IP verwendet. Ach ja - welches Gerät mimt eigentlich den DHCP-Server?

Grüße

lcer
StefanKittel
StefanKittel 21.10.2019 um 23:24:18 Uhr
Goto Top
Hallo,

ich rate mal.
Ihr verwendet statische IPv4-Adressen, habt die IPv6-Adressen ignoriert und verwendet einen Router mit IPv6 aktiviert (z.B. Fritz!Box)?

Wenn Ihr für IPv6 keine Adressen vergeben habt, laufen die auf DHCP.
Nun holt sich der Server per DHCP auf dem IPv6-Interface eine IP von dem Router und die NLA dreht durch und macht das Netzwerk zum öffentlichen und/oder dann zum privaten.

A) IPv6 am Router abschalten (nicht optimal, weil das bestimmt irgendwann Jemand wieder anschaltet)
B) IPv6 am Server abschalten (nicht empfeholen)
C) IPv6 feste IPs vergeben ohne GW (fe80::20 z.B.)

Stefan
117471
117471 22.10.2019 aktualisiert um 05:08:30 Uhr
Goto Top
Hallo,

ich bin erschrocken, dass man Exchange (immer noch) auf einem DC installieren kann.

8.8.8.8 ist im Unternehmen eine sehr schlechte Idee. Betreibt der ISP keinen DNS?

Gruß,
Jörg
Vision2015
Vision2015 22.10.2019 aktualisiert um 09:58:09 Uhr
Goto Top
moin...
Zitat von @florian.rhomberg:

Hallo liebe Leute,
ich habe seit heute Mittag das Problem, dass bei einem unserer Kunden plötzlich die externe DNS Auflösung des Windows Server nicht mehr funktioniert bzw. auch intern immer wieder die Meldung kommt Timeout, ehe die interne Auflösung der Computer die richtige IP-Adresse zurückgibt.
schon mal den DNS des Providers geprüft... oder 1.1.1.1

Kurzer Hintergrund:
Letzte Woche ist bei dem Kunden ein alter virtueller Windows 2012SBS Server mit Exchange eingegangen, für eine genaue Fehleranalyse war bsiher keine Zeit.
als fachfirma oder dienstleister solltet du wissen, das es keinen SBS2012 gibt... du redest wohl vom SBS2011!
Nach Rücksprache mit dem Kunden haben wir beschlossen einen neuen W2019 mit Exchange 2019 aufzusetzen, der vorläufig auch als AD und DNS Server fungieren soll. Wir haben das über das WE gemacht und alles hat gut funktioniert bis heute mittag.
also eine VM mehr hätte den braten auch nicht fett gemacht... warum der fusch?

Seitdem haben wir das Problem, dass der neue Server willkürlich das Netzwerk mal als Domänennetzwerk erkennt, dann als privates (Firewall deswegen einmal sicherheishalber ausgeschaltet) und vorallem die extrerne DNS Auflösung nicht mehr funktioniert.
schon mal den NLA Dienst auf verzögert gestellt? und oder neugestartet?
Wir haben diese als Weiterleitung auf 8.8.8.8 konfiguriert und hier dauert es teilweise ewig, oder der Name wir erst garnicht aufgelöst. Auch intern quält uns der server mit Verzögerungen bei der NS Auflösung:
nutze mal den provider dns...
was sagt den dein DNS Server dazu... schon mal die config geprüft?
ereignisprotokoll sagt was?
doppelte IP Adressen / DHCP fehler / falsch eingerichtet?

DNS request timed out timeout was 2 seconds
Server unknown
Address: 192.168.100.10

Name: srv-file.domain.at
Address: 192.168.100.11

Das alles tritt erst seit Mittag auf und wir haben am Vormittag nur am Exchange Server gearbeitet.
und was verstehst du unter "gearbeitet"?

Wir sind dann drauf gekommen, dass der Server trotz einer fixen IP-Adresse eine APIPA bekommt.
welcher server? der ESXI ? der Exchange
Das ganze ist eine virtuelle Maschine auf einem ESXI 6.0 Server. Sind dann nach der folgenden Anleitung vorgegangen https://wsuspraxis.de/windows-server-bekommt-apipa-trotz-fester-ip-adres ... und konnten damit den Server wieder per IP-Adresse ereichbar machen. Allerdings die Probleme mit der DNS Auflösung bleiben.
Irgendwie gehen mir langsam die Ideen aus, vielleicht kann mir jemand helfen.
also als als erstes würde ich mal eigenen eigen DC einrichten, und die Config bereinigen.... mach es gleich ordentlich- so wird das nix.

