9
Wie löst ein DNS-Server Namen auf wenn er 5 Namensserver kennt?
Alles Windows Server 2008/2008 R2 3 Standorte
1. Standort RZ
anderen 3 Standorte sind voneinander getrennt. Die Standorte dürfen nicht miteinander kommunizieren sonder nur in Richtung RZ und zurück.
nachdem wir andauernd auf einem Server den Eventlog Eintrag 1014 DNS Client Events bekommen indem drinsteht, dass der Name der Domäne nicht aufgelöst werden kann suche ich nach einem Grund wieso es nicht funktioniert und wollte diesbezüglich eine Frage zum DNS stellen in der Hoffnung dass sich dadurch die Problematik erklärt oder ich dann endlich weiß ob ich auf dem richtigen oder falschem Pfad bin.
Es ist eben so, dass ja die 4 Standorte alle zusammen zu einer Domäne gehören. Aber die Server nicht untereinander auflösen können sonder nur ins RZ können.
Jetzt stellt sich mir die Frage, wenn ich versuche den DNS-Namen aufzulösen beispielsweise mit nslookup funktioniert es (obwohl die Meldung alle 5 Minuten sagt, dass es nicht aufgelöst werden konnte) und ich bekomme auch die anderen Namensserver aufgelistet.
Gibt es einen Fall in dem das DNS von Windows versucht explizit über einen der anderen Namensservern den Domänennamen aufzulösen? (was ja nicht funktionieren kann, da die Firewall nichts zu den anderen Standorten durchlässt).
Wenn das nicht so ist, wieso listet das DNS die anderen Namensserver auf?
Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die Replikation nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz in weiss).
Ich hoffe ihr nimmt mir die Fragen nicht böse aber ich denke mal jeder ist schonmal irgendwo in einem Thema so tief drinnengesessen oder einer Fehlerbehebung dass man erstmal wieder input von außen braucht um das eigene Hirngulasch zu sortieren
Daher bitte nicht außeinandernehmen. Kann auch gerne zur Diskussion genutzt werden, bin sehr auf die Ergebnisse und Postings gespannt!
Gruß
Seelbreaker
1. Standort RZ
anderen 3 Standorte sind voneinander getrennt. Die Standorte dürfen nicht miteinander kommunizieren sonder nur in Richtung RZ und zurück.
nachdem wir andauernd auf einem Server den Eventlog Eintrag 1014 DNS Client Events bekommen indem drinsteht, dass der Name der Domäne nicht aufgelöst werden kann suche ich nach einem Grund wieso es nicht funktioniert und wollte diesbezüglich eine Frage zum DNS stellen in der Hoffnung dass sich dadurch die Problematik erklärt oder ich dann endlich weiß ob ich auf dem richtigen oder falschem Pfad bin.
Es ist eben so, dass ja die 4 Standorte alle zusammen zu einer Domäne gehören. Aber die Server nicht untereinander auflösen können sonder nur ins RZ können.
Jetzt stellt sich mir die Frage, wenn ich versuche den DNS-Namen aufzulösen beispielsweise mit nslookup funktioniert es (obwohl die Meldung alle 5 Minuten sagt, dass es nicht aufgelöst werden konnte) und ich bekomme auch die anderen Namensserver aufgelistet.
Gibt es einen Fall in dem das DNS von Windows versucht explizit über einen der anderen Namensservern den Domänennamen aufzulösen? (was ja nicht funktionieren kann, da die Firewall nichts zu den anderen Standorten durchlässt).
Wenn das nicht so ist, wieso listet das DNS die anderen Namensserver auf?
Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die Replikation nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz in weiss).
Ich hoffe ihr nimmt mir die Fragen nicht böse aber ich denke mal jeder ist schonmal irgendwo in einem Thema so tief drinnengesessen oder einer Fehlerbehebung dass man erstmal wieder input von außen braucht um das eigene Hirngulasch zu sortieren
Daher bitte nicht außeinandernehmen. Kann auch gerne zur Diskussion genutzt werden, bin sehr auf die Ergebnisse und Postings gespannt!
