hobbystern
02.07.2017
view2349
view10
0
Goto Top

Windows 08 R2 - Domäneneinbindung PC durch VPN IPSec Session (Netz2Netz) - DNS Timeout

gelöstFrageMicrosoftWindows Netzwerk
Hallo Gemeinde,

hört sich einfach an, checke den DNS - leider ist es damit nicht behoben.

Ein Firmennetz (10.0.0.x), ein Heimnetz (10.115.0.x)
Im Firmennetz ein AD mit Win2008R2 Datacenter und DNS, WINS.
Im Heimnetz ein Windows 7 Prof. PC, welcher entweder
a) vom DHCP (FritzBox) mit dynamischer IP versorgt wird und somit den FBF DNS erbt
b) mit einer statischen IP manuell angelegt wurde und dort dann den DNS des Firmennetzes (+Wins) erhält, keinen lokalen.

Alle Versuche führen bei der Domäneneinbindung des PCs zu dem Resultat, dass die Domäne wegen eines DNS Timeout nicht gefunden werden kann.

Gibt es hier spezielle Ansprüche an den DNS des Firmennetzes? Muss ich eine separate "Region" einrichten?

Grüsse, Stefan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 342258

Url: https://administrator.de/contentid/342258

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
juhu01
juhu01 02.07.2017 um 21:10:14 Uhr
Goto Top
Hallo Stefan

  • Dir ist schon klar das Domain Name Service und Microsoft-Domain nichts miteinander gemein haben?
  • Über welche Art der Verbindung willst du die beiden Netze koppeln ? Hoffentlich kommt jetzt nicht als Antwort INTERNET.
  • Wenn doch, dann sind zwischen deinem und dem Firmennetz ein paar weitere Netze und ich fürchte, dass diese keinen NETBIOS-Datenverkehr oder Broadcasts haben wollen.
  • Und zu guter letzt gibt es (hoffentlich) noch Firewalls und NATs , die auch noch gegen dich sind.
Pjordorf
Pjordorf 03.07.2017 um 10:41:58 Uhr
Goto Top
Hallo,

Zitat von @juhu01:
  • Dir ist schon klar das Domain Name Service und Microsoft-Domain nichts miteinander gemein haben?
Und wie machst du es in einer Domäne ohne DNS? DNS ist kein bestandteil einer Domäne, aber ohne DNS wird aus deiner Domäne auch nichts.

* Über welche Art der Verbindung willst du die beiden Netze koppeln ? Hoffentlich kommt jetzt nicht als Antwort INTERNET.
Der TO Schrieb IPSecVPN.

Gruß,
Peter
Pjordorf
Pjordorf 03.07.2017 um 10:52:04 Uhr
Goto Top
Hallo,

Zitat von @Hobbystern:
hört sich einfach an, checke den DNS - leider ist es damit nicht behoben.
Eher doch face-smile

Im Heimnetz ein Windows 7 Prof. PC, welcher entweder
Und wie ist der DNS ausm Firmennetz in dein Heimnetz bekannt gemacht? Kann dein Heimnetz denn überhaupt mit den Firmen DNS reden?

a) vom DHCP (FritzBox) mit dynamischer IP versorgt wird und somit den FBF DNS erbt
Und wo bleibt der Firmen DNS?

b) mit einer statischen IP manuell angelegt wurde und dort dann den DNS des Firmennetzes (+Wins) erhält, keinen lokalen.
OK.

Alle Versuche
Hosts abfrage? FQDN abfrage? Wie sind deine Netze eingestellt bzw. woher weiß dein Rechner welchen DNS er abfragen muss? IPs funktionieren? Was liefert ein "Ping Firmenserver" oder ein "Ping Firmenserver.firmendomäne.name"? Was sagen "IPConfig /all" jeweils aus? Welche FB nutzt du und was hast du dort alles eingestellt? Ist am Firmenstandort auch eine Fritte und wie sind dort die Einstellungen? Wie ist dein Firmen DNS eingestellt bzw. was ist mit Weiterleitung? Was hast du bei deinen IPSec gedöhns eingestellt?

führen bei der Domäneneinbindung des PCs zu dem Resultat, dass die Domäne wegen eines DNS Timeout nicht gefunden werden kann.
Ein Hosts Name ist ungleich eines FQDN.

Gibt es hier spezielle Ansprüche an den DNS des Firmennetzes?
Nun, dein anzubindender Client sollte zumindest bei Domänenjoin nicht zuviele Netzwerkverbindungen haben (z.B. Blauzahn o.s.)

