fabiange
Goto Top

Samba AD DC - DNS Einträge fehlerhaft

Hallo,
vor ein paar Jahren habe ich einen Samba AD Domain Controller aufgesetzt. Auf dem DC läuft ein isc-dhcp-server, der Adressen im Bereich von 192.168.81.50-192.168.81.199 vergibt.
Gleichzeitig fungiert er noch als WINS-Server.
Unterm Strich hatte alles direkt 1A funktioniert. Die Geräte bekamen eine IP-Adresse und konnten sich mit ihrem Namen untereinander finden.
Vor kurzem kam dann das erste Problem - ein PC wurde zu einer IP-Adresse außerhalb dieser DHCP-Range aufgelöst und dementsprechend nicht gefunden.

Nun geht das so weiter, mittlerweile sind alle PCs im Netzwerk nicht mehr per Namen erreichbar, da der DNS-Server vollkommen falsche Adressen ausspuckt (fein säuberlich durchnummeriert ab 192.168.81.45)
Merkwürdigerweise lief das alles seit Jahren so und da hat keiner mehr was angefasst.

hier die smb.conf
[global]
        dns forwarder = 8.8.8.8
        netbios name = DC
        realm = MYDOMAIN.DE
        server role = active directory domain controller
        workgroup = MYDOMAIN
        idmap_ldb:use rfc2307 = yes
        logon script = logon.bat
#das hier hatte ich neulich hinzugefügt - brachte keine Beseserung        wins support = yes
# das hier auch        name resolve order = wins


und hier die dhcpd.conf:
option domain-name "mydomain.de";  
option domain-name-servers 192.168.81.203;
option netbios-name-servers 192.168.81.203;
option ntp-servers 192.168.81.203;
default-lease-time 600;
max-lease-time 7200;

#das hier hatte ich neulich hinzugefügt: ddns-update-style standard;


subnet 192.168.81.0 netmask 255.255.255.0 {
  range 192.168.81.50 192.168.81.199;
  option routers 192.168.81.200;
}

Leider bin ich schon seit einer Weile aus der Thematik raus. Hat jemand eine Idee, wo ich ansetzen könnte? Danke!

Content-ID: 7888304331

Url: https://administrator.de/forum/samba-ad-dc-dns-eintraege-fehlerhaft-7888304331.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

commodity
commodity 18.07.2023 um 17:05:39 Uhr
Goto Top
Hallo,

zwei Ideen:
1. Im ISC mal gucken, welche Leases da drin stehen und ob sie auf die korrekten Rechner verweisen. Evtl. funkt da ja ein zweiter DHCP-Server im Netz.
2. das DDNS checken. Auf dem DC:
samba_dnsupdate --verbose --all-names

Wenn es Fehler gibt, Lösungssuche mit: https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records
oder schöner mit dem vorzüglichen Buch von Stefan Kania, für den Betreiber eines Samba-DC eine äußerst lohnenswerte Investition face-smile

Viele Grüße, commodity
Lochkartenstanzer
Lochkartenstanzer 18.07.2023 um 17:53:31 Uhr
Goto Top
Moin,

Meine Kristallkugel sagt, Du hast einen fremden DHCP-Server im Netz, der Deinem dazwischenfunkt. face-smile

lks
fabiange
fabiange 18.07.2023 aktualisiert um 20:44:52 Uhr
Goto Top
Hallo,
schönen Dank für die Antworten.
Der DHCP ist der einzige im Netz. Die Stichproben der problematischen Geräte haben passende Leases auf dem DC.
Wie ich gerade festgestellt habe, gibt es ein paar Geräte, bei denen die DNS Übersicht (Ich nutz dafür den DNS-Manager von Windows) beim Zeitstempel etwas aktuelles anzeigt. Diese Geräte haben auch die aktuelle IP.
Rufe ich auf einem der Geräte
ipconfig /registerdns
auf, so wird der Zeitstempel in der Übersicht aktualisiert.
Bei den anderen, die Probleme mit der DNS-Aktualisierung haben, Fehler finde ich dann im Ereignislog
  <Data Name="ErrorCode">9002</Data>   

Ebenfalls interessant finde ich die Tatsache, dass einige der Geräte als Zeitstempel 02.11.2020 17:00:00 dran stehen haben.

Noch jemand Ideen? Serverseitig vermute ich nun ehrlich gesagt fast keinen generellen Fehler, sonst würde das DNS-Update ja gar nicht funktionieren.

Achja:
root@DC:~# samba_dnsupdate --verbose --all-names
IPs: ['192.168.81.203']  

Viele Grüße
fabiange
Lösung fabiange 18.07.2023 um 21:59:14 Uhr
Goto Top
Nach mehreren Stunden verzweifelten Rumprobierens und Snapshot-Wiederherstellens, weil dann gar nix mehr ging, wollte ich gerade den Laptop zuklappen, da bin ich im DNS-Manager-Tool von Windows bei einem Eintrag auf den Reiter "Sicherheit". Da ist mir aufgefallen, dass als Eigentümer kein Kontoname o.ä. sondern eine UID(heißt das hier so?!) mit "unbekanntes Konto" stand.
Nachdem ich Vollzugriff für "jeder" angehakt hatte, kam auch schon dein DNS Update mit einer neuen IP rein.
Da stellt sich mir jetzt allerdings noch die Frage, was da passiert und und viel mehr stelle ich mir die Frage, wie das für die fehlerhaften IPs gesorgt hat.
Wie gesagt, da hat seit Jahren niemand mehr was angefasst und bis vor ner Woche lief auch alles flüssig.
Morgen werde ich dann mal sinnvolle Berechtigungen setzen, aber erstmal geht alles wieder.

Danke für eure Unterstützung!
JasperBeardley
JasperBeardley 19.07.2023 um 09:00:41 Uhr
Goto Top
Moin,

korrekt heißt es SID face-smile
Wenn du diese SID siehst, dann ist der dazugehörige Nutzer gelöscht.
Ich kenne mich mit dem Samba AD überhaupt nicht aus.
Gibt es da auch eine Funktion wie den AD Papierkorb im Windows?

Gruß
Jasper
Lochkartenstanzer
Lochkartenstanzer 19.07.2023 um 09:18:30 Uhr
Goto Top
Zitat von @fabiange:

Wie gesagt, da hat seit Jahren niemand mehr was angefasst und bis vor ner Woche lief auch alles flüssig.

Und dann kam Microsofts Patchday. face-smile

lks