sbs-newbie

Windows DC: Probleme mit DNS-Auflösung bei vollständiger Namensangabe

Hallo, ich habe ein Problem mit DNS-Auflösungen an einem Windows Server 2019 mit aktivem Domänencontroller.

Situation:
1 Server 2019 mit aktivem DC, auf dem Server läuft auch der DNS
IPv4 des Servers 192.168.1.10
Im Router 192.168.1.1 als DNS eingetragen sind 1.: der Server (1.10) und 2. der Router selbst mit 1.1
Die Firma hat eine externe Internetseite mit firmenname.de, gehostet irgendwo im Web IPv4 irgendwas mit 217.x.x.x
Die Windows Domäne lautet: int.firmenname.de
Somit lautet der vollständige Name des Servers: server.int.firmenname.de und der PC vom chef also chef.int.firmenname.de
Wenn ich nun auf beliebigem PC die Namensauflösung via nslookup prüfe, dann kommt:
chef --> IPv4 des Chefs im lokalen LAN 192.168.1.x
Soweit alles OK

Problem: Gebe ich den vollständigen Namen des Gerätes an:
chef.int.firmenname.de --> IPv4 der ext Homepage mit 217.x.x.x

Wenn ich nun am DC-Server nslookup aufrufe, passiert folgendes:
server --> server.int.firmenname.de --> richtige IPv4 192.168.1.10
server.int.firmenname.de --> der Name wird um int.firmenname.de ergänzt also: server.int.firmenname.de.int.firmenname.de und es wird die IPv4 der externen Homepage 217.x.x.x ausgegeben.

--> Es wird also auch dann der Domännenname angehängt, wenn dieser schon in der Anfrage enthalten ist.
Im DNS sieht für mich alles soweit OK aus und es finden sich die Knoten der Geräte im internen Firmennetz.

Also: irgendwo hat der DNS im Server ein Problem mit dem eigenen Domänennamen.

Was kann hierfür die Ursache sein?

Besten Dank für Eure Tipps!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672757

Url: https://administrator.de/forum/windows-dc-probleme-mit-dns-aufloesung-bei-vollstaendiger-namensangabe-672757.html

Ausgedruckt am: 20.05.2025 um 04:05 Uhr

SlainteMhath
SlainteMhath 06.05.2025 um 14:44:22 Uhr
Goto Top
Moin,

wie sieht denn die DNS Client und Server Konfig am DC aus?
wie die DNS Client Konfig am Chef-PC?
und wie aus auf beiden das DNS Suffix eingestellt?
Wer macht DHCP? Und wie ist der konfiguriert?

lg,
Slainte
emeriks
emeriks 06.05.2025 aktualisiert um 16:19:09 Uhr
Goto Top
Im Router 192.168.1.1 als DNS eingetragen sind 1.: der Server (1.10) und 2. der Router selbst mit 1.1
Und was soll das bringen?

  1. Der DC/DNS nutzt sich selbst als DNS-Server und nur diesen.
  2. Die AD-Clients und alle anderen Geräte, welche nicht im AD sind, nutzen den DC/DNS als DNS-Server und nur diesen.
  3. Der MS DNS-Server hat eine Weiterleitung auf entweder einen externen DNS-Server beim ISP oder auf den Internet-Router
  4. Der Internet-Router nutzt externe DNS-Server (i.A. von ISP) als Weiterleitung, so wie es standardmäßig ist.