Muss ich eine separate "Region" einrichten?
Erkläre was du meinst?

Gruß,
Peter
Hobbystern
Hobbystern 04.07.2017 um 19:13:44 Uhr
Goto Top
Hallo Peter,
Hallo Juhu01,

um die ersten Fragen nochmals kurz zu beantworten (@Danke Peter):

- es ist eine IPSec VPN Verbindung
- Unterschied DNS und DOMAIN ist bekannt, ja.
- Netbios und Broadcast wird durch ein VPN für gewöhnlich nicht transportiert, ja. Sollte jedoch, wenn man "Netbios über TCP/IP" aktiviert gesendet werden, oder?

Als Test habe ich den WINS des Firmen-Server abgefragt, dort ist der entfernte PC enthalten.

Hosts abfrage?
ping <ip - des firmenserver>
läuft und liefert Ergebnisse

FQDN abfrage?
ping "firmenserver@fqdn-domainname" funktioniert und liefert Ergebnisse

Wie sind deine Netze eingestellt bzw. woher weiß dein Rechner welchen DNS er abfragen muss?
Mein PC 10.115.0.25 (entfernt) - Firmenserver 10.0.0.12. Beide Statisch. Mein PC ist fix auf den Firmenserver (gleichzeitig auch DNS Server) gerichtet.

IPs funktionieren?
Ja, einwandfrei.

Was liefert ein "Ping Firmenserver" oder ein "Ping Firmenserver.firmendomäne.name"?
Siehe oben.

Was sagen "IPConfig /all" jeweils aus?
Firmenserver in kurz: ip 10.0.0.12 / subnet 255.255.0.0 / domain : it / fqdn : fullqualifieddomainname.com (geschwärzt)
Mein Netz (remote) in kurz: ip 10.115.0.25 / subnet 255.255.0.0 / dns 10.0.0.12 / wins 10.0.0.12 / arbeitsgruppe it (kann der domäne ja nicht beitreten)

Welche FB nutzt du und was hast du dort alles eingestellt?
7270. Wenig. Eigentlich nutze ich nur den FQDN und erlaube natürlich nat. Die Konfig ist eine Generic, welche bei vielen anderen VPN Verbindungen auch eingesetzt wird, die wichtigste EInstellung dürfte diese hier sein: "dont_filter_netbios = yes"

Ist am Firmenstandort auch eine Fritte und wie sind dort die Einstellungen?
Netgear ProSafe VPN. Ebenfalls. Generic. Netz zu Netz Verbindung, also die FBF verbindet sich an den Netgear Pro Safe. Statische IPs auf der Firmenseite, dynamische IP auf der "Heimseite", über eine Subdomain abgebildet. @ Juhu01, klar. Internet und Anschluss sind auch da face-smile Firewall und NAT gab es dann auch mal, zeitweise. Spaß beiseite.

Wie ist dein Firmen DNS eingestellt bzw. was ist mit Weiterleitung?
Der FirmenDNS ist ein MS DNS, er hat als fqdn "it" "fqdn" "com" und richtet als reverse auf 0.0.0.10. Hier könnte es notwendig seine Regel für 115.0.0.10 einzurichten? (mit Anhängsel in-addr.arpa natürlich)

Weiterleitungen sind keine eingestellt.

Was hast du bei deinen IPSec gedöhns eingestellt?

Siehe oben. Nichts gravierendes.

Danke für Deine Zeit bis hierher! Ich erhalte, wie geschrieben einen DNS Timeout..?!

Stefan
Pjordorf
Pjordorf 04.07.2017 um 19:48:15 Uhr
Goto Top
Hallo,

Zitat von @Hobbystern:
Sollte jedoch, wenn man "Netbios über TCP/IP" aktiviert gesendet werden, oder?
Ein Wireshark sagt es dir zu 100%

Als Test habe ich den WINS des Firmen-Server abgefragt, dort ist der entfernte PC enthalten.
Was willst du denn damit? Dein Windows 7 braucht kein WINS, der kommt mit DNS gut zurecht. Oder habt ihr noch andere Clients wie ein NT4 oder XP die auf WINS noch angewiesen sind? Dein Server ist doch auch kein 2003 oder kleiner mehr, oder?

ping <ip - des firmenserver>
ist aber kein Hosts abfrage (Hostname). Was liefert "Ping Firmenserver" vom Remote Standort?

ping "firmenserver@fqdn-domainname" funktioniert und liefert Ergebnisse
Auch die korrekten?
Und ein Ping funktioniert immer. Erst wenn du nach 100 Tagen auf ein Ping keinerlei Antwort bekommst, funktioniert dein Ping nicht. Auch ein Timeout oder Host nicht gefunden usw. sind valide Antworten.