Gruß
Seelbreaker
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164500
Url: https://administrator.de/contentid/164500
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
dein ganzes Netzwerkkonstruckt erschließt sich mir noch nicht so wirklich.
Im normalfall, bzw. ja nach Konzeption ist es ja so das die Clients die dns anfrage an einen DNS Server stellen der in der Domäne steht.
DNS konfiguriert sich nicht selbst. das heist wenn du die DNS Server da stehen hast muss irgendwer sie irgendwo eingetragen haben. und wenn es im DHCP Server oder den Gruppenrichtlinien ist. Um dein Problem besser zu verstehen schildere doch mal genau den aufbau der DNS auflösung in euren Standorten und dem RZ.
Gruß
PJM
dein ganzes Netzwerkkonstruckt erschließt sich mir noch nicht so wirklich.
Im normalfall, bzw. ja nach Konzeption ist es ja so das die Clients die dns anfrage an einen DNS Server stellen der in der Domäne steht.
DNS konfiguriert sich nicht selbst. das heist wenn du die DNS Server da stehen hast muss irgendwer sie irgendwo eingetragen haben. und wenn es im DHCP Server oder den Gruppenrichtlinien ist. Um dein Problem besser zu verstehen schildere doch mal genau den aufbau der DNS auflösung in euren Standorten und dem RZ.
Gruß
PJM
Zitat von @Seelbreaker:
Jetzt stellt sich mir die Frage, wenn ich versuche den DNS-Namen aufzulösen beispielsweise mit nslookup funktioniert es
(obwohl die Meldung alle 5 Minuten sagt, dass es nicht aufgelöst werden konnte) und ich bekomme auch die anderen
Namensserver aufgelistet.
Jetzt stellt sich mir die Frage, wenn ich versuche den DNS-Namen aufzulösen beispielsweise mit nslookup funktioniert es
(obwohl die Meldung alle 5 Minuten sagt, dass es nicht aufgelöst werden konnte) und ich bekomme auch die anderen
Namensserver aufgelistet.
Interne oder externe Domänen ?!
Gibt es einen Fall in dem das DNS von Windows versucht explizit über einen der anderen Namensservern den Domänennamen
aufzulösen? (was ja nicht funktionieren kann, da die Firewall nichts zu den anderen Standorten durchlässt).
Guck doch mal in den DNS-Zonen deiner Domain nach..
Wenn das nicht so ist, wieso listet das DNS die anderen Namensserver auf?
Zitat von @Seelbreaker:
Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die Replikation
nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz in
weiss).
Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die Replikation
nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz in
weiss).
Moin,
öhm, ja - selbst bei so nem Trivialevent wie change Password - und dann noch die Kerberostickets und und und
Gruß
24
Hi fisi-pjm,
sorry ich habe es mir schon fast gedacht, dass der Text ziemlich schwierig zu lesen ist, bin allerdings eben durch die ganze nachdenkerei selber total verwirrt =/
Auflistung habe ich in den oberen Thread nochmal hinzugefügt mit Screenshots
Gruß
seel
sorry ich habe es mir schon fast gedacht, dass der Text ziemlich schwierig zu lesen ist, bin allerdings eben durch die ganze nachdenkerei selber total verwirrt =/
Auflistung habe ich in den oberen Thread nochmal hinzugefügt mit Screenshots
Gruß
seel
Zitat von @2hard4you:
> Zitat von @Seelbreaker:
> ----
>
>
> Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die
Replikation
> nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz
in
> weiss).
>
Moin,
öhm, ja - selbst bei so nem Trivialevent wie change Password - und dann noch die Kerberostickets und und und
Gruß
24
> Zitat von @Seelbreaker:
> ----
>
>
> Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die
Replikation
> nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf schwarz
in
> weiss).
