W2K16 Essentials: keine Namensauflösung nach der Einrichtung DNS + AD DS

Best Practice Empfehlung von Microsoft war bisher immer, dass bei einem DC die echte IP als erstes und die Loopbackadresse als zweites eingetragen wird.

Gruß

Looser

Das ist für diesen Fall Jacke wie Hose.

Hi,

emeriks stimme ich hier zu. Der Essentials benötigt eigentlich keine Drittanleitungen zur Installation. Ein paar Fallstricke gibt es dennoch:

1. Verwende zunächst einmal wo es nur geht die Assistenten bei der Installation und später das Dashboard bzw. den Server-Manager.
Der WSE mag es offenbar gar nicht, wenn man die Pre- oder Postinstallationsaufgaben nicht mit den Assistenten beendet, sondern
gleich selbst Hand anlegt.

2. Sollten mehrere Netzwerkkarten verbaut sein (auch onboard) dann deaktiviere alle NIC's, die du nicht verwendest, im Bios.

3. Verwende zwingend eine statische IP im Zuge der Installation.

4. Der DNS sowie die zu Beginn notwendigen AD-Dienste werden, soweit ich mich erinnere, standardmäßig installiert (nicht aber ein DHCP-Server).

5. Ich finde es sinnvoll, die DHCP-Server-Rolle zu installieren. Der DHCP aktualisiert dann im DNS die Domänenmitglieder automatisch und
du kannst später auch Nicht-Domänen-Mitglieder (z.B. Drucker, NAS) per DHCP einbinden und im DNS automatisch aktualisieren.
Bitte dann nicht vergessen, vorher den bisherigen DHCP-Server auszuschalten (im privaten Bereich ja meist der Router).

6. In den NIC-Settings des Servers sollte als 1. DNS die IP-Adresse des Servers stehen und als 2. DNS die Loopback-Adresse 127.0.0.1
Rummeckern tut der Servermanager trotzdem

7. Verwende als Admin-Konto bitte nicht "Administrator". Dieses Konto wird bei der Installation automatisch angelegt und nach der Installation
automatisch deaktiviert.

8. Verwende nach Möglichkeit nicht ".local" als Domain-Endung. Nimm besser das deutsche ".lokal" oder ".intern".

9. Der Eintrag "_msdcs.FIRMA.local" im DNS ist wichtig und richtig. Bitte keinesfalls löschen!


Ich habe hier wider besseres Wissen auch ".local" verwendet, weil per Default vom WSE so vorgegeben. Richtig ist es aber nicht und verursacht
wohl bei Apple-Geräte im Netz Probleme. Siehe hier.

Nach 2 Std., einigen Tassen Kaffee und etwas Nacharbeit sollte der WSE 2016 eigentlich problemlos laufen.

Gruß Arno

Du weißt aber schon, das du die 192.9.20.1 nicht verwenden darfst ????????????????

Wikipedia - Private IP-Adressen

Vergiss mal die o.g. BPA-Ergebnisse für einen Moment.

Deine Namesauflösung funktioniert vermutlich nicht, weil du keine Weiterleitung für externe Domänennamen eingerichtet hast.

1. IP-Adresse des Server MUSS geändert werden (z.B. 192.168.1.254 oder 172.16.0.254) !!!! Zulässige Bereiche siehe den Wikipedia-Link weiter oben
2. Als Standard-Gateway gibst du dem Server die IP deines Routers (z.B. 192.168.1.1 oder 172.16.0.1) -> bei einer 24er-Notation (255.255.255.0)
3. Im DNS des Servers legst du eine Weiterleitung zur Auflösung externer Domänen an, i.d.R. zu einem externen DNS-Server oder deinem Router. Woher soll der Server sonst wissen, wo du hin willst? Er selbst ist ja nur DNS für die Domain firma.local. Der DNS vom WSE 2016 ist standardmäßig so eingerichtet, dass er die Stammhinweise (Rootserver) abfragt, wenn keine Weiterleitung eingerichtet ist bzw. er selbst nicht auflösen kann.
Die Rootserver sind aber schwer erreichbar und eigentlich dafür auch nicht gedacht.

Schau hier:


Der Router kann zwar externe Domänen auch nicht selbst auflösen, aber er kennt einen DNS, der das kann. Das ist dann in der Regel der DNS-Server deines Internetproviders, dessen Adresse deinem Router bei der Einwahl ins Internet mitgeteilt wird. Ich merke mir das immer so:
Entweder ich weiß es selbst oder ich kenne jemanden, der es weiß. So ist es auch mit der Namensauflösung

Gruß Arno

Hallo Ben,

wenn du den Server noch nicht produktiv im Einsatz hast, dann setze ihn lieber neu auf. Geht schneller als die Fehler auszubügeln.

Lass die 2. Netzwerkkarte deaktiviert. Falls du zwischen Router und Server einen Switch hast, dann zieh vom LAN-Port des Routers
(Fritzbox?) ein Kabel zum Switch und vom Server ebenfalls ein Kabel zum Switch...fertig.

Falls du keinen Switch, sondern nur einen Router mit mehreren LAN-Ports hast, dann häng an einen Port des Routers den Server und an den Rest der Router-Ports deine anderen Endgeräte.

Soweit ich weiß, kann man dem WSE bei der Installation nur dann eine andere Domainendung als ".local" unterschieben, wenn man eine sogenannte automatische Antwortdatei verwendet. Das ist eine nach vorgegebenem Schema aufgebaute ich glaube XML-Datei, in der die ganzen Angaben enthalten sind, die der Assi bei der Installation abfragt. Googel mal danach.

Gruß Arno

Guten Abend,
Ich würde dir auch anbieten, dass wir das mal gemeinsam per Teamviewer oder so machen.

Ansonsten im groben, kann ich dir folgende Videoanleitung bieten. Ja, es ist ein Server 2012R2 Standard, das ist für AD-DS unter Server2016 Essential genauso gültig.

https://youtu.be/pbGIEWUo23w?list=PLmOtATVynya2x-BxYpLUY0x9wmZqnjpMC


Grüße
IT-Pro

Ich habe bisher noch nicht mit Anydesk gearbeitet. Deshalb müsste ich es zum einen erst installieren und mich dann noch reinarbeiten.

Ist zwar beides kein großes Problem, allerdings brauchst du TeamViewer bei dir nicht einmal installiert haben. Einfach den QuickSupport runterladen und starten. Mehr nicht.

Was ist dein Grund, dass du unbedingt AnyDesk haben willst?

AnyDesk ist im Prinzip mit der Bedienung von Teamviewer fast identisch. Bei Teamviewer wirst man aber recht schnell gebannt, wenn man es privat zu oft nutzt und z.B. innerhalb eines Tages mehrmals Verbindung zum selben Rechner aufnimmt. AnyDesk ist da etwas kulanter.

Moin,

schau dir mal die IP vom Router und die vom Server an.

Gruß

Uwe

Hallo Ben,
Du hast dem Router eine öffentliche IP gegeben. Öffentlich IPs darfst du nicht selbst vergeben. Diese bekommst du von deinem ISP zugewiesen. Diese änderst sich normalerweise alle 24h. Ich gehe davon aus, dass du nicht den Spezialfall hast und bitte dich deshalb dies wieder rückgängig zu machen und den Router seine IP per DHCP vom ISP ziehen lassen.

ISP sagt dir etwas?

Dein Server-DNS meckert, dass dein Router DNS nicht im Stande ist, Anfragen aus deiner Zone firma.lokal aufzulösen.
Den Router würde ich deshalb gar nicht im DNS auftauchen lassen.

Damit Webseiten aber trotzdem funktionieren, kannst du in den Einstellungen der Nic auf IPv4 gehen --> Eigenschaften --> erweitert --> und im Reiter DNS auf hinzufügen und dann die private IP des Routers eintippen.

P.S. Hatte noch nie Probleme mit Teamviewer
Wenn wir dir bereits helfen konnten, sei bitte so nett und markiere hilfreiche Antworten mit "zur Lösung beigetragen".

Moin,

definiere bitte externes Netz.

Gruß

Uwe

Hallo Ben,

transocean hat Recht. Das kann so nicht funktionieren. Die Adresse des Router liegt in einem öffentlichen Bereich!
Wenn du IP-Adressen beginnend mit 192...... verwendest, dann gibt es nur 192.168.XXX.XXX ! Kein 192.169.XXX.XXX und kein 192.167.XXX.XXX.

Wikipedia - IPv4

Des weiteren MUSS das Standard-Gateway im selben Netz liegen wie dein Server. Hier mal ein paar Grundlagen:

Zunächst mal ist es wichtig zu wissen, für was die Subnetzmaske, also diese Zahl mit 255.255........, gut ist. Die Subnetzmaske gibt an,
wo in der IP-Adresse der gedankliche Trennstrich zwischen dem eigentlichen Netz und dem Host-Teil gezogen wird. Bei deiner Konfiguration
mit einer 255.255.0.0 Subnetzmaske wäre der Netz-Teil 192.168. (die ersten beiden 3er-Blöcke) und der Host-Teil würde von 0.0 bis 255.255 (die letzten beiden 3er-Blöcke) reichen. Also wären bei der Subnetzmaske 255.255.0.0 alle Adressen von 192.168.0.0 bis 192.168.255.255 in deinem lokalen Netz richtig. Wobei hier bitte der 4. Dreierblock nicht mit 0 oder 255 belegt sein sollte, weil 0 das Netz als solches (z.B. 192.168.0.0/16) bezeichnet und die 255 als Broadcastadresse reserviert ist. Ist bei deiner Subnetzmaske zwar noch etwas komplexer, aber das führt an der Stelle erstmal zu weit.

Hättest du jetzt eine Subnetzmaske mit 255.255.255.0 gewählt, dann wären die ersten drei 3er-Blöcke dein Netz-Teil und der letzte 3er Block dein Hosts-Teil. Der Adressbereich wäre dann z.B. von 192.168.0.1 bis 192.168.0.254 (0 und 255 werden nicht vergeben). Du hättest also 254 verschiedene IP-Adressen in deinem Netz. Bei deiner Subnetzmaske hättest du 65.536 verschiedene Adressen in deinem Netz. Brauchst du so vielen?

Wie du nun selbst siehst, gehört die Adresse deines Routers 192.169.2.1 NICHT zu deinem lokalen Netz und ist somit aus diesem Netz auch nicht erreichbar und auch nicht auflösbar. Zudem ist die IP des Routers eine öffentliche IP, also FINGER WEG VON DIESEN ADRESSBEREICHEN!

Die schnellstmögliche Lösung wäre, die IP des Routers auf 192.168.2.1 zu setzen. Das ist dann auch dein Standardgateway und Ziel deiner Weiterleitung im DNS-Server. Diese IP-Adresse setzt du auch in deinen Einstellungen der Netzwerkkarte des Servers als Standardgateway. Die im DNS angelegte bedingte Weiterleitung entferne bitte.

Du schreibst oben von internen und externen Netzen. Vergiß diesen Gedanken erstmal. Dein internes Netz ist 192.168.0.1 bis 192.168.255.254. Innerhalb dieses Adressbereiches liegt dein lokales Netz. Das externe Netz ist das Internet und da kümmert sich dein Router und dein Provider selbst drum.

Prinzipiell würde ich allerdings keinen so großen Adressbereich mit einer Subnetzmaske 255.255.0.0 verwenden. Da hast du zuhause einen riesigen Adressbereich, den niemand auch nur ansatzweise ausfüllen kann, zumindest nicht privat. Verwende lieber 255.255.255.0
und fang z.B. beim Adressbereich 192.168.0.1 bis 192.168.0.254 an. Da hast du dann später mal die Möglichkeit, zusätzliche Netze anzulegen und dich mit dem Thema VLAN zu befassen.

DHCP:

Ist eigentlich ganz einfach. Nachdem du die obigen Fehler korrigiert hast und du mit dem Server ins Internet kommst (nicht wundern, das der Internet Explorer da rumzickt -> Sicherheitseinstellungen) startet du den DHCP-Server.

Oben steht dein Servername und darunter IPv4. Den Knoten öffnest du. Dann mit Rechtklick auf IPv4 und "Neuer Bereich" anklicken. Du überlegst dir einen Adressbereich, z.B. 192.168.0.100 bis 192.168.0.200. Schau bitte, das in diesem Bereich, auch Scope genannt, kein Gerät mit fester (statischer) IP-Adresse liegt. Dann trägst du im weiteren Dialog das Standard-Gateway (dein Router) und den DNS-Server für dieses Netz (dein Windows Server 192.168.20.1) ein.

Von nun an sollten deine PCs ihre Adresse, Gateway und DNS-Server automatisch erhalten. Fertisch


Im DNS-Server legst du, falls noch nicht geschehen, die Reverse-Lookup-Zone für dein lokales Netz an. Die Forward-Lookup-Zone löst Gerätenamen wie server.firma.lokal in eine IP-Adresse auf und die Reverse-Lookup-Zone macht es genau umgekehrt, gibt also auf eine IP-Adresse einen FQDN (z.B. server.firma.lokal) zurück.

Übrigens, den Tipp mit dem Unterjubeln des Domänen-Suffix .lokal muss ich mir merken. Der WSE besteht ja beharrlich auf .local.

Wenn du nicht klar kommst, melde dich (natürlich auch bei Erfolg)

Gruß Arno

P.S. IT-Pro und transocean waren schneller

Guten Morgen Ben,

das sieht dann alles soweit gut aus und scheint ja auch zu laufen. Lege ggf. sicherheitshalber in der DNS-Weiterleitung den Router zusätzlich mit einer IPv4-Adresse an.

Die Namensauflösung kannst du über die Konsole (cmd) testen, indem du dort z.B. nslookup sv0dc1 eingibst. Wenn alles korrekt eingerichtet ist, dann wird in der Rückmeldung das "firma.lokal" automatisch angehängt und die IP (ggf. auch IPv6) des Servers geliefert.
Umgekehrt sollte "nslookup 192.168.2.250" als Ergebnis in "sv0dc1.firma.lokal" auflösen.

Das Problem mit den Diensten, die trotz entsprechender Einstellung nicht automatisch starten, hab ich auch. Es sind immer diesselben Dienste "Software Protection, Manager für herunterladbare Karten und Remoteregistrierung". Ich hab die jetzt nicht neu gestartet, da augenscheinlich bisher keine Probleme auftreten.

Bei den BPA-Ergebnissen ist manches mit Vorsicht zu geniessen. So meckert BPA z.B. das die Loopbackadresse zwar in den NIC-Einstellungen des Servers als DNS eingetragen sein soll, aber nicht als erstes DNS. Ich hab die Loopback als zweiten DNS, aber BPA meckert trotzdem.
Erst prüfen und das große "G" fragen, dann Backup machen, dann anfangen zu basteln

Gruß Arno

Moin,

das macht nichts. Bei Bedarf stellste eben weiter die sich ergebenden Fragen. Ansonsten kannst Du das über den Button Bearbeiten auch wieder ändern.

Gruß Uwe

Genau, einfach Fragen stellen, wenn wieder welche Auftauchen. Wir drei haben ja scheinbar Spaß daran, dir zu helfen.

Zudem denke ich, dass wir drei auch eine ganze Menge Zeit investiert haben um dir "bei der Lösung (deiner Probleme) beigetragen" haben. ;)

Ist für mich auch mal interessant, wie viel ich doch schon an Wissen dazu angesammtelt habe.
Also lass es uns wissen, wenn du mehr wissen möchtest.

Grüße
IT-Pro

Moin,

ich habe mit dem WSE 2016 noch nicht gearbeitet. Wohl aber mit dem SBS 2011, der eigentlich recht gut mit den dafür vorgesehenen Assistenten konfiguriert werden kann. Das sollte meines Wissens nach beim WSE 2016 ähnlich sein. Als Novize auf dem Gebiet würde ich den Assi auch ordentlich arbeiten lassen. Den Zugriff von außen kannst Du mit dem Assi einrichten. Realisieren würde ich das dann aber über eine VPN Verbindung, die ich auf dem Router/der Firewall einrichten würde.

Gruß

Uwe

Der Zugriff von "außen" ist beim WSE so eine Sache. Es funktioniert zwar, aber dazu mußt du auf deiner Firewall / deinem Router eingehend den Port 443 und ggf. Port 80 öffnen und dann über das Portforwarding im Router diese(n) Port(s) auf den Server weiterleiten.

Aus sicherheitstechnischer Sicht ist das für mich auch im privaten Bereich ein NoGo, deshalb besser eine VPN-Verbindung mit deinem Router als Endpunkt. Dann kannst du von außerhalb über die VPN-Verbindung in dein lokales Netz und auf deinen Server.

Wenn du möchtest, schaue ich mal kurz per AnyDesk drauf. Schick am besten eine PN.

Gruß Arno

Ben: Dass du deine Domäne gerade im Klartext zeigst sehe ich nicht als Problem an.

Allgemein

Seid ihr weiter gekommen und konntet das Problem lösen?

Grüße
IT-Pro

Gerne, kein Problem. Wie gesagt, war auch für mich mal interessant. Ich würde mich trotzdem darüber freuen, wenn du mal auf den Button "zur Lösung beigetragen" klicken könntest. Dadurch kann ich dann nachvollziehen, welche Beiträge dir wirklich geholfen haben und welche dir bereits bekannt waren.

Grüße @IT-Pro

Hatte ich dir doch schon lange angeboten!