9
Verschiedene DNS-Server in unterschiedlichen Arbeitsgruppen koppeln per Lookupzonen (Namenserver nicht hinzufügbar)
Hallo,
ich arbeite in einer kleinen Firma, welche den IT-Support für mehrere kleinere Firmen leistet.
Diese Firmen haben nun fast alle noch Arbeitsgruppen und bis diese auf Domänen umgestellt werden könnte noch einige Jahre dauern.
Jetzt möchte ich aber die Möglichkeit haben, dass die Firmen sich untereinander unterhalten können, also zumindest die DNS-Server.
Ich will als Admin den Namen eines PCs eingeben können der in einer anderen Firma steht und die passende IP bekommen.
Die Router sind untereinander verbunden und damit besteht schonmal kein Problem eine IP zu finden und mit der zu quatschen.
Ich hatte mir das so vorgestellt:
Von Filiale 1 aus (192.168.20.x/24) zum "Hauptserver" (192.168.60.x/24)
- Ich erstelle eine Forward-Lookupzone (sekundär), die den Namen von unserer Arbeitsgruppe hat.
- Als Zonendateiname gebe ich "ASA.local.dns" an.
- Als Masterserver gebe ich die IP des Hauptservers an (192.168.60.1).
- Zonenübertragung "An jeden Server" (nur für Testzwecke bis es läuft, dann nur an Server die auch eingetragen sind)
- Unter Namenserver ist nun der Server der Arbeitsgruppe ASA mit der korrekten IP eingetragen
Dies bringt die gewünschten Ergebnisse (also keine Fehlermeldung).
- Unter Reverse-Lookupzone erstelle ich dann eine Zone namens "60.168.192.in-addr.arpa" (sekundär). Als Masterserver gebe ich hier auch wieder die 192.168.60.1 an(durch den Eintrag in der HOSTS-Datei wird das aufgeschlüsselt auf den korrekten Servernamen).
- Auch hier lasse ich die Zonenübertragung (vorläufig) an jeden Server zu.
- Unter Namensserver kann ich aber nichts eintragen, die Schaltflächen sind alls ausgegraut.
Dies führt aber zu einer Fehlermeldung "Zone wurde vom DNS-Server nicht geladen. Der DNS-Server hat einen Fehler beim Laden der Zone festgestellt. Bei der Übertragung von Zonendaten vom Masterserver ist ein Fehler aufgetreten..."
Vom "Haupserver" aus zur Filiale 1:
- Forward-Lookupzone (sekundär) erstellen mit dem Namen der Arbeitsgruppe der Filiale
- Zonendateiname "APO102.dns"
- Masterserver bekommt die IP des Servers der Filiale (192.168.20.1).
- Zonenübertragung zulassen (wieder temporär) für jeden Server.
- Namenserver ist auch hier ausgegraut.
Führt zum gleichen Fehler wie die Reverse-Lookupzone der Filiale
- Reverse-Lookupzone (sekundär) erstellen und alles genauso machen wie in der Filiale, was den gleichen Fehler erbringt.
Die erste Forward-Lookupzone hat funktioniert und der einzige Unterschied den ich sehe, ist dass unter Namenserver der entsprechende Server eingetragen ist (s.o.). Bei den anderen drei Zonen kann ich das aber nicht anlegen, da die Schaltflächen zum "Hinzufügen..." ausgegraut sind.
Jetzt die alles entscheidende Frage:
Hat jemand eine Idee woran das liegen könnte und wie ich es behebe?
p.s.: Wenn ich den Server (192.168.20.1) am "Hauptserver" als Masterserver für die Sekundärzone angebe, bekomme ich die Meldung dass dieser Server für die erforderliche Zone nicht "authorisierend" wäre.
ich arbeite in einer kleinen Firma, welche den IT-Support für mehrere kleinere Firmen leistet.
Diese Firmen haben nun fast alle noch Arbeitsgruppen und bis diese auf Domänen umgestellt werden könnte noch einige Jahre dauern.
Jetzt möchte ich aber die Möglichkeit haben, dass die Firmen sich untereinander unterhalten können, also zumindest die DNS-Server.
Ich will als Admin den Namen eines PCs eingeben können der in einer anderen Firma steht und die passende IP bekommen.
Die Router sind untereinander verbunden und damit besteht schonmal kein Problem eine IP zu finden und mit der zu quatschen.
Ich hatte mir das so vorgestellt:
Von Filiale 1 aus (192.168.20.x/24) zum "Hauptserver" (192.168.60.x/24)
- Ich erstelle eine Forward-Lookupzone (sekundär), die den Namen von unserer Arbeitsgruppe hat.
- Als Zonendateiname gebe ich "ASA.local.dns" an.