>
Moin,
öhm, ja - selbst bei so nem Trivialevent wie change Password - und dann noch die Kerberostickets und und und
Gruß
24
Hi 24,
muss ich das auch beachten, wenn in STandorte und Dienste in der Replikation die Verbindungen so eingetragen sind, dass die Standorte nur zu den INT-Servern kommen und umgekehrt.
Gruß
Seel
Also zu deiner Frage mit der Replikation. Wenn du eine Domäne zu der alle Domänen replizieren können hast, dann werden auch deine Änderungen repliziert, es dauert nur etwas länger als wenn du die Domänen Sternförmig vermascht hättest.
Da du im Nslookup 5 IP adressen als antwort bekommst musst du auch 5 IP adressen eingetragen haben. Schau dir mal ipconfig -all an ob du da 5 IPs drin stehen hast. Überprüfe ob du zu jedem der Server verbindung hast.
Um zu deiner anfangsfrage zu kommen. Die 5 werden nacheinander abgearbeitet. Es wird solange der nächste Server angesprochen bis eine Positive Antwort zurück kommt. Sind alle 5 Negativ bekommst du deinen Namen nicht aufgelöst. Ich lasse bewusst Themen wie, DNS-Weiterleitung, DNS-Root Server, Suffixe, etc. außen vor. DNS ist kein Thema mit dem man sich mal eben schnell 5 Minuten in der Kaffe Pause befasst. Es gibt genügend Material im Netz, man muss sich nur die Mühe machen es zu lesen und zu verstehen.
Gruß
PJM
Da du im Nslookup 5 IP adressen als antwort bekommst musst du auch 5 IP adressen eingetragen haben. Schau dir mal ipconfig -all an ob du da 5 IPs drin stehen hast. Überprüfe ob du zu jedem der Server verbindung hast.
Um zu deiner anfangsfrage zu kommen. Die 5 werden nacheinander abgearbeitet. Es wird solange der nächste Server angesprochen bis eine Positive Antwort zurück kommt. Sind alle 5 Negativ bekommst du deinen Namen nicht aufgelöst. Ich lasse bewusst Themen wie, DNS-Weiterleitung, DNS-Root Server, Suffixe, etc. außen vor. DNS ist kein Thema mit dem man sich mal eben schnell 5 Minuten in der Kaffe Pause befasst. Es gibt genügend Material im Netz, man muss sich nur die Mühe machen es zu lesen und zu verstehen.
Gruß
PJM
Zitat von @fisi-pjm:
Also zu deiner Frage mit der Replikation. Wenn du eine Domäne zu der alle Domänen replizieren können hast, dann
werden auch deine Änderungen repliziert, es dauert nur etwas länger als wenn du die Domänen Sternförmig
vermascht hättest.
Da du im Nslookup 5 IP adressen als antwort bekommst musst du auch 5 IP adressen eingetragen haben. Schau dir mal ipconfig -all an
ob du da 5 IPs drin stehen hast. Überprüfe ob du zu jedem der Server verbindung hast.
Also zu deiner Frage mit der Replikation. Wenn du eine Domäne zu der alle Domänen replizieren können hast, dann
werden auch deine Änderungen repliziert, es dauert nur etwas länger als wenn du die Domänen Sternförmig
vermascht hättest.
Da du im Nslookup 5 IP adressen als antwort bekommst musst du auch 5 IP adressen eingetragen haben. Schau dir mal ipconfig -all an
ob du da 5 IPs drin stehen hast. Überprüfe ob du zu jedem der Server verbindung hast.
die einzelnen Server haben nur ihr eigenes Netz eingertragen, da sie über die Router und deren WAN-Anbindung an das RZ direkt angebunden sind. Sprich vom RZ Server gehen dann die Routen wieder in die eigenen Netze weg.
