12
Virtueller Server hat keinen Eintrag in der Forward-Lookupzone
Hallo zusammen,
ich habe da mal eine Frage zu DNS.
Das ist meine Situation:
- DNS ist bei uns schon ein paar Jahre eingerichtet und macht sonst auch keine Probleme
- Der virtuelle Server hat einen Pointer Eintrag in der Reverse Lookupzone
- Der virtuelle Servername kann mit "ping -a IP" aufgelöst werden
- Der virtuelle Server hat keinen Host-A Eintrag in der Forward Lookupzone
- Die IP Adresse des virtuellen Servers ist nicht doppelt vergeben
- Ich bin verwirrt
Es handelt sich bei dem virtuellen Server nur um einen einfachen Server 2012 ohne Exchange oder sonstigem, welches einen gesonderten Eintrag im DNS benötigen würde.
Da der virtuelle Server nicht in der Forwardzone auftaucht, kann er auch nicht mit "Ping Servername" erreicht werden. Eigentlich werden doch die Einträge im DNS "automatisch" hinzugefügt, also würde es ja auch nicht wirklich das Problem bei der Ursache bekämpfen, wenn ich selber einen Host(A) Eintrag setze.
Wisst ihr vielleicht, was die Ursache für einen fehlenden Eintrag in der Forwardzone sein kann? Leider fehlen bei mir bis jetzt etwas die praktischen Erfahrungen mit dem DNS, aber ich arbeite dran
Ganz liebe Grüße,
Desby2
ich habe da mal eine Frage zu DNS.
Das ist meine Situation:
- DNS ist bei uns schon ein paar Jahre eingerichtet und macht sonst auch keine Probleme
- Der virtuelle Server hat einen Pointer Eintrag in der Reverse Lookupzone
- Der virtuelle Servername kann mit "ping -a IP" aufgelöst werden
- Der virtuelle Server hat keinen Host-A Eintrag in der Forward Lookupzone
- Die IP Adresse des virtuellen Servers ist nicht doppelt vergeben
- Ich bin verwirrt
Es handelt sich bei dem virtuellen Server nur um einen einfachen Server 2012 ohne Exchange oder sonstigem, welches einen gesonderten Eintrag im DNS benötigen würde.
Da der virtuelle Server nicht in der Forwardzone auftaucht, kann er auch nicht mit "Ping Servername" erreicht werden. Eigentlich werden doch die Einträge im DNS "automatisch" hinzugefügt, also würde es ja auch nicht wirklich das Problem bei der Ursache bekämpfen, wenn ich selber einen Host(A) Eintrag setze.
Wisst ihr vielleicht, was die Ursache für einen fehlenden Eintrag in der Forwardzone sein kann? Leider fehlen bei mir bis jetzt etwas die praktischen Erfahrungen mit dem DNS, aber ich arbeite dran
Ganz liebe Grüße,
Desby2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299278
Url: https://administrator.de/contentid/299278
Printed on: April 25, 2024 at 12:04 o'clock
12 Comments
Latest comment
Hi,
sind für die Zone denn dynamische Updates erlaubt?
E.
sind für die Zone denn dynamische Updates erlaubt?
- Ist der Server in einer Domäne? Wenn nein, sind dann auch nicht sichere dynamische Updates erlaubt?
- Was ist, wenn Du am Server "ipconfig /registerdns" ausführst? Wird dann der A-Record erzeugt?
- Wenn der Server mit mehreren DNS-Servern konfiguriert ist, dann muss auf dem primären DNS-Server die Zone für dynamische Update erlaubt sein. Der Server wird es nur auf dem primären Server versuchen, solange dieser online ist. Erst wenn der primäre offline ist, würde er es auch über den sekundären versuchen.
- Im Eventlog des Server erscheinen normalerweise Einträge, wenn er seine Records nicht aktualisieren kann.
- Die Aktualisierung der Records ist für diesen Server nicht per GPO deaktiviert?
E.
Moin,
und zusätzlich sei angemerkt, das PING nicht dazu taugt (reverse) DNS Auflösung zu testen. Dazu nimmt man NSLOOKUP.
lg,
Slainte
und zusätzlich sei angemerkt, das PING nicht dazu taugt (reverse) DNS Auflösung zu testen. Dazu nimmt man NSLOOKUP.
lg,
Slainte
Hi emeriks,
danke für die schnelle Antwort.