E.
BiberMan
BiberMan 06.05.2025 aktualisiert um 16:40:18 Uhr
Goto Top
Zusätzlich zu der korrekten Konfiguration die @emeriks schon genannt hat ein Anmerkung zu nslookup:
Es wird also auch dann der Domännenname angehängt, wenn dieser schon in der Anfrage enthalten ist.
Das ist normal wenn du mit nslookup arbeitest und am Ende des FQDN keinen Punkt gesetzt hast. Deswegen sollte man bei Abfragen von FQDNs mit nslookup immer einen Punkt am Ende setzen. Ist dieser nämlich nicht vorhanden passiert genau das, nslookup hängt dann den primären DNS-Suffix an den Namen und versucht diesen bei dem am Client konfigurierten DNS-Server aufzulösen.
Bei vielen externen DNS-Anbietern sorgen dann oft DNS-Wildcard-EInträge dafür das bei Anfragen solcher Namenskonstrukte dann trotzdem eine IP zurückliefern.
sbs-newbie
sbs-newbie 06.05.2025 um 17:09:58 Uhr
Goto Top
Hi Slainte,
Am DNS selbst wurde nach Anlegen der Domäne des DC keine mir bekannte Änderung vorgenommen, lediglich einige Geräte im LAN haben feste A-Pointer-Zuordnungen erhalten.
DHCP ist die Firewall im Netzwerk und hier wird als erster DNS der DC und als 2. DNS-Server die IP der Firewall vorgegeben. GW ist die FW.
dns-konfig
radiogugu
Lösung radiogugu 06.05.2025 um 17:46:36 Uhr
Goto Top
DHCP ist die Firewall im Netzwerk und hier wird als erster DNS der DC und als 2. DNS-Server die IP der Firewall vorgegeben.

Nabend.

Auf jeden Fall Letzteres wieder entfernen.

Auch, wie die Kollegen schon schrieben, dem DC nur sich selbst als DNS Server in der Netzwerkkonfiguration geben.

Wie ist IPv6 im Netzwerk implementiert? Dies wird ja priorisiert, falls eine IPv6 Adresse vorhanden und vergeben wurde.
Mal Testweise den DHCPv6 Server an der Firewall deaktivieren.

Interessehalber:

Welche DNS Weiterleitungen sind denn bei dem DNS Server konfiguriert?

Rechtsklick auf den Server in der DNS Konsole und danach Eigenschaften > Weiterleitungen auswählen.

Gruß
Marc
ThePinky777
ThePinky777 06.05.2025 um 18:51:10 Uhr
Goto Top
also du hast schon mal ne massive DNS Falsch konfiguration.

Bedeutet int.firmenname.de
und Domain im Internet mit firmenname.de....

Das ist ein NO GO eigentlich eine internet Domain als Active Directoy Domain Name zu verwenden.

Zitat von @BiberMan:

Bei vielen externen DNS-Anbietern sorgen dann oft DNS-Wildcard-EInträge dafür das bei Anfragen solcher Namenskonstrukte dann trotzdem eine IP zurückliefern.

und das wirds sein.... bedeutet deine clients wenn du fqdn anpingst ohne . hinten dran gehen dann ins internet. da das jeder client macht ausser du machst den . manuell landen alle anfragen im internet, siehe oben man nimmt keine internet domain adressen als AD Domain namen....

Ist die Domain frisch - setz es nochmal neu auf und nenne die AD Domain anders, siehe whitepaper microsoft was aktuell empfehlung ist....
emeriks
emeriks 06.05.2025 um 19:08:22 Uhr
Goto Top
Zitat von @ThePinky777:
Das ist ein NO GO eigentlich eine internet Domain als Active Directoy Domain Name zu verwenden.
Das hat er ja nicht getan. Also alles ok.

und das wirds sein.... bedeutet deine clients wenn du fqdn anpingst ohne . hinten dran gehen dann ins internet. da das jeder client macht ausser du machst den . manuell landen alle anfragen im internet, siehe oben man nimmt keine internet domain adressen als AD Domain namen....
Die Anfragen gehen nicht per se nach extern sondern an den DNS-Server, welcher am DNS-Client eingetragen ist. Wenn da am DNS-Client nicht der DC/DNS als erster DNS-Server (und am besten auch als einziger) eingetragen ist, sondern der Router und der Router als erstes einen externen DNS-Server abfragt, dann trifft das zu.