- Als Masterserver gebe ich die IP des Hauptservers an (192.168.60.1).
- Zonenübertragung "An jeden Server" (nur für Testzwecke bis es läuft, dann nur an Server die auch eingetragen sind)
- Unter Namenserver ist nun der Server der Arbeitsgruppe ASA mit der korrekten IP eingetragen
Dies bringt die gewünschten Ergebnisse (also keine Fehlermeldung).
- Unter Reverse-Lookupzone erstelle ich dann eine Zone namens "60.168.192.in-addr.arpa" (sekundär). Als Masterserver gebe ich hier auch wieder die 192.168.60.1 an(durch den Eintrag in der HOSTS-Datei wird das aufgeschlüsselt auf den korrekten Servernamen).
- Auch hier lasse ich die Zonenübertragung (vorläufig) an jeden Server zu.
- Unter Namensserver kann ich aber nichts eintragen, die Schaltflächen sind alls ausgegraut.
Dies führt aber zu einer Fehlermeldung "Zone wurde vom DNS-Server nicht geladen. Der DNS-Server hat einen Fehler beim Laden der Zone festgestellt. Bei der Übertragung von Zonendaten vom Masterserver ist ein Fehler aufgetreten..."
Vom "Haupserver" aus zur Filiale 1:
- Forward-Lookupzone (sekundär) erstellen mit dem Namen der Arbeitsgruppe der Filiale
- Zonendateiname "APO102.dns"
- Masterserver bekommt die IP des Servers der Filiale (192.168.20.1).
- Zonenübertragung zulassen (wieder temporär) für jeden Server.
- Namenserver ist auch hier ausgegraut.
Führt zum gleichen Fehler wie die Reverse-Lookupzone der Filiale
- Reverse-Lookupzone (sekundär) erstellen und alles genauso machen wie in der Filiale, was den gleichen Fehler erbringt.
Die erste Forward-Lookupzone hat funktioniert und der einzige Unterschied den ich sehe, ist dass unter Namenserver der entsprechende Server eingetragen ist (s.o.). Bei den anderen drei Zonen kann ich das aber nicht anlegen, da die Schaltflächen zum "Hinzufügen..." ausgegraut sind.
Jetzt die alles entscheidende Frage:
Hat jemand eine Idee woran das liegen könnte und wie ich es behebe?
p.s.: Wenn ich den Server (192.168.20.1) am "Hauptserver" als Masterserver für die Sekundärzone angebe, bekomme ich die Meldung dass dieser Server für die erforderliche Zone nicht "authorisierend" wäre.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285520
Url: https://administrator.de/forum/verschiedene-dns-server-in-unterschiedlichen-arbeitsgruppen-koppeln-per-lookupzonen-namenserver-nicht-285520.html
Ausgedruckt am: 22.04.2025 um 00:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
warum so kompliziert? Einfach in jeder Firma einen DNS-Server aufsetzen und dort für jede anderen DNS-Server einen Bedingte Weiterleitung auf den entsprechenden DNS-Server hinterlegen. Somit sind alle unabhängig von einander und fragen sich gegenseitig ab, wenn nötig.
Gruß,
Dani
warum so kompliziert? Einfach in jeder Firma einen DNS-Server aufsetzen und dort für jede anderen DNS-Server einen Bedingte Weiterleitung auf den entsprechenden DNS-Server hinterlegen. Somit sind alle unabhängig von einander und fragen sich gegenseitig ab, wenn nötig.
Gruß,
Dani
Habe ich versucht, aber auch hier bekomme ich die Meldung dass der Server nicht autorisierend wäre.
Ich habe es dann einfach mit einer normalen Weiterleitung probiert, aber auch wenn der 192.168.60.1 z.B. meine "intranet"-Adresse auflösen kann, so kommt dann vom 192.168.20.1 nur dass er es nicht auflösen konnte.
p.s.: Ich habe es nun geschafft dass der Server als autorisierend angenommen wird. Habe eine Forward-Lookupzone und eine Weiterleitung und eine bedingte Weiterleitung auf den Hauptserver. Und dennoch bekomme ich die Adresse "intranet" nicht aufgelöst... so langsam gehen mir die Optionen aus.
Ich habe es dann einfach mit einer normalen Weiterleitung probiert, aber auch wenn der 192.168.60.1 z.B. meine "intranet"-Adresse auflösen kann, so kommt dann vom 192.168.20.1 nur dass er es nicht auflösen konnte.
p.s.: Ich habe es nun geschafft dass der Server als autorisierend angenommen wird. Habe eine Forward-Lookupzone und eine Weiterleitung und eine bedingte Weiterleitung auf den Hauptserver. Und dennoch bekomme ich die Adresse "intranet" nicht aufgelöst... so langsam gehen mir die Optionen aus.