0. Ja es sind dynamische Updates erlaubt (secure only)
1. Der Server ist in der selben Domäne wieder der DNS
2. Leider wird der Eintrag nicht hinzugefügt
3. Mein gewünschter DNS ist bei dem v Server als primärer DNS eingestellt und kann diesen via Ping auch erreichen
4. Wunderbar, es gibt mir die EreignisID: 8019 "Fehler beim Registrieren der Hostressourceneinträge(A oder AAA). " Diese Einträge konnten aufgrund eines Sicherheitsproblems nicht registriert werden.
5. Leider kann ich das nicht genau sagen, das müsste ich mal in Ruhe herausfinden.
LG, Desby2
danke für die schnelle Antwort.
0. Ja es sind dynamische Updates erlaubt (secure only)
1. Der Server ist in der selben Domäne wieder der DNS
2. Leider wird der Eintrag nicht hinzugefügt
3. Mein gewünschter DNS ist bei dem v Server als primärer DNS eingestellt und kann diesen via Ping auch erreichen
4. Wunderbar, es gibt mir die EreignisID: 8019 "Fehler beim Registrieren der Hostressourceneinträge(A oder AAA). " Diese Einträge konnten aufgrund eines Sicherheitsproblems nicht registriert werden.
5. Leider kann ich das nicht genau sagen, das müsste ich mal in Ruhe herausfinden.
LG, Desby2
Hi Slainte,
Danke für den Hinweis. Mit nslookup bekomme ich auf jeden Fall auch den Namen korrekt ausgegeben vom v Server.
Wie kommt das? Wenn ich erst bei einem anderen Rechner ein Flushdns durchführe und dann "ping -a IP v Server" eingebe, dann wird doch im DNS nach dem entsprechenden Namen geschaut oder nicht?
LG,
Desby2
Danke für den Hinweis. Mit nslookup bekomme ich auf jeden Fall auch den Namen korrekt ausgegeben vom v Server.
Wie kommt das? Wenn ich erst bei einem anderen Rechner ein Flushdns durchführe und dann "ping -a IP v Server" eingebe, dann wird doch im DNS nach dem entsprechenden Namen geschaut oder nicht?
LG,
Desby2
2. und 4. passen zusammen.
Aber wenn 0. und 1. dann stimmt da was nicht.
Entweder sind die Updates doch nicht erlaubt, Du schaust z.B. an der falschen Zone nach. Oder der Server darf nicht ändern. Dafür müsste die Zone AD-integriert sein und die Berechtigungen für diese Zone wurden geändert. Domänen-Computer müssen das Recht haben, untergeordnete Objekte zu erstellen.
Aber wenn 0. und 1. dann stimmt da was nicht.
Entweder sind die Updates doch nicht erlaubt, Du schaust z.B. an der falschen Zone nach. Oder der Server darf nicht ändern. Dafür müsste die Zone AD-integriert sein und die Berechtigungen für diese Zone wurden geändert. Domänen-Computer müssen das Recht haben, untergeordnete Objekte zu erstellen.
Zu 0. und 1.: Also der DNS und der Server sind in jedem Fall in der selben Domäne.
Wenn ich in dem DNS Manager einen Rechtsklick auf die Forward Lookupzone tätige > Properties > Gerneral - ist bei Dynamic updates "secure only" angewählt. Sonst würde es noch "none" und "nonsecure and secure" geben. Aber "secure" sagt doch aus, dass nur Geräte aus der selben Domäne Einträge hinzufügen dürfen - ist doch gut, wenn der virtuelle Server in der Domäne ist oder nicht?
Wenn ich in dem DNS Manager einen Rechtsklick auf die Forward Lookupzone tätige > Properties > Gerneral - ist bei Dynamic updates "secure only" angewählt. Sonst würde es noch "none" und "nonsecure and secure" geben. Aber "secure" sagt doch aus, dass nur Geräte aus der selben Domäne Einträge hinzufügen dürfen - ist doch gut, wenn der virtuelle Server in der Domäne ist oder nicht?