Florian
Frank
Vision2015
Vision2015 22.10.2019 um 06:32:30 Uhr
Goto Top
moin...
Zitat von @117471:

Hallo,

ich bin erschrocken, dass man Exchange (immer noch) auf einem DC installieren kann.
und ich bin erschrocken, das sowas ein Dienstleister macht!

8.8.8.8 ist im Unternehmen eine sehr schlechte Idee. Betreibt der ISP keinen DNS?
bestimmt...aber das ist nicht sein größtes problem face-smile

Gruß,
Jörg
Frank
Ex0r2k16
Ex0r2k16 22.10.2019 um 09:01:14 Uhr
Goto Top
ESX 6.0, EXC auf DC in einer VM, DNS Redirect auf Google...wow. Ich bin ja gottweiß kein Profi aber was zur Hölle macht ihr da?

Wie groß ist die Umgebung überhaupt?
Spirit-of-Eli
Spirit-of-Eli 22.10.2019 um 09:18:38 Uhr
Goto Top
Zitat von @Ex0r2k16:

ESX 6.0, EXC auf DC in einer VM, DNS Redirect auf Google...wow. Ich bin ja gottweiß kein Profi aber was zur Hölle macht ihr da?

Wie groß ist die Umgebung überhaupt?

Sollte ja nicht groß sein wenn es sich um einen SBS handelt.
Ich würde dringend empfehlen ein Systemhaus hinzu zu ziehen, welches Erfahrung mit dem Thema hat.
Gerber
Gerber 22.10.2019 um 09:26:48 Uhr
Goto Top
Hello zusammen,

ich bin erschrocken, dass man Exchange (immer noch) auf einem DC installieren kann.
Leider findet man solche Konfigurationen doch häufiger von Dienstleistern vor.

Die Frage ist warum macht jemand sowas. Ich persönlich könnte Nachts nicht mehr schlafen, wenn ich so vom Kunden weggehe.
Aber nun ist es so vor Ort und muss geändert werden.

Wie die Vorgänger bereits geschrieben haben (@Vision2015) solltest du zuerst den DC sauber aufsetzten und diesen komplett prüfen ob das Event Log keine Fehler auswirft.

Exchange gehört immer, immer auf einen separaten Server.
Welche Windows Server Version habt ihr installiert? Essentials ? Standard ?

Gerade bei Standard habt ihr sowieso die Möglichkeit virtuell 2 Server aufzusetzen. Perfekt um einen SBS 2011 Server abzulösen.

Wichtig hierbei ist auch, falls es momentan ein Essentials ist und ihr auf die idee kommt einen zweite VM aufzusetzen bitte daran denken, dass der Essentials die FSMO Rollen braucht, sowie als DC fungieren.

###

Theoretisch wäre es bei einer Ablöse sinnvoller gewesen:

1.) Hypervisor aufsetzen
2.) zwei VMs
3.) zuerst den Exchange Server vom SBS migrieren.
4.) Exchange Server sauber auf dem SBS deinstallieren. Wichtig sonst kann es zu richtig schönen Problemen oder komischen Fehlern kommen
5.) DC migrieren
6.) SBS rausnehmen
7.) Freuen...
---

Die nächste Frage stellt sich mir hier, wird auf dem Server weiterhin per POP abgeholt (vermutlich im SBS2011 konfiguriert gewesen) oder werden die E-Mails über die Firewall eingeliefert?

Wird der Exchange nach außen öffentlich gemacht? Hoffentlich mit Firewall?

Grüße Phil
emeriks
emeriks 22.10.2019 um 10:04:46 Uhr
Goto Top
Hi,
Zitat von @florian.rhomberg:
Wir sind dann drauf gekommen, dass der Server trotz einer fixen IP-Adresse eine APIPA bekommt. Das ganze ist eine virtuelle Maschine auf einem ESXI 6.0 Server. Sind dann nach der folgenden Anleitung vorgegangen https://wsuspraxis.de/windows-server-bekommt-apipa-trotz-fester-ip-adres ... und konnten damit den Server wieder per IP-Adresse ereichbar machen. Allerdings die Probleme mit der DNS Auflösung bleiben.
Habt Ihr danach kontrolliert, ob in der DNS-Zone für das AD keine Records für diese APIPA-Adressen mehr drin stehen. Falls doch: Löschen!

E.
Spirit-of-Eli
Spirit-of-Eli 22.10.2019 um 10:13:25 Uhr
Goto Top
Soll ich dir sagen was die häufigste Aussage als Begründung ist? Die Kunden hätten kein Geld.
Wobei fast immer einfach Müll verkauft wurde was nicht hätte sein müssen.