Moin,
Wenn du pro DNS-Server die jweilige Zone als "primär" einrichtest du auf den anderen Server diese Zone als bedingte Weiterleitung konfigurierst, läuft's...
Gruß,
Dani
Habe ich versucht, aber auch hier bekomme ich die Meldung dass der Server nicht autorisierend wäre
Wie hast du das festgestellt? Wenn dies auf einem einfachen nslookup zurückzuführen ist, so lass dir gesagt sein, dass dies normal ist.C:\>nslookup gmx.de
Server: fritz.box
Address: 192.168.52.1
Nicht autorisierende Antwort:
Name: gmx.de
Address: 213.165.65.60
Gruß,
Dani
Also entweder habe ich dich absolut falsch verstanden oder du mein Problem (bzw. mich).
Ich versuche das hier nochmal komplett aufzuschlüssen:
Server 1:
IP: 192.168.60.1
Subnet: 255.255.255.0 (also eigenes Subnet)
ist per VPN über die Router mit dem hier verbunden:
Server 2:
IP 192.168.20.1
Subnet: 255.255.255.0
Im DNS gibt es jetzt jeweils eine primäre Forward- und Reverse-Lookupzone.
Die Forwardlookup-Zone von Server 1 sieht in etwa so aus:
Status: wird ausgeführt
Typ: Primär
Replikation: (ausgegraut, weil kein AD)
Zonendateiname:
ASA.dns
Dynamische Updates (zum Test mal komplett freigegeben auch für unsichere Updates, normalerweise auf "keine" eingestellt).
Alterung steht auf 30 Tage (auch wenn das wohl komplett uninsteressant ist an dieser Stelle).
Zonenübertragung ist für Server auf der Registerkarte "Namenserver" eingeschaltet.
Benachrictigungen sind für diese Server ebenfalls aktiv.
WINS ist deaktiviert.
Auf Namenserver ist der Server 1 und auch Server 2 hinterlegt.
Klicke ich hier auf "bearbeiten..." so steht bei Server 1 die korrekte IP drin und dahinter bei "Überprüft" ein OK.
Bei Server 2 allerdings ist die IP zwar korrekt, doch statt einem OK, steht hier "Der Server mit dieser IP-Adresse ist für die erforderliche Zone nicht autorisierend.
Genauso sieht es bei der Reverse-Zone und auch der Bedingten Weiterleitung aus. Bei der Weiterleitung habe ich ganz simpel die IP 192.168.20.1 eingetragen und hier ist etwas wirklich merkwürdig. Mal von der üblichen Meldung abgesehen, dass der Server nicht autorisierend wäre, steht hier in der Spalte "Vollqualifizierter Domänenname" ein falscher Name drin. Die HOSTS ist leer, der DNS wurde von mir geflusht und dennoch steht hier ein falscher Servername und dahinter ein Punkt und dann kommt auch noch ein falscher Arbeitsgruppenname. Diese Namen sehen so aus, als hätte er sie irgendwo her. Denn sie waren mal richtig, bevor der Server 2 umgezogen ist. Beim Umzug wurde er komplett getauscht gegen einen neuen mit neuem Namen, etc. Der "neue" Server 2 hat den "alten" Server 2 komplett abgelöst und hat nur dessen IP übernommen.
Eine Idee wie ich das zurückgesetzt bekomme? Vielleicht wird es ja dann besser.
Ich versuche das hier nochmal komplett aufzuschlüssen:
Server 1:
IP: 192.168.60.1
Subnet: 255.255.255.0 (also eigenes Subnet)
ist per VPN über die Router mit dem hier verbunden:
Server 2:
IP 192.168.20.1
Subnet: 255.255.255.0
Im DNS gibt es jetzt jeweils eine primäre Forward- und Reverse-Lookupzone.
Die Forwardlookup-Zone von Server 1 sieht in etwa so aus:
Status: wird ausgeführt
Typ: Primär
Replikation: (ausgegraut, weil kein AD)
Zonendateiname:
ASA.dns
Dynamische Updates (zum Test mal komplett freigegeben auch für unsichere Updates, normalerweise auf "keine" eingestellt).
Alterung steht auf 30 Tage (auch wenn das wohl komplett uninsteressant ist an dieser Stelle).
Zonenübertragung ist für Server auf der Registerkarte "Namenserver" eingeschaltet.
Benachrictigungen sind für diese Server ebenfalls aktiv.
WINS ist deaktiviert.
Auf Namenserver ist der Server 1 und auch Server 2 hinterlegt.
Klicke ich hier auf "bearbeiten..." so steht bei Server 1 die korrekte IP drin und dahinter bei "Überprüft" ein OK.
Bei Server 2 allerdings ist die IP zwar korrekt, doch statt einem OK, steht hier "Der Server mit dieser IP-Adresse ist für die erforderliche Zone nicht autorisierend.
Genauso sieht es bei der Reverse-Zone und auch der Bedingten Weiterleitung aus. Bei der Weiterleitung habe ich ganz simpel die IP 192.168.20.1 eingetragen und hier ist etwas wirklich merkwürdig. Mal von der üblichen Meldung abgesehen, dass der Server nicht autorisierend wäre, steht hier in der Spalte "Vollqualifizierter Domänenname" ein falscher Name drin. Die HOSTS ist leer, der DNS wurde von mir geflusht und dennoch steht hier ein falscher Servername und dahinter ein Punkt und dann kommt auch noch ein falscher Arbeitsgruppenname. Diese Namen sehen so aus, als hätte er sie irgendwo her. Denn sie waren mal richtig, bevor der Server 2 umgezogen ist. Beim Umzug wurde er komplett getauscht gegen einen neuen mit neuem Namen, etc. Der "neue" Server 2 hat den "alten" Server 2 komplett abgelöst und hat nur dessen IP übernommen.
Eine Idee wie ich das zurückgesetzt bekomme? Vielleicht wird es ja dann besser.
Moin,
warum machst du den DNS-Server nicht am jeweiligen Standort zum Autoritativen. Auf den beiden anderen Server richtest du dafür eine bedingte Weiterleitung ein.
Gruß,
Dani
warum machst du den DNS-Server nicht am jeweiligen Standort zum Autoritativen. Auf den beiden anderen Server richtest du dafür eine bedingte Weiterleitung ein.
Gruß,
Dani
Mit der Antwort kann ich leider nicht viel anfangen. Welchen Server soll ich wo authorisieren?
Sorry, ich bin eigentlich FIAE und kein FISI. Ich kenne nur die Grundlagen der Administration.
Wäre es vielleicht möglich diese Antwort etwas detaillierter zu beschreiben?
Vielen Dank im Voraus
Sorry, ich bin eigentlich FIAE und kein FISI. Ich kenne nur die Grundlagen der Administration.
Wäre es vielleicht möglich diese Antwort etwas detaillierter zu beschreiben?
Vielen Dank im Voraus
Moin,
in Filiale 1 legst du auf dem DNS-Server eine authorisierte DNS-Zone für ASA.local.dns bzw. 192.168.20.x/24 ein. In der Zentrale richtest du für den DNS-Namespace im DNS-Server eine bedingte Weiterleitung ein. Somit brauchst du nichts unnötig replizieren und jeder Standort läuft unabhängt vom anderen.
Die zwei Schritte wiederholst du für alle anderen Standorte wieder und wieder und wieder.
Gruß,
Dani
in Filiale 1 legst du auf dem DNS-Server eine authorisierte DNS-Zone für ASA.local.dns bzw. 192.168.20.x/24 ein. In der Zentrale richtest du für den DNS-Namespace im DNS-Server eine bedingte Weiterleitung ein. Somit brauchst du nichts unnötig replizieren und jeder Standort läuft unabhängt vom anderen.
Die zwei Schritte wiederholst du für alle anderen Standorte wieder und wieder und wieder.
Gruß,
Dani
Hi Dani,
du meinst also ich soll eine Forward-Lookupzone in der Filiale anlegen, aber welcher Form? Ist das dann eine sekundäre oder eine primäre Zone? Wenn ich hier eine sekundäre nehme und die IP des Filialservers eintrage (oder auch die vom Zentralserver), bekomme ich immer wieder die Meldung dass der Server nicht authorisierend wäre. (ps. war krank, daher die lange Zeit bis zur Antwort ;))
du meinst also ich soll eine Forward-Lookupzone in der Filiale anlegen, aber welcher Form? Ist das dann eine sekundäre oder eine primäre Zone? Wenn ich hier eine sekundäre nehme und die IP des Filialservers eintrage (oder auch die vom Zentralserver), bekomme ich immer wieder die Meldung dass der Server nicht authorisierend wäre. (ps. war krank, daher die lange Zeit bis zur Antwort ;))
Moin,
an dem jeweiligen Standort legst du eine primäre Zone an. An den anderen Standorten richtest für diese primäre Zone einen bedingte Weiterleitung ein.
Gruß,
Dani
an dem jeweiligen Standort legst du eine primäre Zone an. An den anderen Standorten richtest für diese primäre Zone einen bedingte Weiterleitung ein.
bekomme ich immer wieder die Meldung dass der Server nicht authorisierend wäre
Führe einen nslookup www.gmx.de durch und du erhältest du die selbe Meldung. Wenn du de aut. DNS-Server für die Domain abfragst erscheint die Meldung nicht. Gruß,
Dani