Hallo,
Gibt es ggf noch veraltete DNS-Einträge die von nicht mehr vorhandenen Computern angelegt wurden?
Gruß
Chonta
Zu 0. und 1.: Also der DNS und der Server sind in jedem Fall in der selben Domäne.
Also der V-Server ist Mitglied des Active-Directory mit Computerkonto und allem was dazugehört?Gibt es ggf noch veraltete DNS-Einträge die von nicht mehr vorhandenen Computern angelegt wurden?
Gruß
Chonta
Und die Berechtigungen für diese Zone?
Hallo Chonta,
genau, der Rechner ist mit allem was dazu gehört im Active Directory. Das kann ich leider nicht genau sagen, ob es noch Einträge gibt, die mal von nicht vorhandenen Rechnern hinzugefügt wurden. Für die gewünschte Adresse gibt es keinen Eintrag.
Entschuldigung, ich weiß nicht genau, welche Berechtigungen ihr meint.
Also wenn ich in den Eigenschaften meiner Forwardzone bin sehe ich folgendes:
Type: Active Directory Integriert
Security: Domainadmin und Enterpriseadmin hat Full conroll und Domaincontroller haben Änderungsrechte
LG
genau, der Rechner ist mit allem was dazu gehört im Active Directory. Das kann ich leider nicht genau sagen, ob es noch Einträge gibt, die mal von nicht vorhandenen Rechnern hinzugefügt wurden. Für die gewünschte Adresse gibt es keinen Eintrag.
Entschuldigung, ich weiß nicht genau, welche Berechtigungen ihr meint.
Also wenn ich in den Eigenschaften meiner Forwardzone bin sehe ich folgendes:
Type: Active Directory Integriert
Security: Domainadmin und Enterpriseadmin hat Full conroll und Domaincontroller haben Änderungsrechte
LG
Security: Domainadmin und Enterpriseadmin hat Full conroll und Domaincontroller haben Änderungsrechte
Wenn da nur das drin steht, dann ist klar, dass kein Member Computer seinen Record ändern/setzen kann.Da muss min. noch "Domain Computer" mit "alle untergeordneten Objekte erstellen" "erlauben" rein.
Das sollte nur ein kleiner Auszug sein, weil ich nicht genau wusste, ob ich da bin, wo ihr meint... Aber Domain Computer finde ich dennoch nicht.
Folgendes ist bei mir aufgeführt:
Jeder: read
Self: spezial Berechtigungen
Authenticated USers: Create all child objects
System: Voll
DNSAdmins: Ändern
Domain Admins: Voll
Enterprise Admins: Voll
Admins: Ändern außer delete all child objects
Pro Win2k: Spezial Berechtigungen
Enterprise Dom Controllers: Ändern
(Diese Berechtigungen habe ich in meiner Forwardzone) in meiner Reverse Lookup habe ich die selben Berechtigungen.
Laut dieser Seite: https://technet.microsoft.com/de-de/library/cc755193.aspx sollten die Berechtigungen eigentlich ausreichen. Oder sollte ich trozdem "Domain computers" hinzufügen?
Liebe Grüße
Folgendes ist bei mir aufgeführt:
Jeder: read
Self: spezial Berechtigungen
Authenticated USers: Create all child objects
System: Voll
DNSAdmins: Ändern
Domain Admins: Voll
Enterprise Admins: Voll
Admins: Ändern außer delete all child objects
Pro Win2k: Spezial Berechtigungen
Enterprise Dom Controllers: Ändern
(Diese Berechtigungen habe ich in meiner Forwardzone) in meiner Reverse Lookup habe ich die selben Berechtigungen.
Laut dieser Seite: https://technet.microsoft.com/de-de/library/cc755193.aspx sollten die Berechtigungen eigentlich ausreichen. Oder sollte ich trozdem "Domain computers" hinzufügen?
Liebe Grüße
Authenticated USers: Create all child objects
Damit braucht Du Domain Computers nicht.OK, daran liegt es also nicht. Du könntest versuchen, über die Debugprotokollierung was rauszubekommen.
DNS-MMC --> Server auswählen --> Eigenschaften --> Debugprotokollierung