Ist die Domain frisch - setz es nochmal neu auf und nenne die AD Domain anders, siehe whitepaper microsoft was aktuell empfehlung ist....
Sorry bitte, aber das ist vollkommen Quatsch. Anhand der gegebenen Informationen kann man gar nicht schlussfolgern, dass das AD jetzt vollkommen falsch aufgesetzt worden wäre.

Ich tippe: Das ist ein ganz einfacher Logikfehler in der konfigurierten Kette der DNS-Server. Fertig, aus.
sbs-newbie
sbs-newbie 06.05.2025 aktualisiert um 19:32:30 Uhr
Goto Top
Hallo und danke für die regen Antworten,
ich habe den DHCP geändert, so dass nur noch der DC als DNS übermittelt wird. An den Geräten mit manueller IP wurde der DNS entspr. angepasst. Nun funktioniert die Auflösung offensichtlich problemlos ;)
--> Es sollte also kein 2. DNS-Server (z. B. auf die Firewall oder 8.8.8.8) in den IPv4-Einstellungen eingetragen sein.

Die Einstellung mit dem 2. DNS kommt wohl von früheren Zeiten, in denen das üblich war und bei Ausfall des Servers wenigstens die Anfragen ins Internet (für email) weiter funktioniert haben.
Nochmals besten Dank für Eure Hilfen und allseits eine schöne Woche
Gruß Tom
Delta9
Delta9 07.05.2025 um 08:08:37 Uhr
Goto Top
Wenn man einen 2. DC hat kann und sollte man den natürlich als 2. DNS verteilen.
Auch kann man die FW bzw. den Router als 2. DNS nehmen, muss natürlich richtig konfiguriert sein.
Dh die FW muss wissen wohin Anfragen für int.firmenname.de geroutet werden (z.B. zum 1. DNS) und der rest ins Internet
ThePinky777
ThePinky777 07.05.2025 um 14:09:59 Uhr
Goto Top
Zitat von @emeriks:

Ist die Domain frisch - setz es nochmal neu auf und nenne die AD Domain anders, siehe whitepaper microsoft was aktuell empfehlung ist....
Sorry bitte, aber das ist vollkommen Quatsch. Anhand der gegebenen Informationen kann man gar nicht schlussfolgern, dass das AD jetzt vollkommen falsch aufgesetzt worden wäre.

Ich tippe: Das ist ein ganz einfacher Logikfehler in der konfigurierten Kette der DNS-Server. Fertig, aus.

na ich sag das mal so
Lösung war wohl keinen Internet DNS zu haben.
Wunderfein nun gehts lokal.

wehe er wird versuchen mit dem konstrukt das ganze an die cloud anzubinden... dann viel spass.
dann wird das nicht das letzte mal werden das er hier aufschlagen wird.
Sollte sein AD frisch aufgesetzt sein, dann sollte man das sofort bereinigen und nicht erst in 2 jahren wenns nicht mehr anders geht. Und man nimmt keine tdl .de für die AD Domain - Punkt aus face-smile
emeriks
emeriks 07.05.2025 um 15:12:00 Uhr
Goto Top
Ich sehe da überhaupt kein Problem drin, eine Sub Domain einer öffentlichen Domain zu verwenden, solange man das mit dem Domain-Verwalter abgestimmt hat, wenn man es denn nicht sowieso selbst ist, und DNS-technisch korrekt umsetzt.

dann wird das nicht das letzte mal werden das er hier aufschlagen wird.
Und was wäre daran so schlimm? Genau dafür ist dieses Forum doch da? Wer einen elitären Kreis von Alleswissenden unter sich sucht, ist sicherlich seinerseits hier falsch.
SlainteMhath
SlainteMhath 07.05.2025 um 15:34:37 Uhr
Goto Top
@pinky777

Lösung war wohl keinen Internet DNS zu haben.
Scheint, als hast du die Lösung/das Problem nicht richtig verstanden (oder nicht komplett durchgelesen)...

