ozricxx
18.05.2017
view2642
view11
0
Goto Top

Verständnisproblem DNS auf DC

FrageMicrosoftWindows Server
Guten Tag Zusammen,

ich habe ein kleines Verständnisproblem bezüglich unserer Testumgebung.
Wir haben einen 2012R2 DC laufen. Dieser DC ist ebenfalls DNS- und DHCP-Server.
Die Domain heißt dom01.test.net (wir haben eine funktionierende Top-Level-Domain).
D.h. der DC ist im LAN bekannt als dc1.dom01.test.net.
Am Testnetzwerk sitzt eine Sophos UTM als Firewall, Gateway und DNS Forwarder.
Auf dem DC ist utner "Weiterleitung" im DNS die Sophos eingetragen. Auflösen von Domains funktioniert auch wunderbar.
Nun haben wir die Sophos auch als Reverse Proxy eingerichtet. Auf der WAN-Schnittstelle lauscht der Reverse Proxy und leitet HTTP an einen internen Server.
Die Subdomain sub.test.net zeigt über den DNS des Domain Providers auf die öffentliche IP der Sophos. Im Reverse Proxy der Sophos ist sub.test.net als Alias eingetragen.
Von einem beliebigen Gerät außerhalb des Netzwerkes funktioniert alles wie erwartet. Unter sub.test.net ist der interne Webserver abrufbar.
Aus der Domäne heraus (dom01.test.net) wird sub.test.net allerdings gar nicht aufgelöst. Sollte eigentlich über die Sophos an den DNS des Providers gehen und auflöst werden, wie jede andere Domain.

Nun dachte ich mir, vielleicht ist das ja korrekt?
Eventuell sieht sich der DC DNS zuständig für die Top-Level-Domain (test.net).
Was mich nun sehr wundert, ist die Tatsache, dass ich Umgebungen kenne, in denen genau diese Konstellation ohne weitere Zonen im DC DNS funktioniert.
D.h. AD läuft unter standort1.firma.de und dennoch können Mitarbeiter auf firma.de oder webmail.firma.de.

Wo liegt mein Denkfehler?
Danke für eure Hilfe!

Viele Grüße
Jan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 338237

Url: https://administrator.de/contentid/338237

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
emeriks
emeriks 18.05.2017 um 17:38:33 Uhr
Goto Top
Hi,
Aus der Domäne heraus (dom01.test.net)
Was heißt das? Von Member dieser Domäne oder einfach nur von einem Client aus diesem Subnetz? Oder direkt vom DC?
Interessant ist eigentlich nur, welchen DNS-Server der Computer nutzt, von welchem aus Du versuchst, den Namen "sub.test.net" aufzulösen.

E.
ozricXX
ozricXX 18.05.2017 um 17:44:26 Uhr
Goto Top
Ich versuche es von einem Member.
Also ein PC, der den DC als DNS nutzt.

Viele Grüße
Jan
emeriks
emeriks 18.05.2017 um 17:56:58 Uhr
Goto Top
Was kommt denn, wenn Du an diesem PC mit NSLOOKUP den Namen "sub.test.net" auflösen willst?
ozricXX
ozricXX 18.05.2017 um 18:03:57 Uhr
Goto Top
Keine Antwort.
Also er löst nichts auf.

Viele Grüße
Jan
emeriks
emeriks 18.05.2017 um 18:29:02 Uhr
Goto Top
Keine Antwort? Von wem nicht?

Bei mir kommt dann sowas raus:

C:\Windows\system32>nslookup
Standardserver:  abc.xyz.local
Address:  192.168.0.193

> xxxxx.yyyyy.zzzz
Server:  abc.xyz.local
Address:  192.168.0.193

*** xxxxx.yyyyy.zzzz wurde von abc.xyz.local nicht gefunden: Non-existent domain.
>

Und bei Dir kommt "keine Antwort"? Aha.
ozricXX
ozricXX 18.05.2017 um 19:10:36 Uhr
Goto Top
Entschuldige die unpräzise Antwort.
Hier die Ausgabe vom DC aus.