Was liefert ein "Ping Firmenserver" oder ein "Ping Firmenserver.firmendomäne.name"?
Siehe oben.
Beidemale das gleiche?

7270. die wichtigste EInstellung dürfte diese hier sein: "dont_filter_netbios = yes"
Auch hier sagt dir ein Wireshark ob ein yers oder no deinen Wünschen gerecht wird.

Firewall und NAT gab es dann auch mal, zeitweise. Spaß beiseite.
Wie ist es mit deiner Firewall deines Windows Servers? Nimmt der von deinen entfernten Windows 7 etwas an? Auch hier hilft dir Wireshark an beiden enden oder nutzt die Paketaufzeichnung der Fritte. http://www.wehavemorefun.de/fritzbox/Paketmitschnitt

Weiterleitungen sind keine eingestellt.
Braucht ihr kein Internet oder wie hast du gemacht? Nen 2ten DNS Eintrag oder was?

Ich erhalte, wie geschrieben einen DNS Timeout..?!
Schon klar. Du hast dir mal mit Wireshark auf beiden seiten (Einmal aufm Windows 7 im remotestandort und einmal aufm Server im Firmenstandort angeschaut was da passiert? Kommt keine Anfrage am Server an oder gibts keine Antwort oder geht die Antwort an ein falsche IP oder was auch immer?

Gruß,
Peter
Hobbystern
Hobbystern 04.07.2017 aktualisiert um 21:50:39 Uhr
Goto Top
Hallo Peter,

Danke für Deine schnelle Antwort.

Fehlermeldung bei Beitritt der Domäne (gekürzt):
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne "it.fqdn.com" verwendet wird:  

Fehler: "Der DNS-Name ist nicht vorhanden."  
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.it.fqdn.com.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:
10.115.0.1
10.0.0.12
- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:
it.fqdn.com
fqdn.com
com
. (die Stammzone)

Ich fasse mal etwas zusammen, da es eigentlich immer um die selben Fragen geht und ich möchte gerne alles beantworten.
Remote Server ist ein Win2008 R2, wie geschrieben. Ping und nslookup bringen dies:

>> nslookup win2008-node1.it.fqdn.com
<  Server:  win2008-node1.it.fqdn.com
<  Address:  10.0.0.12
>> ping win2008-node1
< **Konnte Host nicht finden**
>> ping win2008-node1.it.fqdn.com
< PING läuft....

Was nicht läuft, ist das, was Microsoft da oben bemängelt:

>> nslookup _ldap._tcp.dc._msdcs.it.fqdn.com
Server:  win2008-node1.it.fqdn.com
Address:  10.0.0.12

*** _ldap._tcp.dc._msdcs.it.fqdn.com wurde von win2008-node1.it.fqdn.com nicht gefunden: **Server failed**.

Der SRV Eintrag ist jedoch da. Unter "it.fqdn.com" gibt es einen tcp Eintrag, welcher auf SRV läuft und auf 10.0.0.12 zeigt.

Zu Deinen Fragen:

WIRESHARK

Ich habe Wireshark auf dem TUN0 Device mithören lassen, dazu habe ich dann versucht der Domäne beizutreten und danach den SRV Eintrag, welcher ja oben laut Fehlerprotokoll hängt zu pingen:

Domänen Beitritt: 
97	5.477994	10.115.0.25	10.0.0.12	NBNS	78	Name query NB 7X64MEINPC<1c>
98	5.537145	10.0.0.12	10.115.0.25	ICMP	106	Destination unreachable (Port unreachable)

Ping
151	16.398624	10.115.0.25	10.0.0.12	DNS	68	Standard query 0x0001 PTR 12.0.0.10.in-addr.arpa
153	16.456095	10.0.0.12	10.115.0.25	DNS	110	Standard query response 0x0001 PTR 12.0.0.10.in-addr.arpa PTR win2008-node1.it.fqdn.com
156	16.529681	10.115.0.25	10.0.0.12	DNS	81	Standard query 0x0002 A _ldap._tcp.dc._msdcs.it.fqdn.com
160	16.591081	10.0.0.12	10.115.0.25	DNS	81	Standard query response 0x0002 **Server failure** A _ldap._tcp.dc._msdcs.it.fqdn.com

Sieht doch aus, als ob der NBNS EIntrag raus geht, aber nicht mehr zurück kommt, oder?
Habe beide VPN Tunnelkonfigurationen geprüft, beide lassen Netbios zu.