wehe er wird versuchen mit dem konstrukt das ganze an die cloud anzubinden.
Totaler Quatsch! Bei der Namensgebung ist kein Problem bei einer Cloud-Anbindung/Hybridstellung zu erwarten.
ThePinky777
ThePinky777 08.05.2025 um 15:59:15 Uhr
Goto Top
Zitat von @SlainteMhath:

@pinky777

Lösung war wohl keinen Internet DNS zu haben.
Scheint, als hast du die Lösung/das Problem nicht richtig verstanden (oder nicht komplett durchgelesen)...

wehe er wird versuchen mit dem konstrukt das ganze an die cloud anzubinden.
Totaler Quatsch! Bei der Namensgebung ist kein Problem bei einer Cloud-Anbindung/Hybridstellung zu erwarten.

doch habe ich, das problem war weil der client sowohl den internen als auch einen externen DNS Server als Config drin hat.

Stell dir nun mal vor du gehst in die cloud, arbeitest mit intune clients in der zukunft und befindest dich im homeoffice.... du hast recht da sind absolut keine probleme zu erwarten.

Auch gerne problem kinder sind hier autoconfig URLs der cloud domain... garnatiert problemfrei.

Also ich würde da jetzt nicht drauf wetten.

Klar er hat ne subdomain genommen als AD Domain, aber 100% ausschliessen würde ich es hier auch nicht.. sonst hätte er ja jetzt auch keinerlei probleme haben dürfen. Hatte er aber.
Somit dein Wort in Gottes Ohr, ich wiedrum wenn das DIng eh frisch ist würde Build from the Scratch und dann richtig machen... wenns nicht frisch ist... dann no risk no fun....

warum das schlecht sein kann einen internet domain name zu verwenden ist simple, sollte die internet domain z.b. verloren gehen, nicht rechtzeitig verlängert oder sowas - alles schon vorgekommen.... ja dann mal viel spass wenn dich jemand ärgern will.... aber du hast recht jeder kann ja gerne so machen wie er will.
emeriks
emeriks 08.05.2025 um 17:11:38 Uhr
Goto Top
Zitat von @ThePinky777:
warum das schlecht sein kann einen internet domain name zu verwenden ist simple, sollte die internet domain z.b. verloren gehen, nicht rechtzeitig verlängert oder sowas - alles schon vorgekommen.... ja dann mal viel spass wenn dich jemand ärgern will.... aber du hast recht jeder kann ja gerne so machen wie er will.
Dieses Problem hat man doch sowieso, egal welche Domain man da nimmt.

Es geht darum, eine öffentliche TLD für ein internes AD mit internem DNS zu verwenden.

Man kann auch ein "intern.firma.de" als interne AD Domain nutzen und gleichzeitig ein "anderername.de" als öffentliche Mail Domain, welche man dann auch z.B. beim Microsoft Tenant einträgt. Das juckt dem Tenant nicht die Bohne, wenn da ein AADC ein Konto mit einem UPN von "intern.firma.de" synchronisieren will, wenn diese Domain nicht im Tenant registriert ist, weil er dann einfach einen UPN von "cloudname.onmicrosoft.com" für das Cloud-Konto erzeugt. Wenn aber das AD-Konto einen UPN gleichlautend zur Email-Adresse hat, also hier mit "anderername.de", und "anderername.de" im Tenant registriert ist, dann kann der AADC diesen UPN auch synchronisieren.

Und wenn man eine DNS Domain zu bezahlen (verlängern) verpennt, dann ist es doch vollkommen egal, ob da ne Cloud oder Email von abhängt, weil dieser Punkt dann für die Firma eh im Arsch ist. Das ist doch an den Haaren hergezogen, sowas als Argument anzuführen. Da kann man auch vergessen, die Miete für Firmenbüros zu bezahlen. Der Effekt ist dann ähnlich: Die Firma ist tot.