Um zu deiner anfangsfrage zu kommen. Die 5 werden nacheinander abgearbeitet. Es wird solange der nächste Server angesprochen
bis eine Positive Antwort zurück kommt. Sind alle 5 Negativ bekommst du deinen Namen nicht aufgelöst. Ich lasse bewusst
Themen wie, DNS-Weiterleitung, DNS-Root Server, Suffixe, etc. außen vor. DNS ist kein Thema mit dem man sich mal eben
schnell 5 Minuten in der Kaffe Pause befasst. Es gibt genügend Material im Netz, man muss sich nur die Mühe machen es zu
lesen und zu verstehen.
Gruß
PJM
bis eine Positive Antwort zurück kommt. Sind alle 5 Negativ bekommst du deinen Namen nicht aufgelöst. Ich lasse bewusst
Themen wie, DNS-Weiterleitung, DNS-Root Server, Suffixe, etc. außen vor. DNS ist kein Thema mit dem man sich mal eben
schnell 5 Minuten in der Kaffe Pause befasst. Es gibt genügend Material im Netz, man muss sich nur die Mühe machen es zu
lesen und zu verstehen.
Gruß
PJM
Danke für die Antwort, demnach dürfte der name der AD-Domäne domain.dom nur dann nicht aufgelöst werden wenn er keinen server erreicht oder kein einziger DNS einen Eintrag hat? <-- Demenstprechend müsste ich davon ausgehen, dass es hier wohl noch mehr probleme gibt =/
Dann war ich soweit mit meinem Gedanken schonmal richtig, ich habe trotzdem mal gebeten, Netzwerktechnisch zwischen den DCs jegliche Kommunikation an der Firewall zu erlauben um zu testen ob es funktioniert oder nicht.
Interessanterweise tritt beispielsweise bei uns in der Firma dieser Eventlog Eintrag auch nur bei Windows 7 Kisten auf. XP sagt gar nichts =/
Zitat von @Seelbreaker:
> Zitat von @2hard4you:
> ----
> > Zitat von @Seelbreaker:
> > ----
> >
> >
> > Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die
> Replikation
> > nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf
schwarz
> in
> > weiss).
> >
>
> Moin,
>
> öhm, ja - selbst bei so nem Trivialevent wie change Password - und dann noch die Kerberostickets und und und
>
> Gruß
>
> 24
Hi 24,
muss ich das auch beachten, wenn in STandorte und Dienste in der Replikation die Verbindungen so eingetragen sind, dass die
Standorte nur zu den INT-Servern kommen und umgekehrt.
Gruß
Seel
> Zitat von @2hard4you:
> ----
> > Zitat von @Seelbreaker:
> > ----
> >
> >
> > Besteht überhaupt eine Notwendigkeit, dass die Domaincontroller miteinander quatschen sollten, selbst wenn die
> Replikation
> > nur Standort --> RZ eingerichtet ist? (Ich bräuchte mehr oder weniger um das Testen zu dürfen etwas auf
schwarz
> in
> > weiss).
> >
>
> Moin,
>
> öhm, ja - selbst bei so nem Trivialevent wie change Password - und dann noch die Kerberostickets und und und
>
> Gruß
>
> 24
Hi 24,
muss ich das auch beachten, wenn in STandorte und Dienste in der Replikation die Verbindungen so eingetragen sind, dass die
Standorte nur zu den INT-Servern kommen und umgekehrt.
Gruß
Seel
Also mal Butter bei den Fischen - die DCs müssen miteinander reden (Ausnahme R/O-DC bei W2k8 - der muß fast nur hören) und somit sollte die Kommunikation zwischen den DCs erlaubt sein, egal, wie repliziert wird, wie sind eigentlich die FSMO-Rollen (örtlich) verteilt?
24
Moin 24,
alle FSMO rollen werden von einem der beiden internen DCs gehalten.
Gruß
Seel
alle FSMO rollen werden von einem der beiden internen DCs gehalten.
Gruß
Seel