Hier noch die geforderten Ausgaben:

IPCONFIG / ALL am HeimPC in 10.115.0.x
Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : 7x64HEIMPC
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Edimax Wi-Fi N150 Bluetooth4.0 USB Adapte
r
   Physikalische Adresse . . . . . . : 74-DA-38-A8-67-8A
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . :** 10.115.0.25**(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 10.115.0.1
   DNS-Server  . . . . . . . . . . . : **10.0.0.12**
   Primärer WINS-Server. . . . . . . : 10.0.0.12
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

IPCONFIG / ALL am Server
Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : WIN2008-NODE1
   Primäres DNS-Suffix . . . . . . . : it.fqdn.com
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Ja
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : it.fqdn.com
                                       fqdn.com

Ethernet-Adapter **SERVERNET**:  (für die interne Kommunikation, physikalisch getrennt)

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Broadcom NetXtreme-Gigabit-Ethernet #2
   Physikalische Adresse . . . . . . : 00-19-BB-2F-56-C3
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 10.50.0.8(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   IPv4-Adresse  . . . . . . . . . . : 10.50.0.12(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
                                       8.8.8.8
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter **INTRANET**: (hierauf greife ich zu)

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Broadcom NetXtreme-Gigabit-Ethernet
   Physikalische Adresse . . . . . . : 00-19-BB-2F-56-C4
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::c82e:88dd:1bc0:77b4%10(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : **10.0.0.8**(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   IPv4-Adresse  . . . . . . . . . . : **10.0.0.12**(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 10.0.0.112
   DHCPv6-IAID . . . . . . . . . . . : 251664827
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-7F-EB-8E-00-19-BB-2F-56-C4

DCDIAG am Server (hier wird es spannend)
C:\Users\sql>dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = WIN2008-NODE1
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: **ErsteAnlaufstelle**\WIN2008-NODE1
      Starting test: Connectivity
         Der Host 85c9fbcf-f971-4223-a8ce-20b101d82039._msdcs.it.fqdn.com
         konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie
         DNS-Server, DHCP, Servername, usw.
         ......................... **WIN2008-NODE1 hat den Test Connectivity
         nicht bestanden.**

Primärtests werden ausgeführt.

   Server wird getestet: **ErsteAnlaufstelle**\WIN2008-NODE1
      Alle Tests werden übersprungen, da der Server WIN2008-NODE1 nicht auf
      Anforderungen des Verzeichnisdiensts reagiert.

ErsteAnlaufstelle ist anscheinend eine Zone ohne ernsthafte Funktion..unter der Karte mscds ist nichts eingetragen...?!

Habt Ihr Rat?
Pjordorf
Pjordorf 04.07.2017 aktualisiert um 22:45:41 Uhr
Goto Top
Hallo,

Zitat von @Hobbystern:
Fehler: "Der DNS-Name ist nicht vorhanden."
Also doch etwas mit dein DNS.

10.115.0.1
10.0.0.12
Multihomed Server/DC oder nur im DNS als Listener eingetragen?

com
?!?

ping win2008-node1
< Konnte Host nicht finden
Er kennt seinen eigenen Host Name nicht.

Was nicht läuft, ist das, was Microsoft da oben bemängelt:
Joa, DNS hat etwas gegen dich face-smile

_ldap._tcp.dc._msdcs.it.fqdn.com wurde von win2008-node1.it.fqdn.com nicht gefunden: Server failed.
Irgendwann mal händisch am DNS rumgespielt oder einfach so lange gebastelt bis irgendetwas ging?

Ich habe Wireshark auf dem TUN0 Device mithören lassen
Machen deine Router denn nicht dein VPN (IPSec). Wenn dein W7 das macht, dann wird das nichts.

97 5.477994 10.115.0.25 10.0.0.12 NBNS 78 Name query NB 7X64MEINPC<1c>
Unwichtig

98 5.537145 10.0.0.12 10.115.0.25 ICMP 106 Destination unreachable (Port unreachable)
Dein Server kann dein W7 nicht anpingen, oder?

151 16.398624 10.115.0.25 10.0.0.12 DNS 68 Standard query 0x0001 PTR 12.0.0.10.in-addr.arpa
153 16.456095 10.0.0.12 10.115.0.25 DNS 110 Standard query response 0x0001 PTR 12.0.0.10.in-addr.arpa PTR win2008-node1.it.fqdn.com
Anfrage und Antwort passt doch.

156 16.529681 10.115.0.25 10.0.0.12 DNS 81 Standard query 0x0002 A _ldap._tcp.dc._msdcs.it.fqdn.com
160 16.591081 10.0.0.12 10.115.0.25 DNS 81 Standard query response 0x0002 Server failure A _ldap._tcp.dc._msdcs.it.fqdn.com
Antwort kommt auch, auch wenn dir diese nicht gefällt. Dein DNS sagt "Kenn ich nicht".

Sieht doch aus, als ob der NBNS EIntrag raus geht, aber nicht mehr zurück kommt, oder?
Ich sehe keine Antwort. Nach der Anfrage kommt eine ICMP Anfrage oder Antwort?

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
Du versiuchst das mittels Blauzahn oder WLAN?

IPCONFIG / ALL am Server
Ethernet-Adapter SERVERNET: (für die interne Kommunikation, physikalisch getrennt)
Multihomed Server/DC ist nicht gut und kann dir erhebliche Probleme bereiten, muss aber nicht.

Verbindungsspezifisches DNS-Suffix:
Warum Leer?

IPv4-Adresse . . . . . . . . . . : 10.50.0.8(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.50.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
2 IPS?

Standardgateway . . . . . . . . . :
Leer?!?

DNS-Server . . . . . . . . . . . : 127.0.0.1
8.8.8.8
IGITTface-smile Als ersten nimmst du die IP deines DNS (Lokales LAN) und den 2ten (Google) schmeisst du weg. Dann im DNS eine Weiterleitung auf deinen Router. Fedisch. Du solltest dich mal einlesen was ein 2ter DNS Eintrag bedeutet und wie dieser wirksam wird. Kurz: Der wird nur genutzt wenn der erste nicht antwortet, nicht wenn der erste die Anfrage mangels daten nicht beantworten kann. Dein DNS läuft ja immer, also wird er auch immer Antworten, auch wenn er sagt "Kenn ich nicht"

Ethernet-Adapter INTRANET: (hierauf greife ich zu)
Nochn Adapter und nochmals 2 IPs? Was macht denn dann VPN?

IPv4-Adresse . . . . . . . . . . : 10.0.0.8(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.0.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
4 IPs für einen Server?

DCDIAG am Server (hier wird es spannend)
Nicht wundern bei deinem Design bzw. misskonfiguration.

Der Host 85c9fbcf-f971-4223-a8ce-20b101d82039._msdcs.it.fqdn.com
konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie
Siehste

Alle Tests werden übersprungen, da der Server WIN2008-NODE1 nicht auf
Oje.

Habt Ihr Rat?
Dein Design ist wohl selbstgebaut bzw. solange erbastelt bis irgend etwas ging. Richte DNS sauber ein, und überleg dir dir sehr gut ob du ein Multihomed Server/DC bertreiben willst. MS sagt auch "Vermeide es wo es geht" - bzw. ist MS selbst von Multihomed DCs abgerückt. Und du wirst ein Standort zu Standort VPN (per Router an beiden seiten) brauchen um dein W 7 ind er Domäne zu bekommen (Streichen wenn ich es falsch Verstanden habe). Auch mehrere aktive Netzwerkschnittstellen (mit IPs) auf dein W7 stören mitunter den Domänenjoin.

Gruß,
Peter
Hobbystern
Hobbystern 07.07.2017 um 09:13:46 Uhr
Goto Top
Guten Morgen Peter,

Danke für Deine ausführliche Information.
Wir beide sehen, der DNS scheint sehr wuschig zu sein. Er ist jetzt in seinem 8ten Jahr.

Ich fasse kurz zusammen, was Du mir rätst:

- 2 IPs an 2 Netzwerkschnittstellen am Server. Multi-Home. (der Server löste seinerzeit ~10 Jahren einen anderen ab und übernahm die Dienste und IP)
- mehrere Schnittstellen am WIndows 7er sind auch nicht vorteilhaft, ja es ist Wlan. Geht leider nicht per Kabel.

Dein Server kann dein W7 nicht anpingen, oder?

Doch, anscheinend schon. ABer spannenderweise über IPv6 face-smile
ping win7-stefan
Ping wird ausgeführt für WIN7-Stefan.it.fqdn.com [fe80::9535
0] mit 32 Bytes Daten:
Antwort von fe80::9535:9276:8a7f:cb38%10: Zeit<1ms
Antwort von fe80::9535:9276:8a7f:cb38%10: Zeit<1ms

Bevor wir hier weiter Zeit verschwenden. Fehler ist der DNS und seine Konfiguration.
Er ist der DC der Domäne! Der DNS ist also ein wichtiger Teil des AD.

Gibt es eine Möglichkeit diesen DNS zu dekonfigurieren und mit frischen Standards neu einzurichten ohne das AD zu verwirren ?
wenn nicht, würde ich das so lassen, remote domain aufgeben und auf bei einer neulösung mehr kompetenz zukaufen face-smile

Was meinst Du, Peter?
Pjordorf
Lösung Pjordorf 08.07.2017 um 01:14:07 Uhr
Goto Top
Hallo,

Zitat von @Hobbystern:
- 2 IPs an 2 Netzwerkschnittstellen am Server. Multi-Home. (der Server löste seinerzeit ~10 Jahren einen anderen ab und übernahm die Dienste und IP)
Mag ja sein, aber warum läuft der jetzt noch Multihomed? Macht der etwa Routing / RRAS? Kann doch sicherlich geändert werden?

- mehrere Schnittstellen am WIndows 7er sind auch nicht vorteilhaft, ja es ist Wlan. Geht leider nicht per Kabel.
Zumindest nicht zwingend von Vorteil bei einen Domänenjoin und do ergebnisse hast wie du beobachtest. Da kann man doch zumindest beim Domänejoin die zusätzlichen LAN/NICs deaktivieren falls diese etwa pakte falsch leiten.

Doch, anscheinend schon. ABer spannenderweise über IPv6 face-smile
Wird bei euch denn in LAN IPv6 überhaupt genutzt oder ist es nur da weil es eh da ist?

ping win7-stefan
Und was sagt ein Ping -4 Win7-Stefan bzw ping -4 Win7-Stefan.it.fqdn.com?

Er ist der DC der Domäne! Der DNS ist also ein wichtiger Teil des AD.
Sagen wir es mal so - ohne DNS hast du keine funktionierende Domäne somit ein nicht funktionirendes AD face-smile Und ein fehlerhafters DNS ist fast genauso wie kein DNS face-smile

Gibt es eine Möglichkeit diesen DNS zu dekonfigurieren und mit frischen Standards neu einzurichten ohne das AD zu verwirren ?
Ja, kommt natürlich drauf an usw. Schon mal gesucht? http://lmgtfy.com/?q=server+2008r2+repair+renew+dns
http://www.lmdfdg.com/?q=server+2008r2+DC+rebuild+dns
z.B. http://www.dell.com/support/article/us/en/19/SLN155826/how-to-delete-an ...

wenn nicht, würde ich das so lassen, remote domain aufgeben und auf bei einer neulösung mehr kompetenz zukaufen face-smile
Eine Remote Domäne ist es ja nicht, nur ein Remote zugriff (VPN) auf einer bestehenden Domänen und ein Domänenjoin. natürlich darf die VPN leitung nicht tage dafür brauchen...

Deine Domäne, deine Server, deiner Clients, deine Entscheidung, Du holst dir das Fett ab face-smile

Gruß,
Peter
Hobbystern
Hobbystern 10.07.2017 um 08:01:07 Uhr
Goto Top
Viele einfache Probleme, welcher nachher zu diesem Ergebnis führten.

Bleibt nicht viel zu sagen, ich habe die Grundtools einmal neu kennengelernt. In diesem Sinne sei es deutlich gesagt: Danke Peter
gelöstFrageMicrosoftWindows Netzwerk
Mehr von HobbysternHobbysternOffice zur Online-MandantenpflegeHobbystern - 2 KommentareHobbysternGetrenntes Routing bei VoIP und DatenHobbystern - 13 KommentareHobbysternMit Lastverteilung - zwei DSL Anschlüsse, einer mit fixer IP, einer dynamischHobbystern - 3 KommentareHobbysternExchange Server 2010 Entfernen - Postfach Administrator nicht löschbar, Webbasierte Verteilung einstellenHobbystern
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare