Windows 08 R2 - Domäneneinbindung PC durch VPN IPSec Session (Netz2Netz) - DNS Timeout
Hallo Gemeinde,
hört sich einfach an, checke den DNS - leider ist es damit nicht behoben.
Ein Firmennetz (10.0.0.x), ein Heimnetz (10.115.0.x)
Im Firmennetz ein AD mit Win2008R2 Datacenter und DNS, WINS.
Im Heimnetz ein Windows 7 Prof. PC, welcher entweder
a) vom DHCP (FritzBox) mit dynamischer IP versorgt wird und somit den FBF DNS erbt
b) mit einer statischen IP manuell angelegt wurde und dort dann den DNS des Firmennetzes (+Wins) erhält, keinen lokalen.
Alle Versuche führen bei der Domäneneinbindung des PCs zu dem Resultat, dass die Domäne wegen eines DNS Timeout nicht gefunden werden kann.
Gibt es hier spezielle Ansprüche an den DNS des Firmennetzes? Muss ich eine separate "Region" einrichten?
Grüsse, Stefan
hört sich einfach an, checke den DNS - leider ist es damit nicht behoben.
Ein Firmennetz (10.0.0.x), ein Heimnetz (10.115.0.x)
Im Firmennetz ein AD mit Win2008R2 Datacenter und DNS, WINS.
Im Heimnetz ein Windows 7 Prof. PC, welcher entweder
a) vom DHCP (FritzBox) mit dynamischer IP versorgt wird und somit den FBF DNS erbt
b) mit einer statischen IP manuell angelegt wurde und dort dann den DNS des Firmennetzes (+Wins) erhält, keinen lokalen.
Alle Versuche führen bei der Domäneneinbindung des PCs zu dem Resultat, dass die Domäne wegen eines DNS Timeout nicht gefunden werden kann.
Gibt es hier spezielle Ansprüche an den DNS des Firmennetzes? Muss ich eine separate "Region" einrichten?
Grüsse, Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342258
Url: https://administrator.de/forum/windows-08-r2-domaeneneinbindung-pc-durch-vpn-ipsec-session-netz2netz-dns-timeout-342258.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo Stefan
- Dir ist schon klar das Domain Name Service und Microsoft-Domain nichts miteinander gemein haben?
- Über welche Art der Verbindung willst du die beiden Netze koppeln ? Hoffentlich kommt jetzt nicht als Antwort INTERNET.
- Wenn doch, dann sind zwischen deinem und dem Firmennetz ein paar weitere Netze und ich fürchte, dass diese keinen NETBIOS-Datenverkehr oder Broadcasts haben wollen.
- Und zu guter letzt gibt es (hoffentlich) noch Firewalls und NATs , die auch noch gegen dich sind.
Hallo,
Gruß,
Peter
Zitat von @juhu01:
Und wie machst du es in einer Domäne ohne DNS? DNS ist kein bestandteil einer Domäne, aber ohne DNS wird aus deiner Domäne auch nichts.- Dir ist schon klar das Domain Name Service und Microsoft-Domain nichts miteinander gemein haben?
* Über welche Art der Verbindung willst du die beiden Netze koppeln ? Hoffentlich kommt jetzt nicht als Antwort INTERNET.
Der TO Schrieb IPSecVPN.Gruß,
Peter
Hallo,
Eher doch
Gruß,
Peter
Eher doch
Im Heimnetz ein Windows 7 Prof. PC, welcher entweder
Und wie ist der DNS ausm Firmennetz in dein Heimnetz bekannt gemacht? Kann dein Heimnetz denn überhaupt mit den Firmen DNS reden? a) vom DHCP (FritzBox) mit dynamischer IP versorgt wird und somit den FBF DNS erbt
Und wo bleibt der Firmen DNS? b) mit einer statischen IP manuell angelegt wurde und dort dann den DNS des Firmennetzes (+Wins) erhält, keinen lokalen.
OK.Alle Versuche
Hosts abfrage? FQDN abfrage? Wie sind deine Netze eingestellt bzw. woher weiß dein Rechner welchen DNS er abfragen muss? IPs funktionieren? Was liefert ein "Ping Firmenserver" oder ein "Ping Firmenserver.firmendomäne.name"? Was sagen "IPConfig /all" jeweils aus? Welche FB nutzt du und was hast du dort alles eingestellt? Ist am Firmenstandort auch eine Fritte und wie sind dort die Einstellungen? Wie ist dein Firmen DNS eingestellt bzw. was ist mit Weiterleitung? Was hast du bei deinen IPSec gedöhns eingestellt?führen bei der Domäneneinbindung des PCs zu dem Resultat, dass die Domäne wegen eines DNS Timeout nicht gefunden werden kann.
Ein Hosts Name ist ungleich eines FQDN.Gibt es hier spezielle Ansprüche an den DNS des Firmennetzes?
Nun, dein anzubindender Client sollte zumindest bei Domänenjoin nicht zuviele Netzwerkverbindungen haben (z.B. Blauzahn o.s.)Muss ich eine separate "Region" einrichten?
Erkläre was du meinst?Gruß,
Peter
Hallo,
Und ein Ping funktioniert immer. Erst wenn du nach 100 Tagen auf ein Ping keinerlei Antwort bekommst, funktioniert dein Ping nicht. Auch ein Timeout oder Host nicht gefunden usw. sind valide Antworten.
Beidemale das gleiche?
Gruß,
Peter
Zitat von @Hobbystern:
Sollte jedoch, wenn man "Netbios über TCP/IP" aktiviert gesendet werden, oder?
Ein Wireshark sagt es dir zu 100%Sollte jedoch, wenn man "Netbios über TCP/IP" aktiviert gesendet werden, oder?
Als Test habe ich den WINS des Firmen-Server abgefragt, dort ist der entfernte PC enthalten.
Was willst du denn damit? Dein Windows 7 braucht kein WINS, der kommt mit DNS gut zurecht. Oder habt ihr noch andere Clients wie ein NT4 oder XP die auf WINS noch angewiesen sind? Dein Server ist doch auch kein 2003 oder kleiner mehr, oder?ping <ip - des firmenserver>
ist aber kein Hosts abfrage (Hostname). Was liefert "Ping Firmenserver" vom Remote Standort?ping "firmenserver@fqdn-domainname" funktioniert und liefert Ergebnisse
Auch die korrekten?Und ein Ping funktioniert immer. Erst wenn du nach 100 Tagen auf ein Ping keinerlei Antwort bekommst, funktioniert dein Ping nicht. Auch ein Timeout oder Host nicht gefunden usw. sind valide Antworten.
Was liefert ein "Ping Firmenserver" oder ein "Ping Firmenserver.firmendomäne.name"?
Siehe oben.7270. die wichtigste EInstellung dürfte diese hier sein: "dont_filter_netbios = yes"
Auch hier sagt dir ein Wireshark ob ein yers oder no deinen Wünschen gerecht wird.Firewall und NAT gab es dann auch mal, zeitweise. Spaß beiseite.
Wie ist es mit deiner Firewall deines Windows Servers? Nimmt der von deinen entfernten Windows 7 etwas an? Auch hier hilft dir Wireshark an beiden enden oder nutzt die Paketaufzeichnung der Fritte. http://www.wehavemorefun.de/fritzbox/PaketmitschnittWeiterleitungen sind keine eingestellt.
Braucht ihr kein Internet oder wie hast du gemacht? Nen 2ten DNS Eintrag oder was?Ich erhalte, wie geschrieben einen DNS Timeout..?!
Schon klar. Du hast dir mal mit Wireshark auf beiden seiten (Einmal aufm Windows 7 im remotestandort und einmal aufm Server im Firmenstandort angeschaut was da passiert? Kommt keine Anfrage am Server an oder gibts keine Antwort oder geht die Antwort an ein falsche IP oder was auch immer?Gruß,
Peter
Hallo,
Also doch etwas mit dein DNS.
< Konnte Host nicht finden
Er kennt seinen eigenen Host Name nicht.
Gruß,
Peter
Also doch etwas mit dein DNS.
10.115.0.1
10.0.0.12
Multihomed Server/DC oder nur im DNS als Listener eingetragen?10.0.0.12
com
?!?ping win2008-node1
Was nicht läuft, ist das, was Microsoft da oben bemängelt:
Joa, DNS hat etwas gegen dich _ldap._tcp.dc._msdcs.it.fqdn.com wurde von win2008-node1.it.fqdn.com nicht gefunden: Server failed.
Irgendwann mal händisch am DNS rumgespielt oder einfach so lange gebastelt bis irgendetwas ging?Ich habe Wireshark auf dem TUN0 Device mithören lassen
Machen deine Router denn nicht dein VPN (IPSec). Wenn dein W7 das macht, dann wird das nichts.97 5.477994 10.115.0.25 10.0.0.12 NBNS 78 Name query NB 7X64MEINPC<1c>
Unwichtig98 5.537145 10.0.0.12 10.115.0.25 ICMP 106 Destination unreachable (Port unreachable)
Dein Server kann dein W7 nicht anpingen, oder?151 16.398624 10.115.0.25 10.0.0.12 DNS 68 Standard query 0x0001 PTR 12.0.0.10.in-addr.arpa
153 16.456095 10.0.0.12 10.115.0.25 DNS 110 Standard query response 0x0001 PTR 12.0.0.10.in-addr.arpa PTR win2008-node1.it.fqdn.com
Anfrage und Antwort passt doch.153 16.456095 10.0.0.12 10.115.0.25 DNS 110 Standard query response 0x0001 PTR 12.0.0.10.in-addr.arpa PTR win2008-node1.it.fqdn.com
156 16.529681 10.115.0.25 10.0.0.12 DNS 81 Standard query 0x0002 A _ldap._tcp.dc._msdcs.it.fqdn.com
160 16.591081 10.0.0.12 10.115.0.25 DNS 81 Standard query response 0x0002 Server failure A _ldap._tcp.dc._msdcs.it.fqdn.com
Antwort kommt auch, auch wenn dir diese nicht gefällt. Dein DNS sagt "Kenn ich nicht".160 16.591081 10.0.0.12 10.115.0.25 DNS 81 Standard query response 0x0002 Server failure A _ldap._tcp.dc._msdcs.it.fqdn.com
Sieht doch aus, als ob der NBNS EIntrag raus geht, aber nicht mehr zurück kommt, oder?
Ich sehe keine Antwort. Nach der Anfrage kommt eine ICMP Anfrage oder Antwort?Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
Du versiuchst das mittels Blauzahn oder WLAN?IPCONFIG / ALL am Server
Ethernet-Adapter SERVERNET: (für die interne Kommunikation, physikalisch getrennt)
Multihomed Server/DC ist nicht gut und kann dir erhebliche Probleme bereiten, muss aber nicht.Ethernet-Adapter SERVERNET: (für die interne Kommunikation, physikalisch getrennt)
Verbindungsspezifisches DNS-Suffix:
Warum Leer? IPv4-Adresse . . . . . . . . . . : 10.50.0.8(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.50.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
2 IPS?Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.50.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :
Leer?!? DNS-Server . . . . . . . . . . . : 127.0.0.1
8.8.8.8
IGITT Als ersten nimmst du die IP deines DNS (Lokales LAN) und den 2ten (Google) schmeisst du weg. Dann im DNS eine Weiterleitung auf deinen Router. Fedisch. Du solltest dich mal einlesen was ein 2ter DNS Eintrag bedeutet und wie dieser wirksam wird. Kurz: Der wird nur genutzt wenn der erste nicht antwortet, nicht wenn der erste die Anfrage mangels daten nicht beantworten kann. Dein DNS läuft ja immer, also wird er auch immer Antworten, auch wenn er sagt "Kenn ich nicht"8.8.8.8
Ethernet-Adapter INTRANET: (hierauf greife ich zu)
Nochn Adapter und nochmals 2 IPs? Was macht denn dann VPN? IPv4-Adresse . . . . . . . . . . : 10.0.0.8(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.0.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
4 IPs für einen Server?Subnetzmaske . . . . . . . . . . : 255.255.0.0
IPv4-Adresse . . . . . . . . . . : 10.0.0.12(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
DCDIAG am Server (hier wird es spannend)
Nicht wundern bei deinem Design bzw. misskonfiguration. Der Host 85c9fbcf-f971-4223-a8ce-20b101d82039._msdcs.it.fqdn.com
konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie
Siehstekonnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie
Alle Tests werden übersprungen, da der Server WIN2008-NODE1 nicht auf
Oje.Habt Ihr Rat?
Dein Design ist wohl selbstgebaut bzw. solange erbastelt bis irgend etwas ging. Richte DNS sauber ein, und überleg dir dir sehr gut ob du ein Multihomed Server/DC bertreiben willst. MS sagt auch "Vermeide es wo es geht" - bzw. ist MS selbst von Multihomed DCs abgerückt. Und du wirst ein Standort zu Standort VPN (per Router an beiden seiten) brauchen um dein W 7 ind er Domäne zu bekommen (Streichen wenn ich es falsch Verstanden habe). Auch mehrere aktive Netzwerkschnittstellen (mit IPs) auf dein W7 stören mitunter den Domänenjoin.Gruß,
Peter
Hallo,
http://www.lmdfdg.com/?q=server+2008r2+DC+rebuild+dns
z.B. http://www.dell.com/support/article/us/en/19/SLN155826/how-to-delete-an ...
Deine Domäne, deine Server, deiner Clients, deine Entscheidung, Du holst dir das Fett ab
Gruß,
Peter
Zitat von @Hobbystern:
- 2 IPs an 2 Netzwerkschnittstellen am Server. Multi-Home. (der Server löste seinerzeit ~10 Jahren einen anderen ab und übernahm die Dienste und IP)
Mag ja sein, aber warum läuft der jetzt noch Multihomed? Macht der etwa Routing / RRAS? Kann doch sicherlich geändert werden?- 2 IPs an 2 Netzwerkschnittstellen am Server. Multi-Home. (der Server löste seinerzeit ~10 Jahren einen anderen ab und übernahm die Dienste und IP)
- mehrere Schnittstellen am WIndows 7er sind auch nicht vorteilhaft, ja es ist Wlan. Geht leider nicht per Kabel.
Zumindest nicht zwingend von Vorteil bei einen Domänenjoin und do ergebnisse hast wie du beobachtest. Da kann man doch zumindest beim Domänejoin die zusätzlichen LAN/NICs deaktivieren falls diese etwa pakte falsch leiten.Doch, anscheinend schon. ABer spannenderweise über IPv6
Wird bei euch denn in LAN IPv6 überhaupt genutzt oder ist es nur da weil es eh da ist?ping win7-stefan
Und was sagt ein Ping -4 Win7-Stefan bzw ping -4 Win7-Stefan.it.fqdn.com?Er ist der DC der Domäne! Der DNS ist also ein wichtiger Teil des AD.
Sagen wir es mal so - ohne DNS hast du keine funktionierende Domäne somit ein nicht funktionirendes AD Und ein fehlerhafters DNS ist fast genauso wie kein DNS Gibt es eine Möglichkeit diesen DNS zu dekonfigurieren und mit frischen Standards neu einzurichten ohne das AD zu verwirren ?
Ja, kommt natürlich drauf an usw. Schon mal gesucht? http://lmgtfy.com/?q=server+2008r2+repair+renew+dnshttp://www.lmdfdg.com/?q=server+2008r2+DC+rebuild+dns
z.B. http://www.dell.com/support/article/us/en/19/SLN155826/how-to-delete-an ...
wenn nicht, würde ich das so lassen, remote domain aufgeben und auf bei einer neulösung mehr kompetenz zukaufen
Eine Remote Domäne ist es ja nicht, nur ein Remote zugriff (VPN) auf einer bestehenden Domänen und ein Domänenjoin. natürlich darf die VPN leitung nicht tage dafür brauchen...Deine Domäne, deine Server, deiner Clients, deine Entscheidung, Du holst dir das Fett ab
Gruß,
Peter