Windows PowerShell
Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\Users\Administrator> nslookup
Standardserver:  localhost
Address:  127.0.0.1

> xx.xxx.xx
Server:  localhost
Address:  127.0.0.1

Nicht autorisierende Antwort:
Name:    xx.xxx.xx
emeriks
emeriks 18.05.2017 um 19:20:29 Uhr
Goto Top
So ne Nicht-Antwort bekomme ich, wenn ich es tatsächlich mit "sub.test.net" versuche. s.u. (google.de als Vergleich)

"127.0.0.1" suggeriert mir, dass Du es direkt am DC/DNS versucht hast?
Macht es einen Unterschied, wenn Du es tatsächlich vom Member-PC aus machst?

> sub.test.net
Server:  abc.xyz.local
Address:  192.168.0.193

Name:    sub.test.net

> www.google.de
Server:  abc.xyz.local
Address:  192.168.0.193

Nicht autorisierende Antwort:
Name:    www.google.de
Addresses:  2a00:1450:400e:800::2003
          62.214.62.56
          62.214.62.52
          62.214.62.54
          62.214.62.50
          62.214.62.55
          62.214.62.49
          62.214.62.53
          62.214.62.51
          62.214.62.48
          62.214.62.58
          62.214.62.59
          62.214.62.57

>
ozricXX
ozricXX 18.05.2017 um 19:40:58 Uhr
Goto Top
Genau, war der DC, auf dem Member-PC habe ich den identischen Effekt.
Die Domain ist natürlich eine (eigentlich) Funktionierende.
Vom Handy aus etc. ist es kein Problem.
ozricXX
ozricXX 21.05.2017 um 21:28:00 Uhr
Goto Top
Ich versuche das Problem noch mal kurz zusammen zu fassen:

test.net ist nur ein Platzhalter für unsere legitime Top Level Domain.
Wir nutzen dom01.test.net als AD Domäne.
Auf dem DC DNS der Domäne ist nur eine Zone dom01.test.net vorhanden, wurde bei dcpromo von Windows erstellt, so weit, so normal.
Nun können wir keinerlei andere Subdomains von test.net innerhalb des ADs (egal ob Membe roder DC) auflösen.
Ist da snormal?

Viele Grüße
emeriks
emeriks 22.05.2017 um 07:43:02 Uhr
Goto Top
Auf dem DC ist utner "Weiterleitung" im DNS die Sophos eingetragen.
Nun haben wir die Sophos auch als Reverse Proxy eingerichtet. Auf der WAN-Schnittstelle lauscht der Reverse Proxy und leitet HTTP an einen internen Server.
Die Subdomain sub.test.net zeigt über den DNS des Domain Providers auf die öffentliche IP der Sophos. Im Reverse Proxy der Sophos ist sub.test.net als Alias eingetragen.
Der Hund ist hier irgendwo begraben.
Ich würde es einfach pragmatisch angehen und auf dem DNS/DC eine Zone "sub.test.net" anlegen. In dieser einen A-Record ohne Namen mit der gewüchten internen IP-Adresse. (läuft auf "Split-DNS" hinaus)
ozricXX
ozricXX 22.05.2017 um 10:49:29 Uhr
Goto Top
Das funktioniert so auch.
Aber ist ja eigentlich nicht normal oder?
In diesem Fall muss ich alle DNS-Einträge doppelt pflegen.
Was mich stutzig macht, ist die Tatsache, dass es in anderen Umgebungen wie erwartet funktioniert.
FrageMicrosoftWindows Server
Mehr von ozricXXozricXXEinzel-Domain vs Multi-Domain-ForestozricXX - 11 KommentareozricXXExchange Trust zwischen Domains - Lösungsvorschläge gesuchtozricXX - 2 KommentareozricXXFrage bezüglich RDP per GPOozricXX - 8 KommentareozricXXZusätzlicher DomAdmin kann nicht in NETLOGON schreibenozricXX - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 19 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare